もっと知りたい！電話関連コラム

いまさら聞けないオフィス電話事情（第10回）

テレワークで広がるBYOD。セキュリティリスクと対策のポイントとは？

テレワークの浸透や働き方改革が追い風となり、従業員の個人端末を業務利用するBYODの普及が進んでいます。BYOD導入に伴い発生するセキュリティリスクについて、MDM、EDR、リモートデスクトップなどの具体的対策を紹介します。

＼今すぐ話して解決／
＼フォームでお問い合わせ／

BYODとは

BYODはBring Your Own Deviceの略称です。従業員の私物であるスマホやPCの業務利用を意味しています。IPA（独立行政法人情報処理推進機構）が公開した2021年4月の組織調査結果では組織規模に応じて、以下の割合でBYODの利用が認められています。

【PC】

委託先（大規模）：43.5％
委託先（中小規模）：39.4％
委託元（大規模）：31.9％
委託元（中小規模）：50.0％

【スマートフォン】

委託先（大規模）：43.8％
委託先（中小規模）：45.3％
委託元（大規模）：34.8％
委託元（中小規模）：43.6％

出典・引用：「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」調査報告書p.27
https://www.ipa.go.jp/files/000089968.pdf

BYODの現状と普及が進む3つの背景

BYODが普及した背景をデバイス、クラウド、テレワークの3つの側面から見ていきましょう。

デバイスの普及: BYODの対象となる代表的な端末はスマートフォンとPCです。総務省の調査によると、2019年時点の世帯別スマートフォン所持率は80％以上となっています。SNSやチャットツールの普及も相まって、スマートフォンは誰もが気軽にコミュニケーションに取れる手段として、ビジネスでも欠かせなくなりました。

クラウド環境の普及

顧客管理やドキュメント管理をはじめとして、企業の多くの業務でクラウド環境の業務システム導入が進んでいます。以前までこれらの業務は企業内の閉じたネットワーク内で行われていました。そのため情報漏洩などの観点から、個人端末では企業内ネットワークに接続できず、従業員は貸与端末を利用していました。

しかしクラウド環境の業務システムはインターネットにつながるあらゆる端末からアクセス可能です。個人端末で業務できる環境が整ったことから、BYODの導入が進んでいます。

また従来までは外出先や在宅では対応が難しかった電話についても、クラウドPBXを利用することで、オフィス外でも受信ができるようになりました。クラウドPBXは個人端末に設定されている番号とは別に、業務用の番号を設定可能です。そのため従業員はBYODで外線や内線を受けられるようになり、BYODの利用が促進されているのです。

従業員のスマホを内線化！「スマートフォン利活用BOOK」

テレワークの普及: 2020年以降、新型コロナウイルスの影響もあって多くの企業でテレワークの導入が進みました。しかし、社内勤務で据え置き型のPCで業務を行っていた人の数は少なくありません。突然のテレワーク移行を求められたこともあって、企業側で貸与端末が準備できないケースも多く発生しています。このような状況が要因となり、BYODの導入を進める企業が増えたのです。

BYODのメリット

BYOD導入は企業と従業員、双方にとってメリットがあります。代表的な4つのメリットについて、説明します。

業務効率化: 使い慣れた個人端末を使えることで、従業員の業務効率が高くなります。キーボードの設定や、頻繁に利用するアプリケーションなど、従業員が使い慣れた環境で端末操作を行えるからです。また業務端末と私用端末の2台持ちの必要がなくなることから、従業員の移動時の負担も軽減されます。

コスト削減: BYODでは原則、従業員の個人端末の利用が想定されます。そのため企業は貸与端末の購入が不要になり、端末費用の削減につながるのです。また、システム担当者は貸与端末の管理や設定の時間を削減できます。

シャドーIT対策

企業が利用を許可していない端末での業務は、シャドーITと呼ばれます。シャドーITが原因の情報漏洩は、その特性上、問題発生から発覚までに時間がかかります。そのため企業にとっては高リスクで、避けたい状況です。

シャドーIT対策を行うには、業務で利用する端末の管理が必要です。シングルサインオンと呼ばれる技術は、認証された端末からのみクラウド上の業務サービスへのログインを許可できます。BYODの導入により従業員が利用する端末情報を収集してシングルサイオンで認証を行えば、シャドーIT対策が実現できます。

テレワーク対応

前述したようにコロナ禍による急激な社会情勢の変化で、企業はテレワーク対応を迫られました。BYODは端末の新規購入や設定が不要なため、短期間かつ低コストで導入が進められます。テレワークでは業務環境の整備が課題となります。その点BYODは、従業員のプライベートな作業環境をそのまま活用できて、スムーズにテレワーク環境を整えられるのです。

クラウド型の電話機を選ぶ8つのチェックポイント

BYODのセキュリティリスク

BYODにはセキュリティリスクもあります、ここでは代表的な4つのセキュリティリスクについて紹介します。システム管理者はこれらのリスクを抑えた上で、BYOD利用に関する方針を検討する必要があります。

情報漏洩

BYODは企業からの貸与端末に比べて情報漏洩のリスクが高くなります。主な理由としては3つです。インターネットに自由に接続できるため、個人のクラウドストレージにも業務情報を保存可能な点、個人端末のためUSBやBluetoothなどの制限がかけられない点、社員離職時に個人端末内のデータ確認を行えない点です。このように貸与端末に比べて企業側でかけられる制約が少ないため、情報漏洩リスクが高くなります。

マルウェア感染

BYODの場合、ウイルス対策ソフトの更新や導入は従業員に依頼することになります。貸与端末であれば事前にこれらの設定を事前にできますが、個人端末では従業員に委ねるしかありません。気づかないうちに個人端末がマルウェアに感染し、その状態で個人端末が社内ネットワークに接続され、感染が拡大するリスクも考えられます。

端末の紛失

旅行先や電車内など、予期せぬ場所、タイミングで個人端末を紛失するリスクは避けられません。個人端末ではパスワード保護が不十分な場合も少なくなりません。また、紛失から報告までに時間がかかる可能性もあり、このような状況が長引くと被害拡大にもつながります。

なりすまし

個人端末を操作している人が従業員という保証はありません。端末の紛失や盗難で、従業員以外の人がシステムにアクセスするリスクは常にあります。リモートアクセスにおいて、システム管理者は端末利用者を確認する術がありません。BYODでは端末利用者の顔が見えない前提に立ち、強固な認証対策が求められます。

BYOD導入における7つのセキュリティ対策

BYODで発生するセキュリティリスクについて具体的な7つの対策を紹介します。自社のセキュリティニーズに合わせて、これらの対策を組み合わせることがオススメです。

MDM（端末管理）の導入

MDM（モバイルデバイス管理）は企業で利用される携帯端末を、一元的に管理・監視するソフトウェアです。端末のリモートロックやリモートワイプ（データ初期化）機能が備わっています。端末の紛失・盗難が発生した場合、MDMの機能で情報漏洩リスクを抑えられます。

またMDMは端末管理機能として、Wi-Fi、VPN、クライアント証明書などの設定を一括配布可能です。システム担当者はMDMを使うことで、端末設定作業の業務負荷を軽減できます。

モバイル端末を一元管理！スマートデバイスマネジメント

EDRの導入

EDRは「Endpoint Detection and Response」の略称です。従業員が利用する端末で、悪意あるプログラムの実行を即座に検知可能になります。EDRは「マルウェアの感染防止」ではなく「マルウェアの感染発覚」に主眼を置いたシステムです。近年のマルウェアは従来のファイル経由の感染手法以外に、コンピュータのメモリに直接プログラムを展開します。

このようなファイルレスマルウェアはプログラム実行まで発見が困難です。そのためリスク管理として、マルウェア感染後に被害を最小限に抑える方法としてEDRが注目されています。

ウイルス対策ソフトの導入

企業側でウイルス対策ソフトの指定、購入を行い、BYOD端末へのインストールを義務化します。業務に関係ないサイトの閲覧、個人メールアドレスでのフィッシングメール受信、BYODは貸与端末に比べてウイルス感染の危険性が高くなります。

スマートフォンアプリはApple、Googleの審査が行われており感染リスクはそれほど高くありません。しかし、ブラウザ経由でのWebサイト閲覧はその限りではありません。BYODに保存された企業の重要データが漏洩しないようにするためにも、ウイルス対策ソフトの導入が推奨されます。

監視や設定もNTT東日本が代行！「おまかせアンチウイルス」

VPN・クライアント証明書の導入

VPNとクライアント証明書は、社外からのアクセスの識別に有効です。社内ネットワークへの社外からの接続にはVPNが利用されます。IDとパスワードだけの識別であれば、任意の端末からアクセスできてしまいます。しかしクライアント証明書を組み合わせれば、認可された端末以外からの接続を判別してアクセス拒否可能です。VPNはアクセスログも残せることから、BYODであっても、有事の際に原因追求が容易になります。

なりすましの対策も行う場合は、上記に加えて指紋・顔認証など、二要素認証の導入が強固な対策につながります。

クラウドのアカウント権限管理

BYODではクラウド環境の業務システム利用も想定されます。そのため、チャットツールやクラウドストレージなど、権限の設定によっては個人端末に必要以上の情報が保存されてしまう可能性も考えられます。従業員の離職リスクも考慮すると、業務ツールの権限は必要最低限に絞ることがお勧めです。

リモートデスクトップの導入

リモートデスクトップは、物理的に離れたデスクトップ環境を、手元の端末から操作する技術です。利用者は専用のアプリケーションを端末にインストールすることで、デスクトップ環境にアクセスできます。手元の端末にはデータ保存がされず、画面の情報だけがやりとりされます。デスクトップ環境自体のセキュリティ設定はシステム担当者が行えるため、非常に効果的な情報漏洩対策です。

レンタルPCを導入する

予算的に従業員への端末支給が厳しくBYODを検討している場合、レンタルPCという選択肢も考えられます。従業員の個人端末ではないため、厳密にはBYODとはなりません。しかし、レンタルPCを利用すれば、個人端末へのデータ保存を避けられます。またデータレスPCであれば、データはすべてクラウドに自動保存されます。

BYOD導入時の5つの注意点

BYODを導入する際に注意したい5つのポイントを紹介します。導入にあたっては、セキュリティリスクだけでなく、費用負担や運用ルールについても検討が必要です。

従業員による端末・通信費用の負担

従業員の個人端末をBYODとして利用する場合、端末代や通信費は従業員名義で支払いを行うことになります。BYODでは個人利用と業務利用の両方を一つの端末で行います。そのため厳密な費用の切り分けは容易でありません。

対策としてはテレワーク手当の支給による端末代・通信費の補助や、公私分計サービスで従業員と企業で分割払いをするなど、従業員だけに過度な費用負担が発生しないように、きちんと対策を行いましょう。

従業員のプライバシー管理

MDMの導入や、企業購入のウイルス対策ソフトインストールの義務化など、BYODで強固なセキュリティ対策を行う場合、従業員の端末の管理・監視が避けられません。端末で閲覧しているサイトやインストールしているアプリをシステム担当者が把握できる可能性もあります。

企業のセキュリティを考える上では厳密に端末の状況を把握できることが理想です。しかし行き過ぎた管理は、従業員のプライバシーにも立ち入ることになるため、注意が必要です。特定のソフトウェアのインストールを義務付けるにしても、それが個人のプライバシーに紐づかない説明を忘れないようにしましょう。

従業員が退職した場合の情報整理

BYODを利用している従業員が離職すると、利用していたデータは従業員の端末に残ったままになります。しかし、端末上のデータを手動で完全に消し切ることは容易でありません。端末の初期化を行えればいいのですが、個人利用もしている端末では非現実的です。

離職時のリスクを抑える最善の方法はリモートデスクトップの利用です。これで従業員端末に企業のデータが残りません。別の対策としては、書面上でデータ削除の同意を得ることです。競業避止義務契約や秘密保持義務の締結を行い、万が一情報漏洩が発生した場合にも備えておくことがお勧めです。

EDRやMDMによるコスト増の可能性

BYODの導入は企業側の端末費用削減につながる一方、MDMやEDRといったセキュリティソフトの費用が発生します。セキュリティ対策費用が嵩んだ結果、BYOD導入前後で企業の費用負担額が変わらない可能性も考えられます。テレワーク手当や、セキュリティソフトの費用を精緻に見積もった上での、検討・導入がお勧めです。