BYODまたは個人所有デバイスの業務使用とは、従業員や請負業者およびその他の許可されたエンドユーザーが企業ネットワーク上で自分のノートPCやスマートフォンその他の個人所有デバイスをいつ、どのように使用して企業データにアクセスし、職務を遂行できるかを決定する企業のITポリシーを指します。
BYODは、2000年代後半にiOSやAndroidスマートフォンが登場した際に、当時の標準的な会社支給の携帯電話よりもこれらのデバイスを好む労働者が増えたために台頭してきました。リモートワークやハイブリッドワークの取り決めが台頭し、ベンダーや請負業者に企業ネットワークが開放されたことで、BYODポリシーをスマートフォンを超えて拡張する必要性が高まりました。最近では、新型コロナウイルス感染症のパンデミックとそれに伴うチップ不足とサプライチェーンの混乱により、多くの組織は、新入社員が会社支給のデバイスを待っている間に働けるようにするためにBYODポリシーの採用を余儀なくされました。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
X-Force Threat Intelligenceインデックスに登録する
業務使用する個人所有デバイスで企業データとプライバシーを保護する方法。
通常、最高情報責任者(CIO)やその他の高レベルのIT意思決定者の作成するBYODポリシーは、従業員所有のデバイスを職場で使用できる条件と、エンドユーザーがデバイスの使用時に遵守する必要があるセキュリティー・ポリシーを定義します。
BYODポリシーの詳細は組織のBYOD戦略の目標によって異なりますが、ほとんどのデバイス・ポリシーでは次のようなバリエーションが定義されています。
許容される使用:BYODポリシーでは通常、従業員が個人所有のデバイスを業務関連タスクに使用する方法とタイミングについて概説しています。例えば、許容される使用ガイドラインには、仮想プライベート・ネットワーク(VPN)を介して企業リソースに安全に接続するための情報や、承認された仕事関連アプリのリストが含まれている場合があります。
利用規定では、多くの場合、従業員所有のデバイスを使用して企業の機微データをどのように処理・保管・送信する必要があるかを指定します。場合によっては、BYODポリシーには、医療保険の相互運用性と説明責任に関する法律(HIPAA法)やサーベンス・オクスリー法、一般データ保護規則(GDPR)などの規制に準拠したデータ・セキュリティーおよび保存ポリシーも含まれる場合があります。
許可されるデバイス:BYODポリシーには、従業員が業務目的で使用できる個人所有デバイスの種類や最低オペレーティング・システム・バージョンなどの関連するデバイスの仕様の概要が記載されている場合があります。
セキュリティ対策: BYODポリシーは通常、従業員のデバイスに対するセキュリティー基準を定めています。こうした基準には、パスワードの最小要件や2要素認証ポリシー、機微情報バックアップ用プロトコル、デバイスの紛失または盗難時に従うべき手順などが含まれます。セキュリティー対策では、モバイル・デバイス管理(MDM)ツールやモバイル・アプリケーション管理(MAM)ツールなどの従業員が自分のデバイスにインストールする必要があるセキュリティー・ソフトウェアを指定する場合もあります。これらのBYODセキュリティー・ソリューションについては、以下でさらに詳しく説明します。
プライバシーと権限:BYODポリシーでは通常、組織が従業員の個人データと企業データの分離を維持する方法など、従業員のデバイス上のプライバシーを尊重するためにIT部門が講じる措置について概説します。このポリシーには、インストールが必要な特定のソフトウェアや制御が必要なアプリなど、IT部門が従業員のデバイスに必要とする特定の権限も詳しく記載される場合があります。
補償:デバイス購入やインターネットまたはモバイル・データプランに対するの補助金などの会社が従業員に個人所有デバイスの使用料を補償する場合、BYODポリシーには、補償の処理方法と従業員が受け取る金額の概要が記載されています。
ITサポート:BYODポリシーでは、会社のIT部門が壊れたり正しく機能しなかったりする個人所有デバイスのトラブルシューティングのために従業員をどの程度支援する(またはしない)かが明記されている場合があります。
オフボーディング:最後に、BYODポリシーは通常、従業員が会社を退職する場合やBYODプログラムからデバイスの登録を取り消す場合の手順を概説します。これらの終了手順には、多くの場合、企業の機微データをデバイスから削除し、ネットワーク・リソースへのデバイスのアクセス権限を取り消し、ユーザーまたはデバイス・アカウントを停止する計画が含まれています。
BYODプログラムにより、IT部門が会社支給のデバイスではあまり遭遇しないような程度は低いですが、デバイスのセキュリティー上の懸念が生じます。従業員のデバイスにハードウェアやシステムの脆弱性があると、企業の攻撃対象領域が拡大し、企業ネットワークに侵入して機微データにアクセスする新たな方法をハッカーに与えてしまう可能性があります。従業員は、会社支給のデバイスを使用しているときよりも、個人のデバイスを使用しているときの方が、より危険なネット閲覧やEメールまたはメッセージング使用をしてしまう可能性があります。従業員が個人使用したためにコンピューターに感染したマルウェアは、企業ネットワークに簡単に拡散してしまうおそれがあります。
会社支給のデバイスを使用する場合、IT部門はデバイスの設定・構成やアプリケーション・ソフトウェアおよび権限を直接監視・管理するため、こうした問題や似たような問題を回避できます。しかし、ITセキュリティー・チームが従業員の個人所有デバイスを同じように管理できる可能性は低く、おそらく従業員もそのレベルの管理に反発することでしょう。時間の経過とともに、企業はBYODセキュリティー・リスクの軽減のために他のさまざまなテクノロジーに目を向けるようになってきました。
仮想デスクトップ
仮想デスクトップとは、仮想デスクトップ・インフラストラクチャー(VDI)またはサービスとしてのデスクトップ(DaaS)とも呼ばれ、リモート・サーバーにホストされる仮想マシン上で実行される、完全プロビジョニング済みのデスクトップ・コンピューティング・インスタンスのことです。従業員はこれらのデスクトップにアクセスし、基本的には個人所有デバイスから、通常は暗号化された接続するかVPN経由でリモートで実行します。
仮想デスクトップでは、すべてが接続された向こう側で行われます。個人所有デバイスにアプリケーションがインストールされず、また、会社のデータは個人所有デバイスで処理・保管されません。これにより、個人所有デバイスに関するセキュリティー上の懸念のほとんどが効果的に解消されます。ただし、仮想デスクトップは導入と管理にコストがかかる可能性があります。インターネット接続に依存しているため、従業員がオフラインで作業する方法がありません。
クラウドベースのサービスとしてのソフトウェア(SaaS)は、管理オーバーヘッドが少なくて済み、同様のセキュリティー上のメリットがありますが、エンドユーザーの行動に対する制御は若干少なくなります。
デバイス管理ソリューション
BYODの台頭以前は、組織はモバイル・デバイス管理(MDM)ソフトウェアを使用して、会社支給のモバイル・デバイスを管理していました。MDMツールは、管理者がデバイスを完全にコントロールできるようにするもので、ログオンやデータ暗号化ポリシーの適用、企業向けアプリのインストール、アプリの更新のプッシュ通知、デバイスの位置情報の追跡、デバイスの紛失・盗難・その他の危険にさらされた場合のロックやワイプなどが可能です。
従業員が仕事で自分のスマートフォンを使用し始めて、ITチームに個人所有デバイスやアプリ、データに対する同レベルの制御を許可することに反発するまでは、MDMはモバイル管理ソリューションとして受け入れられていました。それ以降は、個人所有デバイスのユーザーや従業員の働き方の変化に伴い、新しいデバイス管理ソリューションが台頭してきました。
モバイル・アプリケーション管理(MAM):MAMは、デバイス自体を制御するのではなく、アプリ管理に重点を置いており、IT管理者が制御できるのは企業のアプリとデータのみです。MAMは、コンテナ化、つまり個人所有デバイス上のビジネス・データとアプリケーション用の安全なエンクレーブの作成を通じてこれを実現します。コンテナ化により、IT部門はコンテナ内のアプリケーションやデータ、デバイスの機能を完全に制御できますが、コンテナ外で従業員の個人データやデバイスのアクティビティーにタッチしたり、確認したりすることはできません。
エンタープライズ・モビリティー管理(EMM):BYOD採用が拡大し、スマートフォンからタブレットへ、そしてBlackberry OSやApple iOSからAndroidへと拡大するにつれ、MAMは従業員所有の新しいデバイスが企業ネットワークに組み込まれていくペースに追いつくのに苦労しました。この問題を解決するために、エンタープライズ・モビリティー管理(EMM)ツールが間を置かずに登場しました。EMMツールは、MDMやMAM、IDおよびアクセス管理(IAM)の機能を組み合わせ、ネットワーク上のすべての個人所有または会社支給のモバイル・デバイスを単一プラットフォーム、単一ペインで表示できるビューをIT部門に提供します。
統合エンドポイント管理(UEM)。EMMの欠点のひとつは、Microsoft WindowsやApple MacOS、Google Chromebookのコンピューターを管理できないことでした。従業員やサードパーティーが自分のPCを使用してリモートで作業できるようにするためにBYODの拡張が必要であったため、これは問題でした。このギャップを埋めるために、モバイル機器やノートPC、デスクトップのデバイス管理を単一プラットフォームに統合するUEMプラットフォームが登場しました。UEMにより、IT部門は、接続元に関係なく、あらゆるオペレーティング・システムを実行するあらゆる種類のデバイスのITセキュリティー・ツール、ポリシー、ワークフローを管理できるようになります。
BYODの組織にとってのメリットとして最もよく挙げられるのは次のとおりです。
BYODの以上のメリットやその他のメリットは、従業員と雇用主にとっての次のような課題やトレードオフによって相殺される可能性があります。
モバイルの生産性を向上させ、コストを削減し、従業員のプライバシーを保護するBYODセキュリティーを提供します。
AI駆動型統合エンドポイント管理(UEM)でモバイルワーカーを管理・保護します。
オープン・クラウドとAIのアプローチを採用して、統合エンドポイント管理(UEM)であらゆるデバイスを保護・管理します。
UEMを使用すると、ITチームとセキュリティー・チームが単一のツールを使用して、ネットワーク上のすべてのエンドユーザー・デバイスを一貫した方法で監視・管理・保護できるようになります。
IAMは、IT管理者が各エンティティーに単一のデジタルIDを割り当て、ログイン時に認証し、指定されたリソースへのアクセスを許可し、ライフサイクル全体にわたってそれらのIDを監視・管理できるようにします。
モバイル・セキュリティーは、モバイル・デバイスと通信ハードウェアをデータ損失や資産損失から保護します。
モバイル・デバイスやユーザーおよびデータを確実に保護できるように、モバイル・デバイス管理とモバイル・アプリケーション管理の違いをご確認ください。
高度なエンドポイント保護、ラップトップ管理、リスクベースのアプリケーションパッチ適用の類似点と相違点についてお読みください。
MaaS360の導入により、Credico社はコンプライアンス施行とレポート機能、セルフサービス・ポータル機能を向上させ、ポリシーの完全順守、セキュリティー・リスクの迅速な特定と修復、コストの大幅な削減を達成しました。