「BYOD」は是か?非か?
スマートフォンの私物解禁を考える

最近、「BYOD(Bring Your Own Device)」という言葉をよく耳にします。
日経BP社では、これを「私物解禁」と表現しています。

もともとは、欧米のレストランなどで食事の際に好きなワインを持ち込めるサービス形態のことを「BYO」と言いました。そこから私物のモバイルデバイスを業務に持ち込むという意味で「BYOD」という言葉が使われるようになったそうです。

スマートフォンの『BYOD』は、たくさんの課題が山積している一方で、新しいワークスタイルの確立を後押しすることも事実です。

最終回のuniConnect大研究は、私物スマートフォンを業務でも使いこなす「BYOD」について考えてみたいと思います。

『BYOD』をなんとなく黙認していませんか?

黙認されるBYOD

スマートフォンは、個人の携帯電話の買い替え端末として急激に普及しはじめています。スマートフォンを便利に使いこなすビジネスマンの多くが、業務でも私物のスマートフォンを利用したいと考えるのは自然の成り行きでしょう。見渡してみてください、あなたの周りで私物のスマートフォンを完全にプライベートだけで使っている人はいるでしょうか?

スマートフォンの多くがAirsyncを搭載しており、会社のExchangeサーバーなどと連携しやすいことから、会社メールやアドレス帳、スケジュールと同期して、私物のスマートフォンを業務利用しやすいという特長を持っています。

もしかしたら、会社がBYODを許可しようがしまいが、すでに個人所有のスマートフォンは、業務に利用されている可能性があります。

実際、日経コンピュータ(2011年6月23日号)の記事では、私物の携帯電話やスマートフォンの業務利用を認めている企業は20%程度である一方で、私物を業務で利用しているビジネスマンは、51%にも上るという結果が出ています。さらに、「認めていないが黙認している」「そもそもルールがない」と回答する企業は33%にも上ります。

さらに、携帯電話の延長上で使い始めたビジネスマンは、それがPCと同等の機能を持っていることを知りながら、スマートフォンならではのセキュリティリスクについては、あまり理解していないという実情があります。

「業務効率をあげるために、私物のスマートフォンをこっそり業務に使う人が増えている」
「スマートフォンのセキュリティ上のリスクを、正しく理解していない」
「会社のセキュリティポリシーが、スマートフォンを考慮していない」

という状況が垣間見えますが、あなたの勤める企業では、私物スマートフォンの業務利用をなんとなく「黙認」していませんか?

BYODを禁止できるのか?

私たちの周りでも、まだBYODに対して敬遠する企業が多いのも事実です。では、スマートフォンのBYODは、会社にとってどのようなメリット/デメリットが考えられるでしょうか。

まず、社員分のスマートフォンを準備しなくてもよくなり、経費抑制につながるというメリットがあります。社員は、使い慣れた端末なら積極的に活用するようになるでしょうし、仕事用とプライベート用のスマートフォン2台を持ち歩く必要がなくなります。2台を充電する手間も減るでしょう。

一方で、情報システム部門からみたら、情報漏えいのリスクが増えてしまうというデメリットがあります。特にスマートフォンは、PCよりも盗難・紛失に遭いやすいので、そのリスクはPCよりも高くみえるかもしれません。こう書くと「乗り越えなければならないセキュリティリスクがあるから、スマートフォンの業務利用は禁止しておくか」と考えてしまう方もいるでしょう。

ちょっと待ってください。

BYODは禁止できるか?

いま、私物スマートフォンの業務利用を禁止したとします。しかし、社員は自分のスマートフォンで情報収集を行い、いつでも書類を参照できるようにオンラインストレージサービスにファイルを置いたり、連絡をとりやすくするためにプライベートのアドレス帳に取引先の連絡先を保管するようになります。そんなスマートフォンが、うっかり紛失されたり、マルウェアに感染したら?

実は禁止すればするほど、見えないリスクが増えるばかりで、何もいいことがないのです。むしろ、きちんと「BYOD」に向き合って、正しくリスクを理解し、適切な方向に導いていく方が得策だと考えられます。

BYODは、企業にとって議論を避けて通れない事態になっているのです。

まず「PCとスマートフォンの違い」を知ろう

スマートフォンの業務利用を検討するにあたって、情報システム部門はPCと同じ感覚でスマートフォンを管理しようとする傾向があります。

まず、PCとスマートフォンの違いを理解してみましょう。

セキュリティ設定 PC スマートフォン 携帯電話
認証設定(認証方式の選択、認証強度の調整) X
アカウント設定(初期アカウントの停止、パスワード設定)
デバイス接続制御(外部記憶媒体、外部機器の接続制御) X X
不要なサービスの停止 X
パーソナルファイアウォール X X
ウイルス対策
自動アップデート
暗号化(通信及びファイルシステム)
無線LANセキュリティ
ログ採取 X
アプリケーションインストール制御
不正プログラム実行防止 X
レジストリ / カーネルパラメータ操作 X X
特権制御 X
記憶域のデータ消去(物理フォーマット)機能 X

◎ : 多くのスマートフォンで実装されている
△ : 一部のスマートフォンで実装されている
 X : ほとんどのスマートフォンで実装されていない

【出典:スマートフォンの安全な利活用のすすめβ版(スマートフォン活用セキュリティガイドラインWG / JNSA発行)

これを見ておわかりのように、PCとスマートフォンはできることが非常に近い印象がある割に、PCのような柔軟なコンフィグレーションができない事項があり、PCと同レベルのセキュリティ対策が行えないという事実があります。

PCとスマートフォンの違いを知ろう

特にAndroidスマートフォンは、機種ごとにベースのAndroid OSをカスタマイズしているケースが多く、OSのセキュリティアップデートにタイムラグがあったり、一般的なMDM(Mobile Device Management)を用いたデバイス管理を行おうとしても、適切に管理できるかどうかは端末メーカーの設計に依存している状態です。

そもそも、スマートフォンOSがMDMに完全に対応していないケースも見られ、例えば暗号化や各種設定変更、利用制限などがOSのバージョンによっては非対応となる場合があります。

技術だけでは解決できない

技術だけでは解決できない

スマートフォンはまだまだ成長期にあり、OSのバージョンやアップデート状況も端末によって異なります。Android端末を狙ったマルウェアも増加しており、今後はPCと同レベルで警戒する必要がでてくるでしょう。

スマートフォンに対して、PCと同じようなセキュリティ対策を施すことは、技術面でもコストの面でも非常に難しいです。つぶせないリスクはPCにもあります。それでも私たちはPCを業務で利用することを厭いません。スマートフォンも同じだと思いませんか。

では、技術で解決できないセキュリティ対策はどうしたらいいのか?

ここまで、かなりの文字数を割いてスマートフォンのリスクについて言及してきましたが、これらのリスクをしっかり把握した上で、最低でも会社のセキュリティポリシーと照らし合わせて「ルール化」することが肝だと言えるでしょう。

スマートフォンの利用をルール化することで、利用者のセキュリティへの意識を高め、潜在的なリスクを共有することができるようになります。社員の一人ひとりがリスクを理解し、スマートフォンを安全に使うにはどうすればいいのか、というのを考えるきっかけになります。

これらの啓発に加え、MDMを組み合わせることで、網羅的にセキュリティを高めることが可能になるでしょう。

それでも必要な「ワークスタイルの変革」

スマートフォンは移動時間や隙間の時間に、情報収集やメール対応、スケジュール確認など、業務効率の向上が期待できます。常に電源がONになっている上、ほとんどの場所でネットワークに接続されているため、いつでもすぐに使えるという点で、スマートフォンは圧倒的な効率アップを生み出せる可能性を秘めています。

東日本大震災による徒歩帰宅や在宅勤務などの経験から、PCの代替としてスマートフォンに注目が集まりました。日常的にスマートフォンを活用することで、効率的かつ機動力のある働き方ができるという実感もあるでしょう。

コミュニケーションの活性化と、業務の効率化。特に移動の多いビジネスマンにとっては、移動時間でのスマートフォン活用は欠かせないものとなるでしょう。

ワークスタイル変革

さて、最後に本質論です。

uniConnect大研究をここまで読み進めてこられたあなたは、スマートフォンの導入を真剣に考えている人でしょう。

「なぜスマートフォンを導入しようとするのですか?」
「どの業務でスマートフォンを使おうと考えていますか?」

この原点に立ち返り、スマートフォン導入の目的と業務範囲を明確にすることで、セキュリティリスクと解決策が絞れることでしょう。一般論ではなく、どのリスクを回避するべきかを定めることで、スマートフォンの導入が現実のものとなるのではないでしょうか。

おわりに

スマートフォンやタブレットは、コンシューマ向けのデバイスとして普及してきました。多くの人がその「携帯性」と「使い勝手の良さ」を体感し、ビジネスで使えば外出先での仕事が効率的になると確信しています。

きっと社員から私物のスマートデバイスを業務利用したいと要望があがって、このコラムをお読みくださった方もいることでしょう。同時に、セキュリティの観点からスマートデバイスのBYODに対して慎重にならざるをえないと感じているのではないでしょうか。

管理の煩雑化…これは「セルフIT」を促進することで。
情報漏えいのリスク増加…これは「MDM」や「リモートワイプ」の検討で。

S&Iでは、スマートデバイスを紛失したときに、なくした本人が自力でデバイスを初期化できるセルフリモートワイプのクラウドサービス「sactto!リモートワイプ」を提供しています。紛失時の情報漏えいの可能性を限りなく低減させるために、いざというときに管理者に頼らず、セルフで即座に対処できる便利なサービスです。

『BYODとセキュリティ』はきっと、バランス良く両立させることができるはず、と私たちは信じています。

BYODを支援するクラウドサービスsactto!リモートワイプ