あなたのチームは時間内に次のゼロデイを受け入れますか?
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
BYOD(Bring Your Own Device)とは、従業員や契約社員、その他の許可されエンドユーザーが、個人所有のノートPCやスマートフォンなどのデバイスを、企業ネットワークに接続して社内データにアクセスし、業務を行うことを認める条件や方法を定めた企業のITポリシーを指します。
2000年代後半にiOSやAndroidスマートフォンが登場した際に、当時の標準的な会社支給の携帯電話よりもこれらのデバイスを好む労働者が増えたために、BYODが台頭してきました。リモートワークやハイブリッド業務の取り決めが台頭し、ベンダーや請負業者との企業ネットワークの統合が進む中、BYODポリシーをスマートフォンを超えて拡張する必要性が高まりました。
最近では、新型コロナウイルス感染症のパンデミックやチップ不足とサプライチェーンの混乱によって、多くの組織がBYODの採用を余儀なくされました。このアプローチにより、新入社員は会社から支給されたデバイスを待つ間、仕事を進めることができました。
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
通常、最高情報責任者(CIO)やその他の高レベルのIT意思決定者の作成するBYODポリシーは、従業員所有のデバイスを職場で使用できる条件を定義します。また、エンドユーザーがツールの使用時に遵守しなければならないセキュリティー・ポリシーも確立します。
BYODポリシーの詳細は組織のBYOD戦略の目標によって異なりますが、ほとんどのデバイス・ポリシーでは次のようなバリエーションが定義されています。
許容される使用:BYODポリシーでは通常、従業員が個人所有のデバイスを業務関連タスクに使用する方法とタイミングについて概説しています。例えば、許容される使用ガイドラインには、仮想プライベート・ネットワーク(VPN)を介して企業リソースに安全に接続するための情報や、承認された仕事関連アプリのリストが含まれている場合があります。
利用規定では、多くの場合、従業員所有のデバイスを使用して企業の機微データをどのように処理・保管・送信する必要があるかを指定します。該当する場合、BYOD(個人所有デバイスの業務使用)ポリシーには、医療保険の相互運用性と説明責任に関する法律、サーベンス・オクスリー法、一般データ保護規則(GDPR)などの規制に準拠したデータ・セキュリティーおよび保持ポリシーも含まれる場合があります。
許可されるデバイス:BYODポリシーには、従業員が業務目的で使用できる個人所有デバイスの種類や最低オペレーティング・システム・バージョンなどの関連するデバイスの仕様の概要が記載されている場合があります。
セキュリティー対策:BYODポリシーは通常、従業員のデバイスに対するセキュリティー基準を定めています。こうした基準には、パスワードの最小要件や2要素認証ポリシー、機微情報バックアップ用プロトコル、デバイスの紛失または盗難時に従うべき手順などが含まれます。セキュリティー対策では、モバイル・デバイス管理(MDM)やモバイル・アプリケーション管理(MAM)ツールなど、従業員がデバイスにインストールする必要があるセキュリティー・ソフトウェアを指定することもできます。これらのBYODセキュリティー・ソリューションについては、以下でさらに詳しく説明します。
プライバシーと権限:BYODポリシーでは通常、組織が従業員の個人データと企業データの分離を維持する方法など、従業員のデバイス上のプライバシーを尊重するためにIT部門が講じる措置について概説します。このポリシーには、インストールが必要な特定のソフトウェアや制御が必要なアプリなど、IT部門が従業員のデバイスに必要とする特定の権限も詳しく記載される場合があります。
補償:デバイス購入やインターネットまたはモバイル・データプランに対するの補助金などの会社が従業員に個人所有デバイスの使用料を補償する場合、BYODポリシーには、補償の処理方法が概説されています。また、従業員が受け取ることができる金額も指定します。
ITサポート:BYODポリシーでは、会社のIT部門が壊れたり正しく機能しなかったりする個人所有デバイスのトラブルシューティングのために従業員をどの程度支援する(またはしない)かが明記されている場合があります。
オフボーディング:最後に、BYODポリシーは通常、従業員が会社を退職する場合やBYODプログラムからデバイスの登録を取り消す場合の手順を概説します。これらの終了手順には、多くの場合、企業の機微データをデバイスから削除し、ネットワーク・リソースへのデバイスのアクセス権限を取り消し、ユーザーまたはデバイス・アカウントを停止する計画が含まれています。
BYODプログラムにより、IT部門が会社支給のデバイスではあまり遭遇しない、あるいは遭遇しても程度が軽いデバイスのセキュリティー上の懸念が生じます。従業員のデバイスにハードウェアやシステムの脆弱性があると、企業の攻撃対象領域が拡大し、企業ネットワークに侵入して機微データにアクセスする新たな方法をハッカーに与えてしまう可能性があります。従業員は、会社支給のデバイスを使用しているときよりも、個人のデバイスを使用しているときの方が、より危険なネット閲覧やEメールまたはメッセージング使用をしてしまう可能性があります。従業員が個人使用したためにコンピューターに感染したマルウェアは、企業ネットワークに簡単に拡散してしまうおそれがあります。
会社支給のデバイスを使用する場合、IT部門はデバイスの設定・構成やアプリケーション・ソフトウェアおよび権限を直接監視・管理するため、こうした問題や似たような問題を回避できます。しかし、ITセキュリティー・チームが従業員の個人所有デバイスを同じように管理できる可能性は低く、おそらく従業員もそのレベルの管理に反発することでしょう。時間の経過とともに、企業はBYODセキュリティー・リスクの軽減のために他のさまざまなテクノロジーに目を向けるようになってきました。
仮想デスクトップとは、仮想デスクトップ・インフラストラクチャー(VDI)またはサービスとしてのデスクトップ(DaaS)とも呼ばれ、リモート・サーバーにホストされる仮想マシン上で実行される、完全プロビジョニング済みのデスクトップ・コンピューティング・インスタンスのことです。従業員はこれらのデスクトップにアクセスし、基本的には個人所有デバイスから、通常は暗号化された接続するかVPN経由でリモートで実行します。
仮想デスクトップでは、すべてが接続された向こう側で行われます。個人所有デバイスにアプリケーションがインストールされず、また、会社のデータは個人所有デバイスで処理・保管されません。これにより、個人所有デバイスに関するセキュリティー上の懸念のほとんどが効果的に解消されます。ただし、仮想デスクトップは導入と管理にコストがかかる可能性があります。インターネット接続に依存しているため、従業員がオフラインで作業する方法がありません。
クラウド・ベースのサービスとしてのソフトウェア(SaaS)は、管理オーバーヘッドが少なくて済み、同様のセキュリティー上のメリットがありますが、エンドユーザーの行動に対する制御は若干少なくなります。
BYODの台頭以前は、組織はモバイル・デバイス管理(MDM)ソフトウェアを使用して、会社支給のモバイル・デバイスを管理していました。MDMツールは、管理者がデバイスを完全にコントロールできるようにするもので、ログオンやデータ暗号化ポリシーの適用、企業向けアプリのインストール、アプリの更新のプッシュ通知、デバイスの位置情報の追跡、デバイスの紛失・盗難・その他の危険にさらされた場合のロックやワイプなどが可能です。
従業員が仕事で自分のスマートフォンを使用し始めて、ITチームに個人所有デバイスやアプリ、データに対する同レベルの制御を許可することに反発するまでは、MDMはモバイル管理ソリューションとして受け入れられていました。それ以降は、個人所有デバイスのユーザーや従業員の働き方の変化に伴い、新しいデバイス管理ソリューションが台頭してきました。
モバイル・アプリケーション管理(MAM):MAMは、デバイス自体を制御するのではなく、アプリ管理に重点を置いており、IT管理者が制御できるのは企業のアプリとデータのみです。MAMは、コンテナ化、つまり個人所有デバイス上のビジネス・データとアプリケーション用の安全なエンクレーブの作成を通じてこれを実現します。コンテナ化により、IT部門はコンテナ内のアプリケーションやデータ、デバイスの機能を完全に制御できますが、コンテナ外で従業員の個人データやデバイスのアクティビティーにタッチしたり、確認したりすることはできません。
エンタープライズ・モビリティー管理(EMM):BYOD採用が拡大し、スマートフォンからタブレットへ、そしてBlackberry OSやApple iOSからAndroidへと拡大するにつれ、MAMは従業員所有の新しいデバイスが企業ネットワークに組み込まれていくペースに追いつくのに苦労しました。この問題を解決するために、エンタープライズ・モビリティー管理(EMM)ツールが間を置かずに登場しました。EMMツールは、MDMやMAM、IDおよびアクセス管理(IAM)の機能を組み合わせ、ネットワーク上のすべての個人所有または会社支給のモバイル・デバイスを単一プラットフォーム、単一ペインで表示できるビューをIT部門に提供します。
EMMの欠点のひとつは、Microsoft WindowsやApple MacOS、Google Chromebookのコンピューターを管理できないことでした。従業員やサードパーティーが自分のPCを使用してリモートで作業できるようにするためにBYODの拡張が必要であったため、これは問題でした。このギャップを埋めるために、モバイル機器やノートPC、デスクトップのデバイス管理を単一プラットフォームに統合するUEMプラットフォームが登場しました。UEMにより、IT部門は、接続元に関係なく、あらゆるオペレーティング・システムを実行するあらゆる種類のデバイスのITセキュリティー・ツール、ポリシー、ワークフローを管理できるようになります。
BYODの組織にとってのメリットとして最もよく挙げられるのは次のとおりです。
雇用主は、全従業員のデバイス購入とプロビジョニングの責任を負う必要がなくなります。ほとんどの従業員または全従業員に対してBYODを導入し、うまく管理できる企業は、相当の節約効果が得られます。
従業員は、業務に関連した作業を開始するために、会社から支給されたデバイスを待つ必要がなくなりました。これは、最近のチップ不足やその他のサプライチェーンの混乱により、企業が仕事を始めるのに間に合うように従業員にコンピューターを提供できなくなっている場合に特に重要なメリットです。
従業員の中には、会社から支給された機器よりも、自分のデバイスの方が使い慣れていたり、高性能だと感じており、自分のデバイスで仕事をすることを好む人もいます。
BYODの以上のメリットやその他のメリットは、従業員と雇用主にとっての次のような課題やトレードオフによって相殺される可能性があります。
従業員は、自分の個人データや行動の可視性について懸念を抱くことがあります。また、IT部門に義務付けられたソフトウェアを個人所有のデバイスにインストールすることに抵抗を感じることもあります。
BYOD(個人所有デバイスの業務使用)が義務付けられた場合、適切な個人所有デバイスを所有する余裕がない人や所有していない人は検討の対象から除外される可能性があります。また、雇用主が費用を回収するかどうかにかかわらず、パーソナル・コンピューターの使用を義務付ける組織では働きたくない場合もあります。
BYODと共にセキュリティーおよびデバイス管理ソリューションを導入していても、従業員が個人所有デバイスで適切なパスワード管理や物理的なデバイス・セキュリティーなどのサイバーセキュリティーのベスト・プラクティスを常に遵守しているとは限らないため、ハッカーやマルウェア、データ侵害の危険にさらされる可能性があります。
医療・金融・政府機関その他の規制の厳しい業界の雇用主の場合、機微情報の取り扱いをめぐる厳しい規制や高額な罰則により、一部の従業員または全従業員にBYODを導入できないことがあります。