企業ITのトレンドとして「BYOD(Bring
Your Own Device)」というキーワードが注目を集めるようになって久しいです。BYODは、その言葉のとおり、従業員が個人で所有しているPCやスマートデバイスを業務で使うことを意味しています。特に近年のiPhoneやiPad、Androidデバイスといったスマートデバイスの急速な普及と合わせてクローズアップされるようになりましたが、本来はノートPCを含む私物の端末を、職場や外出先で業務利用することも含めて考え出されたコンセプトです。
私が、このワードを提案書で使用したのは7年前くらいでしょうか・・・。スマホ化がすすみ、タブレットを持つようになったころでした。
従来、従業員が業務のために使うデバイスは、会社によって支給されるのが一般的でした。最近では会社で支給されるものよりも、個人が私物として所有しているもののほうが、処理速度や使い勝手の面で優れているといった逆転が常態化しています。私物に劣る機器で業務を強要される従業員は面白くない。高性能で使い慣れた私物デバイスを使いたいと熱望するのは必然です。そこで、従業員の生産性向上に端末導入コストの削減といった観点も加わり、従業員が持つ私物のデバイスを、事務作業やコミュニケーションを含む業務に利用することを許可しようといった考え方が出てきたりしてます。
もちろん、こうしたBYODにおいては、情報セキュリティ面でのリスクが増大しないように、企業には適切な対応を行うことが求められます。どのようなアプリケーションがインストールされているかや、端末自体の管理状況が不明な私物デバイスを、制限なく社内ネットワークに接続させ、業務に利用させることは、ネットワークセキュリティ、情報セキュリティ上の大きな問題となります。BYODの導入と運用にあたっては、社内制度の整備や技術面での対応が必須です。
一方で、セキュリティ上のリスクをとることを嫌う場合や、環境を整備するためのリソースがないといった理由から「我が社では、BYODを認めない」という方針を出す企業が多くあります。しかし、そう宣言することによって、現状のシステム運用ポリシーを見直す必要もなくなると考えているとすれば、それは大きな「ワナ」にはまっていることにならないでしょうか。
「BYODを認めない」という会社の方針を周知することは重要です。しかし、その瞬間からオフィスに持ち込まれる私物デバイスが消え去ると錯覚してはならない。認めないのであれば、(不本意なデバイスの使用を強要されている)社員が私物のPCやスマートフォンを、業務に関係する社内のシステムリソースに「接続できない」ようにする技術的対応を行っておく必要があります。ここで、もし、現状でネットワークやシステムへの接続を許可するための仕組みが、単なる「ID/パスワード」の組み合わせによる認証だけしか用意されていないのであれば、それは実質的に意味を成していない。急ぎ対策をとられた方が良くはないでしょうか。
ID/パスワードの組み合わせによる認証は、その組み合わせを「知っている人」を認証する仕組みであり、「社員」と「第三者」を区別するには有効です。しかし、今回の対象は「社員の私物デバイス」です。もし、ID/パスワード認証だけしか実施されていなければ、従業員は私物のPCやスマートデバイスを社内のLANポートやアクセスポイントにつなぐことさえできれば、その後は支給デバイスを使うのと全く同様に、業務に使ってしまうことができます。社員の期待に反して「BYODを認めない」というポリシーを徹底するのであれば、デジタル証明書やMACアドレス認証といった他の技術を併用して、許可された「デバイス」だけを認証する仕組みを用意しておく必要があります。
特に近年のスマートデバイスの普及に合わせて、従業員による「勝手BYOD」、または「シャドーIT」とばれる状況は増加する傾向にあるようです。
「普段使っているスマホでメールやスケジュールを確認したい」といった悪意のない動機から、私用デバイスを社内のシステムに接続し、業務に関わるデータをダウンロードするといったケースもあります。
こうしたケースに対し、特に社内での規定を設けずにBYODを「黙認」している企業もあるようです。しかし、これもガバナンス上は問題があると言わざるを得ないのでは。
従業員が私物デバイスにダウンロードしたデータが、顧客の個人情報に関するものだったり、業務上の機密事項にあたるものだった場合はどうだろう。万が一、従業員が不注意からデバイスを紛失してしまったり、情報漏えいなどの事故が起こってしまったりした場合、BYODを「黙認」している状態では、適切な事後処理や事故経緯の把握は難しい。企業として責任のある対応を怠り、従業員を守ることができない状況を放置していたのであれば、ガバナンス上の責任を追及されても仕方がないと言えます。
つまり、現状ではBYODを「やる」「やらない」に関わらず、社会的なIT環境の変化に合わせた適切な技術的対応と、BYODの潮流を踏まえたポリシーの策定に「すべてのITを利用している企業」が取り組まなければいけない状況にあるということになります。
では「まだ十分なBYODへの対策を行えていない」という企業は、どこから取り組みを始めるべきでしょうか。一般的に、こうしたITセキュリティへの対策を行う場合は「現状の把握」「リスクの査定」「あるべき姿の設定」「現状とあるべき姿の乖離の分析」「具体的な対策の立案と実行」といったステップで作業を進めると良いとされています。
その際大切なことは、このステップを1回で終わらせず、立てた対策がきちんと実施されているか、対策の前提になった環境は変化していないかといった観点から運用を見直し、改善を繰り返していくことでしょう。
いずれにせよ最初に必要となるのは、「現状の把握」です。スマートフォンや私物PCの社内利用に関しては、従業員への聞き取り調査などから、現状や要望を吸い上げることができる。あわせて、デバイスにIPアドレスを割り当てるDHCPサーバやWebアプリケーションサーバにアクセスしてきた端末のユーザーエージェント情報などをログで確認することで、社内における私物デバイス利用の「実態」を、かなり正確に把握することができるはずです。
前節で触れたとおり、もはやBYODを認めるか認めないかについて「これから企業としての方針を検討していきます」と言っていられる猶予はありません。まずは、早急に現状を把握し、その結果をもとに「具体的な対策の実施」へと進めていかねばならない状況にあることを認識すべきでしょう。
当事業部は、そのお手伝いをしっかりおこないます。
Kumagai
