BYODセキュリティリスクへの対応

現在、米国内のホワイトカラー従業員の78％が個人所有のデバイスを仕事に利用している(BYOD) ことが、シスコシステムズ社の調査でわかりました。

米国IT市場調査会社のガートナー社の報告によると、組織の70%が、個人のデバイスからネットワークシステムやアプリケーションにアクセスすることを許可しているとのことです。

ニーズは高まりつつも、日本ではまだBYODの導入に対して慎重です。BYODの大きな課題といえるセキュリティリスクへと今後の課題についてご紹介します。

photo credit: PublicDomailPictures via pixabay cc

BYOD導入への課題

BYODは、企業にとっては端末の導入コストを削減できるメリットがあるほか、社員にとっても普段使い慣れた端末を仕事でも利用できることで生産性の向上が期待できます。

しかし、個人利用の端末に対しては、企業のセキュリティポリシーを徹底するのが難しく、前述のガートナー社の報告によると、BYODのセキュリティ脅威に対するポリシーを持つ会社はわずか33%であるということが判明し、F5ネットワークス社の調査においても、75%が未対応であることが分かりました。

スマートデバイスのセキュリティリスクが年々高まっているなか、何の対策もせずBYODを導入することは企業にとって非常にリスクが高いことです。セキュリティポリシーを持つ企業でも、管理者は、利用者がセキュリティポリシーや業務ルールを守っているかチェックする必要があります。

管理者がそういった状況を把握するための管理ツールが「MDM(Mobile Device Management)」です。ＭＤMは、スマートデバイスの状態を把握できるようにし、管理者は端末個体の様子を直感的につかんだり、適切な処置をすばやく施したりすることができます。

主な機能は、端末情報のバックアップ・リストア、資料の配布、紛失時の遠隔ロック、移動履歴の表示、アプリケーションの配布、更新、削除、起動ブロック、ユーザーによるインストール不可能化などがあります。

デバイスを紛失したら

Foreground Security社のアムスラー社長は、「BYODの一番の脅威は、デバイスの紛失だ。」と述べています。

IT関連外の仕事をしている人の47%以上が自分のデバイスにパスコードを設定していないという調査結果からも、紛失に対する無防備さが伺えます。アムスラー社長は、BYODの導入には高度なパスワードポリシーの必要性を強く説いています。

世界有数の情報セキュリティの研究および顧問会社、NSS Labsのベイラー社長は、セキュリティリスクに対して以下の対応をするようにすすめています。

・従業員一人当たりのデバイス数を制限し、アクセスする時間帯などの管理するカスタムデバイスの登録プログラムを導入する。
・企業のIT部門が従業員のデバイス全てに対し管理者権限を持つことを、義務化する。これにより、ネットワークに接続されていないときに発生したマルウェア関連の発生を確認することができる。
・従業員が持つ全てのデバイスへアンチマルウェアソフトウェアをインストールする。インストールされていないデバイスへのアクセスは自動的に拒否する。
・多要素認証を使い、機密性の高いサーバーを保護する。

前述のガートナー社は、

・データ漏洩のリスク
・セキュリティソフトやトラッキングソフトのインストールの義務化に伴い、従業員のプライバシーが危険にさらされないよう配慮する
・脆弱性を追跡し、デバイスのセキュリティに関し十分な対策を立てる

などの課題を提示しています。

まとめ

日本の企業では、BYODの導入にはまだ慎重に対応しているのが現状です。セキュリティリスクが高いからと躊躇していては、時代に流れに乗り遅れるかもしれません。

BYODのもつ有利性をさらに生かすためにも、BYODのもつ克服すべき課題を正視して対策を取ることが、BYOD導入の実現につながります。

参考

Dealing with BYOD Security Risks

BYODの成功を支えるMCMとは何か？

BYODのデバイスには従来のデバイス管理等による管理手法が適用しにくいため、利用者が管理者の許可なくデバイスを業務で利用する「シャドーIT」を生み出しています。こうした現状に対して、デバイスではなくコンテンツの管理に集中するMCM（モバイルコンテンツ管理）という領域が有効であることが注目されています。本資料では、MCMの有効性と実際の活用事例をご説明し、BYOD 成功のポイントをご紹介します。

無料ダウンロード