Skip to content

セキュリティマガジン TREND PARK

「持ち込み可」「会社貸与」それとも「使用禁止」?

スマートデバイスをビジネスに活用するための課題とは


セキュリティ面の不安がBYOD導入の足かせに

BYODの導入に慎重さが見られる背景には、セキュリティ面の課題があるようです。意思決定者にBYOD導入の懸念点について尋ねたところ、50.6%が「勤務先、業務に関する情報がアプリケーション経由で漏えいする」、43.7%が「個人端末経由での不正プログラム感染」、42.4%が「勤務先、業務に関する情報がソーシャルネットワーク経由で漏えいする」を選択しており 、情報流出やウイルス感染に強い懸念を抱いていることがわかりました。

また、ユーザは私用のスマートデバイスを業務に利用することをどのように考えているのでしょうか。個人所有のスマートデバイスを業務で利用すると想定した場合の懸念として、一般ユーザ社員も53.5%が「端末の紛失、盗難」、48.0%が「勤務先、業務に関する情報をアプリケーション経由で漏えいさせてしまう」、40.1%が「個人端末経由での不正プログラム感染」に不安を抱いている ことも明らかになりました。

なし崩しに黙認するような対応は禁物。ポリシー策定のポイントは?

今回の調査では、スマートデバイスの業務利用をポリシーやルールで禁止することは一定の抑止力があるとはいえ、ユーザはポリシー違反を犯してもスマートデバイスを使用してしまうという実態が浮かび上がってきました。企業はまさに、スマートデバイスの業務利用に伴うセキュリティ課題に正面から向き合うべき時期にきていると言えるでしょう。BYODであれ貸与であれ、ビジネスメリット、利用者側の意向、そしてセキュリティのバランスで最適な意思決定を行い、その意思決定を具現化するポリシーやルールを策定し、それをユーザに徹底することが求められます。

スマートデバイスの業務利用に関するポリシーやルールについては、「どのような条件で、どのようなサービスを利用させるか」といった目的や用途、適用する範囲などを明文化することが必要です。たとえば、社内でアクセスできる情報やソーシャルメディアに書き込める内容、ダウンロード・利用を許容するアプリ、電子メールで送信できる文書などを設定する、など、ビジネスを活性化させるのに必要かどうか、それを利用することでどのようなリスクが発生するかを見極めたうえで、ユーザの意向も踏まえた実現可能なポリシーやルールを策定し、それらを全社に周知・徹底させることが重要です。

BYODを導入する場合、企業からスマートデバイスを貸与するケースとは異なり、端末の設定やインストールするアプリを制御したり、業務中に閲覧できるWebサイトを制限したりすることが難しくなります。このようなケースでは、適切な指導や管理のもと、ポリシーやルールに違反することなくスマートデバイスをビジネス利用してもらうことが大切になります。しかしながら、ポリシーやルールを制定しただけでは、ユーザに徹底させることは容易ではありません。今回の調査でも、BYODに関するポリシーやルールポリシーやルールについて強制力、抑止力が「十分あると思う」と回答した割合は23.8% にとどまっています。企業にはポリシーやルールをしっかりと整備した上で、いかに個人の端末を管理するかがセキュリティリスクを抑えるための焦点になるでしょう。ウイルス感染のリスクを抑えるために、スマートデバイスで使用可能なセキュリティソフトを企業から提供する、といった対策も検討する必要があります。

一方、企業からスマートデバイスを貸与する場合は、ポリシーやルールを強制するためのソリューションを活用しながら、ウイルス感染や情報漏えいのリスクを抑えたモバイル活用を推進することが比較的容易です。MDM(Mobile Device Management:モバイルデバイス管理)と呼ばれる、企業が貸与した各スマートデバイスを一括管理し、不正プログラムや不正Webサイト対策、ポリシーやルールの徹底を行えるツールも活用できます。MDMを利用すれば、端末を盗まれたり、紛失してしまったりした場合でも第三者に不正に使用されないようロックをかけたり、遠隔操作でデータを消去したりすることも可能です。また、OSやパターンファイルのバージョン管理、ソフトウェアの強制アップデート、インストールできるアプリや使用できる機能の制限を行えるものもあります。ただ、このようなツールを使っても、スマートデバイスを経由して意図的に情報を流出させる行為は防ぐことができません。ポリシー・ルールに違反した際の罰則について規定・周知しておくことも必要でしょう。

表1. スマートフォン活用の価値とリスク

  生産性 企業の
コスト負担
情報漏えい
リスク
紛失・盗難
リスク
ウイルス感染
リスク
使用禁止
企業から貸与
(データ自動消去などの集中管理可能)

(企業向けセキュリティソフトで管理可能)
個人の端末を利用(BYOD)

企業は、スマートデバイスをビジネスに活用する価値とリスクを洗い出し、セキュリティ要件を見極めた上で、BYODを導入するか、スマートデバイスを社員に貸与するか、それとも利用させないかを決定する必要があるでしょう。BYODについても、個人所有のスマートデバイスの利用を単純に禁止したり、なし崩しに黙認したりするのではなく、ビジネスメリットとリスクを加味して社内規定をしっかりと定め、ポリシーに従った利用をユーザに徹底させることが大切です。

本調査では、既に半数以上のユーザが、自分のスマートデバイスを社内に持ち込んで利用し始めています。リスク管理の観点から、どう対処するかの意思決定、ポリシー策定を先送りにはできません。ビジネスリスクと生産性のバランス、さらに、ユーザが既に個人所有のスマートデバイスをビジネスに利用しているという実態を直視し、早急にポリシーを策定することが求められています。

モバイル 記事一覧へ戻る

記事公開日 : 2012.07.27

ページの先頭へ