第8回テーマ　「BYOD」

自分のスマホを業務で使う前に、どう対策しておけばいいの？

「BYODって何ですか」

と、情シス担当の中村和人に聞いてきたのは、総務部の加藤彩だ。

「Bring Your Own Device。直訳すれば、自分のデバイスを持ち込む、ということ。従業員が個人保有のスマホやPCなどを職場に持ち込み、それを業務に使用することだね。つまり私的端末の業務利用。実は、これをうちに導入すべきかどうか、いま迷っているんだ」

最近のスマホはいわば画面の小さなパソコン。メールやWebブラウジングだけでなく、ExcelやPowerPoint、PDFなど業務に使われる書類を読み書きすることができるし、特定業務に特化したアプリも配布されている。スマホは個人から普及していったので、私用のスマホで業務をこなす人が増えてきたのだ。

「最初はアメリカの企業で進んで、最近は日本でも導入する企業が増えているよ」と、中村。

「確かに、会社支給のスマホだとOSが違ってたり、自分のものより古い機種だったりしますね。使い勝手は慣れた自分のスマホの方が断然いいな。自分のスマホで業務も処理できるなら、便利だし。残業せずに家に帰ってから、ちゃちゃっと仕事を終わらせることもできるもの」と、加藤。

「でも、そういう状態は企業のシステム管理者にとっては実に頭が痛いことなんだよ。会社が支給するPCやスマホと比べると、セキュリティが甘いだろう。仕事のファイルを表示したままのスマホをなくされたりでもしたら、とんでもないことになるからね」

「私用のスマホでも、会社がきちんと管理すれば、安心なんじゃないかしら」

「そうなんだ、それがまさにBYODなんだよ。もし企業の機密情報を入れたスマホやタブレットを失くしたら、すぐにリモートから端末の情報を削除したり、他の人が使えないようにロックをかけたりできる。MDM（Mobile Device Management）っていうんだけれど、こういう管理ツールを使えばBYODも比較的安心なんだ」

「じゃ、早速明日からでも会社が営業の人たちに支給している社用のスマホは廃止して、BYODに切り替えたらいいじゃないですか。そのほうがコストも安いでしょ」

「ただね……」

と、嬉しそうにしている加藤を前に、中村は腕組みをするのだ。

中村が悩んだのは以前、「BYODは3割以上に普及しているが、MDM導入は1割未満」という記事を読んだことがあるからだ。

BYODつまり私用のタブレット端末およびスマホを業務に利用している割合を調査したデータによれば、アミダ社のような従業員100人以下の企業では、32.7％の企業がBYODを認めている。

ところが、そのセキュリティ対策となると、中小企業では社用・私用を問わず「端末のパスワード設定」をしている企業は6割止まり、「セキュリティソフトの導入」は31％、「特に何も実施していない」企業が23.8％もあるというのだ。「MDM（モバイル管理ツール）による端末管理」を行っている企業にいたってはわずか6％とお寒い現状が浮かび上がる（『2016年度中小企業における情報セキュリティ対策の実態調査』（独立行政法人 情報処理推進機構＝IPA 2017年3月30日発表））。

このデータを中村に見せられた加藤はこう呟くのだ。

「パスワード設定って基本じゃないですか。私のスマホだって、パスワードかけていますよ。なのに企業で使うのに4割がそれすらもしていないって……驚きだわ」

「そうなんだ。まずそこからきちんと対策を立てないといけない。それから、MDMの導入率も低すぎる。なんでだろうと思って、この前、友人の海田に聞いたんだ」

システム会社でSEをしている海田は、日本の中小企業におけるBYODやMDMの導入を阻む原因を次のように推測してくれた。

「一つには、MDMを導入するにしても、私用のスマホやタブレットは機種もまちまち、OSやそのバージョンもまちまちなので、管理が複雑になるってことだろうね。そこに手間をかけるぐらいなら、機種やOSを統一した社用のスマホを配ったほうが簡単だと考える情シス担当者や経営者がいるんだろう」

他にも、私用端末は個人が勝手にアプリをインストールできるから、たとえ故意はなかったにしても、知らない間にデータが漏れてしまうというリスクもある。

「そもそも、BYODをやるなら、何のためにやるのかという目的をはっきりさせないと、それに対するセキュリティ対策にどのぐらいコストをかけるかも明確にならないよ。まずそれが先決だよね」と、海田はアドバイスしてくれたのだった。

二人は、これまでの話をこんなふうにまとめてみた。

「大体こういうところですよね。さて、メリットとデメリットのどちらが大きいのかしら」と加藤。

「僕はメリットの方が多いと思うんだよ。でも、そのためにはデメリットを減らす工夫をしなくちゃね。そこで、BYODを導入することを前提に、ツールなどによる管理のポイントをこんな風に考えてみたんだ。管理ツールでこういうことができれば、たとえコストと手間がかかっても導入する意味はあるんだ」

「わぁなんか具体的。中村さんの手間を省く機能ばかりですね」

「当たり前じゃないか。情シス部門の負担を減らすためにこそツールはあるんだから。ね、加藤さん、こういうことができるソリューションを一緒に調べてみようよ」

「はい、わかりました。ただ、その前にやはり、BYODの導入で会社の仕事がどんなに効率的になるかってことを社員にきちんと伝えるほうが先ですよ。単に私用のスマホのほうが便利だからというんじゃぁ、絶対みんなセキュリティを意識しなくなるし。私はやはり、モバイルワークの推進でみんなの生産性が上がるよ、でも同時にリスクも増えるから緊張感を持ってね。もちろん、会社はツールの導入を検討しているよ、どんな機能があればいいかみんなも意見を出してね～って、順番に説明していくほうがいいんじゃないかと」

「うーん、その通りだね。今回は少し先走ってしまったよ。社員向けの説明方法をうまく考えないといけないね」

と、中村は加藤のアドバイスに感謝するのだった。

• 私用端末を業務に活用するBYODは、モバイルワークの推進につながり、従業員の生産性を向上させる
• しかし、同時に機密情報漏えいなどのリスクも高まる
• こうしたリスクの存在や、管理の手間などが壁になって、日本の中小企業におけるBYODは大きくは進んでいない
• BYODを推進するためには適切なMDMツールの導入は不可欠だが、自社の使用状況を踏まえて、その仕様はよく検討する必要がある
• 同時に携帯端末利用における「公私混同」が起きないように、従業員にきちんと説明することが前提だ

• アミダ社：社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
• 中村 和人：総務部所属。情シスを1人で取り仕切っている。入社11年目
• 江窪 満：アミダ社の社長。2代目だからか、どこかのんびりしているところがある
• 仙道 淳：営業職の社内ユーザー。トラブルをよく起こす社員
• 海田 大輔：外部のシステム会社のSE。中村の友人
• 加藤 彩：総務部の女性社員。陰ながら中村をサポートしている
• 早田 昌司：入社4年目。生産部門と情報部門を兼任しながら、情報セキュリティ専門家への一歩を踏み出す

＊文中の氏名・社名はいずれも実在するものではありません

• 第1回　テーマ「セキュリティ教育」
• 第2回　テーマ「サイバー攻撃」
• 第3回　テーマ「SNS利用編」
• 第4回　テーマ「改正個人情報保護法」
• 第5回　テーマ「働き方改革」
• 第6回　テーマ「ランサムウェア」
• 第7回　テーマ「シャドーIT」
• 第8回　テーマ「BYOD」
• 第9回　テーマ「IT資産管理」
• 第10回　テーマ「顔認証」（前編）
• 第11回　テーマ「顔認証」（後編）
• 第12回　テーマ「IoT」（前編）
• 第13回　テーマ「IoT」（後編）
• 第14回　テーマ「サイバーセキュリティ経営ガイドライン改訂」
• 第15回　テーマ「企業間データ提携」
• 第16回　テーマ「セキュリティ人材育成」
• 第17回　テーマ「OS移行（Windows 10）」
• 第18回　テーマ「ビジネスメール詐欺」
• 第19回　テーマ「Webサービスからの個人情報窃取」
• 第20回　テーマ「内部不正」
• 第21回　テーマ「無線LAN」
• 第22回　テーマ「メール誤送信」

いまほしい栄養（情報）をピンポイントで補給できる“ビジネスのサプリメント”
「ビズサプリ」のご紹介