情シス奮闘記 中小企業編
第8回テーマ 「BYOD」
2017年9月
自分のスマホを業務で使う前に、どう対策しておけばいいの?
先月、シャドーITの管理の徹底を加藤と一緒になってセキュリティポリシーの再整備に取り組んだ中村だったが、実は一つ気がかりがあった。ポリシーを徹底したのはいいが、BYODの導入をしなくていいのか、ということだ。そんなおり、社内で聞き捨てならない会話が耳に入ってきた。「実はタクシーにスマホを忘れかけちゃってね。危ない所だったよ」。これを聞いて中村は、あらためてBYODの導入の必要性を感じるのだった。
BYOD推進では、管理ツール導入が欠かせない
「BYODって何ですか」
と、情シス担当の中村和人に聞いてきたのは、総務部の加藤彩だ。
「Bring Your Own Device。直訳すれば、自分のデバイスを持ち込む、ということ。従業員が個人保有のスマホやPCなどを職場に持ち込み、それを業務に使用することだね。つまり私的端末の業務利用。実は、これをうちに導入すべきかどうか、いま迷っているんだ」
最近のスマホはいわば画面の小さなパソコン。メールやWebブラウジングだけでなく、ExcelやPowerPoint、PDFなど業務に使われる書類を読み書きすることができるし、特定業務に特化したアプリも配布されている。スマホは個人から普及していったので、私用のスマホで業務をこなす人が増えてきたのだ。
「最初はアメリカの企業で進んで、最近は日本でも導入する企業が増えているよ」と、中村。
「確かに、会社支給のスマホだとOSが違ってたり、自分のものより古い機種だったりしますね。使い勝手は慣れた自分のスマホの方が断然いいな。自分のスマホで業務も処理できるなら、便利だし。残業せずに家に帰ってから、ちゃちゃっと仕事を終わらせることもできるもの」と、加藤。
「でも、そういう状態は企業のシステム管理者にとっては実に頭が痛いことなんだよ。会社が支給するPCやスマホと比べると、セキュリティが甘いだろう。仕事のファイルを表示したままのスマホをなくされたりでもしたら、とんでもないことになるからね」
「私用のスマホでも、会社がきちんと管理すれば、安心なんじゃないかしら」
「そうなんだ、それがまさにBYODなんだよ。もし企業の機密情報を入れたスマホやタブレットを失くしたら、すぐにリモートから端末の情報を削除したり、他の人が使えないようにロックをかけたりできる。MDM(Mobile Device Management)っていうんだけれど、こういう管理ツールを使えばBYODも比較的安心なんだ」
「じゃ、早速明日からでも会社が営業の人たちに支給している社用のスマホは廃止して、BYODに切り替えたらいいじゃないですか。そのほうがコストも安いでしょ」
「ただね……」
と、嬉しそうにしている加藤を前に、中村は腕組みをするのだ。
モバイル端末へのセキュリティ意識はまだまだ低い
中村が悩んだのは以前、「BYODは3割以上に普及しているが、MDM導入は1割未満」という記事を読んだことがあるからだ。
BYODつまり私用のタブレット端末およびスマホを業務に利用している割合を調査したデータによれば、アミダ社のような従業員100人以下の企業では、32.7%の企業がBYODを認めている。
ところが、そのセキュリティ対策となると、中小企業では社用・私用を問わず「端末のパスワード設定」をしている企業は6割止まり、「セキュリティソフトの導入」は31%、「特に何も実施していない」企業が23.8%もあるというのだ。「MDM(モバイル管理ツール)による端末管理」を行っている企業にいたってはわずか6%とお寒い現状が浮かび上がる(『2016年度中小企業における情報セキュリティ対策の実態調査』(独立行政法人 情報処理推進機構=IPA 2017年3月30日発表))。
このデータを中村に見せられた加藤はこう呟くのだ。
「パスワード設定って基本じゃないですか。私のスマホだって、パスワードかけていますよ。なのに企業で使うのに4割がそれすらもしていないって……驚きだわ」
「そうなんだ。まずそこからきちんと対策を立てないといけない。それから、MDMの導入率も低すぎる。なんでだろうと思って、この前、友人の海田に聞いたんだ」
システム会社でSEをしている海田は、日本の中小企業におけるBYODやMDMの導入を阻む原因を次のように推測してくれた。
「一つには、MDMを導入するにしても、私用のスマホやタブレットは機種もまちまち、OSやそのバージョンもまちまちなので、管理が複雑になるってことだろうね。そこに手間をかけるぐらいなら、機種やOSを統一した社用のスマホを配ったほうが簡単だと考える情シス担当者や経営者がいるんだろう」
他にも、私用端末は個人が勝手にアプリをインストールできるから、たとえ故意はなかったにしても、知らない間にデータが漏れてしまうというリスクもある。
「そもそも、BYODをやるなら、何のためにやるのかという目的をはっきりさせないと、それに対するセキュリティ対策にどのぐらいコストをかけるかも明確にならないよ。まずそれが先決だよね」と、海田はアドバイスしてくれたのだった。
BYOD~メリットとデメリットを比較する
二人は、これまでの話をこんなふうにまとめてみた。
BYODのメリット
- 個人持ちの機器の方が高性能である場合が多い
- 企業支給の端末購入負担や配布の手間を省くことができる
- 個人が自分の使いやすい機器を選択できる
- モバイルワークの推進で従業員の生産性を向上させる
BYODのリスク(デメリット)
- 情報管理
情報漏えいにつながる可能性(従業員が会社のネットワークにアクセスしたスマホを紛失した場合、このスマホに残る秘密情報が、外部に流出する潜在的な危険性など) - 社内サーバなどへの接続時のセキュリティが担保されにくい
- 情報機器の購入や月額コストは従業員負担になるため、それに見合う手当が支給されない場合は、事実上の賃下げにつながる
- 複数の環境
個人機器の利用であるため、すべてのユーザーが同一の環境や同一の機器であるとは限らない
「大体こういうところですよね。さて、メリットとデメリットのどちらが大きいのかしら」と加藤。
「僕はメリットの方が多いと思うんだよ。でも、そのためにはデメリットを減らす工夫をしなくちゃね。そこで、BYODを導入することを前提に、ツールなどによる管理のポイントをこんな風に考えてみたんだ。管理ツールでこういうことができれば、たとえコストと手間がかかっても導入する意味はあるんだ」
BYOD管理のポイント
- 認証ページによるゲスト端末の自動登録ができる
- 接続端末の種類を特定して接続制限を行い、不正な利用を防止できる
- 端末利用時の管理者側操作が不要など、管理者の負担が軽減されていること
- デバイス側にデータを持たせないようにできる。これなら万一の場合のワイプ(遠隔からのデータ消去)も不要で、運用管理者の負担はかなり低い
「わぁなんか具体的。中村さんの手間を省く機能ばかりですね」
「当たり前じゃないか。情シス部門の負担を減らすためにこそツールはあるんだから。ね、加藤さん、こういうことができるソリューションを一緒に調べてみようよ」
「はい、わかりました。ただ、その前にやはり、BYODの導入で会社の仕事がどんなに効率的になるかってことを社員にきちんと伝えるほうが先ですよ。単に私用のスマホのほうが便利だからというんじゃぁ、絶対みんなセキュリティを意識しなくなるし。私はやはり、モバイルワークの推進でみんなの生産性が上がるよ、でも同時にリスクも増えるから緊張感を持ってね。もちろん、会社はツールの導入を検討しているよ、どんな機能があればいいかみんなも意見を出してね~って、順番に説明していくほうがいいんじゃないかと」
「うーん、その通りだね。今回は少し先走ってしまったよ。社員向けの説明方法をうまく考えないといけないね」
と、中村は加藤のアドバイスに感謝するのだった。
今回のポイント
- 私用端末を業務に活用するBYODは、モバイルワークの推進につながり、従業員の生産性を向上させる
- しかし、同時に機密情報漏えいなどのリスクも高まる
- こうしたリスクの存在や、管理の手間などが壁になって、日本の中小企業におけるBYODは大きくは進んでいない
- BYODを推進するためには適切なMDMツールの導入は不可欠だが、自社の使用状況を踏まえて、その仕様はよく検討する必要がある
- 同時に携帯端末利用における「公私混同」が起きないように、従業員にきちんと説明することが前提だ