ワークデスクで個人デバイスを利用する従業員。

個人デバイスの持ち込み:職場における個人デバイスのセキュリティ対策

従業員がスマートフォン、タブレット、個人用ノートパソコンを職場に持ち込むことを認める企業では、個人デバイスの持ち込み(BYOD)セキュリティポリシー(略称:BYODポリシー)を策定する必要があります。ほぼすべての従業員がインターネットに接続されたデバイスを職場に持ち込んでおり、たとえそのデバイスが会社のネットワークに意図的に接続されていないとしても、セキュリティ上のリスクが存在する可能性があります。

業務メールの送信などで悪意なく個人デバイスを使用するだけでも、組織のネットワークに脆弱性が生じる場合があります。従業員が所有するスマートフォンやタブレットをある程度管理する必要があるため、あらゆる規模の組織にとって BYOD セキュリティは課題となります。何しろ、データ漏えいの 40% はデバイスの紛失や盗難が原因です。 しかし、個人の自由を重視する文化の中では、このようなポリシーは従業員から抵抗や反発を受けることがあります。この問題には、慎重かつ毅然とした態度で臨むべきです。

このような状況で、企業はサイバーセキュリティを向上させるために何をすればよいのでしょうか?BYODを完全に禁止し、ポリシーを厳格に施行することも一つの選択肢です。しかし、世界の BYOD 市場規模は大きく、今でも成長し続けています。2022 年の市場規模は3,500億ドルと推定されています。パンデミックに端を発した在宅勤務の流れは、その成長を加速させました。代替案として、企業と従業員の双方にとっての安全性を高めるために、常識的な BYOD ポリシーとセキュリティを策定し、その実践に注力することがあります。ほとんどの企業は、2 つの選択肢のうち、後者の方が実行しやすいと考えています。しかし、適正な BYOD ポリシーを策定するための取り組みや配慮が必要ないわけではありません。

BYOD のセキュリティリスク

BYOD は、名目上、企業にとって従業員向けのハードウェアやソフトウェアの費用を削減することにつながります。82% の企業が従業員の個人デバイスの業務利用を認めています。そのうち、71% は、従業員にとって個人のスマートフォンが最も使い慣れているため、より快適にデバイスを使用することができると考えています。58% は、生産性の向上を実感しています。しかし、コスト削減を実感しているのは 55% にとどまっています。なぜ、このような矛盾が生じるのでしょうか?セキュリティポリシーで BYOD を認めている企業では、従業員が所有するデバイスを介したデータ漏えいが 50% に上るという驚くべき結果が出ています。BYOD ポリシーの導入に反対している企業のうち、26% がセキュリティ上の懸念を主な理由としているのもうなずけます。

BYOD セキュリティのベストプラクティス

ノートパソコン、タブレット、スマートフォンを一緒に使う同僚たち

有効な BYOD ポリシーには、次の要素が含まれます。

  • 使用可能なデバイスの種類
  • 許容される使用:従業員がデバイスからアクセスできるアプリや資産は何か?
  • デバイスのセキュリティ管理に関する最低要件:会社は BYOD デバイスにどのような安全対策を求めるか?
  • 会社提供のコンポーネント:例えば、デバイス認証のための SSL 証明書など
  • デバイスの改変に関する会社の権利:例えば、デバイスの盗難や紛失の際のリモートワイプなど
  • 退職者のデバイスに含まれる会社のデータはどうなるのか?
  • デバイスのアプリやデータの所有者は誰か?アプリや月額料金の支払いは、従業員と会社のどちらが負担するか?
  • IT 供給者はデバイス所有者にどのようなサポートを提供するか?

最適な選択肢を提供できるよう、ポリシー策定の際は次の規定を検討する必要があります。

  • 常識的なルール:仕事中の個人的な通話や動画視聴の制限、運転中の使用不可
  • メンテナンスとアップグレード:最終的なポリシーは、従業員がデバイスとアプリの信頼性を保ち、最新の状態を維持できるようにする必要がある
  • データ転送規定:会社データは暗号化され、パスワードで保護され、会社指定のアプリケーションでのみ転送されるべき
  • パスワード規定:機密情報を保護するために、パスワードの使用は必須

プライバシー規定:企業は BYOD でデータ保護と従業員のプライバシーをどのように両立させることができるか?

BYOD セキュリティポリシー

一貫した安全な BYOD プラクティスを考案するにはどうすればよいでしょうか?このような規模のポリシー策定には、従業員とステークホルダーの双方が参加する必要があります。従業員の意見はアンケートで得ることができ、ポリシーを立案する際の良い材料となります。経営陣、人事、IT オペレーション、財務、セキュリティの各部門の代表者は、BYOD プロジェクト管理チームに参加する必要があります。各部門はそれぞれ果たすべき役割があります。

アンケートを実施し、従業員のデバイスにどのようなデータやアプリが必要なのか、回答を分析することが効果的です。策定されたポリシーが導入された後は、プロセスにおいてトレーニングが重要な段階となります。データの取り扱い方法、デバイスのトラブルシューティング、デバイスの紛失・盗難時の対応、使用するアプリ、フィッシング対策など、あらゆる職位の従業員に指導を行い、サイバー脅威への警戒を広く指導する必要があります。

サイバーセキュリティのトレーニングを受けていない従業員は、組織のデータ保全に対する最大の危険因子であると広く認識されています。2014 年には、IT マネージャーの 87% が、組織にとっての最大の脅威は、不注意な従業員によるモバイルデバイスの使用だと回答しています。2020 年には、モバイルデバイスへの攻撃の 96% がアプリをベクトルとして使用していたという驚くべき結果が出ました。これは、5 つ中 4 つという大多数のアプリに、脆弱性を生み出す可能性のあるサードパーティライブラリが埋め込まれているためです。

企業は、強力な BYOD ポリシーを施行するために、どのようなアプリを使うべきなのでしょうか?調査によると、従業員は毎日 5 つ以上のアプリを使用していることがわかりました。組織としては、専用の安全なメッセージングプラットフォーム、メール、CRM、その他従業員が必要と感じるアプリケーションを含める必要があります。問題につながる可能性のあるアプリは、明示的に禁止する必要があります。

また、組織は、何らかの理由で従業員が退職する場合に備えて、具体的な手続きを用意する必要があります。従業員が退職した場合、組織はすべてのデータをデバイスから削除し、会社のアプリケーションへのアクセスも停止させる必要があります。しかし、このような義務を課すことは多くの困難を伴い、しばしば、BYOD ポリシーを廃止し、会社提供のデバイスを貸与する十分な理由となります。

ポリシーは企業が施行することができてこそ効力を持つものであり、ポリシーを守れない従業員には何らかの責任を負わせる必要があります。どのようなポリシーであっても、チームメンバー全員が認識できるように、説明責任の追跡、測定、施行に関する具体的な内容を周知する必要があります。BYOD 導入の大きな課題の一つに監督不行き届きがあります。企業は、従業員に対するセットアップや継続的なサポート、監視のために十分な IT サポートスタッフを必要とします。

システムおよびプロトコルを保護した後、組織は従業員に対する教育を優先させる必要があります。BYOD を成功させるためには、許容される使用と基本的なデータセキュリティ衛生の重要性を従業員に認識させることが不可欠です。

ノートパソコン、タブレット、書類を使ってデスクワークする 3 人の俯瞰図。

BYOD セキュリティソリューション

BYOD ポリシーに含めることを検討すべきセキュリティソリューションには、次のようなものがあります。

  • 静止時および転送時のデータ暗号化
  • ウイルス対策:会社から提供されるもの、または従業員にインストールを義務付けるもの
  • 監視:従業員のデバイスの GPS 位置やインターネットトラフィックを追跡するなど
  • コンテナ化:個人または財務領域に隔離されたデバイスをパスワードで保護する
  • 定期的な変更の必要性を含む、パスワード衛生トレーニング
  • ブラックリスト:業務セキュリティのリスクや生産性の低下を理由に、特定のアプリをブロックまたは制限すること。通常、従業員所有のデバイスでは、コンテナ化されていないと不可能
  • ホワイトリスト:承認された特定のアプリケーションへのアクセスのみを許可するもの。通常、組織から配布されたハードウェアでは、より実用的
  • アプリやオペレーティングシステムのアップデート、定期的なバックアップの要件
  • BYOD ハードウェアからのWiFiネットワークアクセスで、会社データを保護する方法に関する定期的なトレーニングおよび復習
  • データアクセス制限:データ漏えいを防ぐために、データアクセスを厳しく管理し、業務上特定のデータセットにアクセスする必要がある人だけが個人用デバイスからアクセスできるようにする

データロケーションやデータアクセスパターンの監視ツールにより、安全でない場所や不審な場所(北朝鮮など)からのアクセスなど、不審な挙動を検出する

BYOD システムのセキュリティを高める方法として、暗号化された USB フラッシュドライブや暗号化された SSD を従業員に配布する方法があります。従業員全員にスマートフォンやタブレットを支給するよりも経済的であり、従業員が職場に持ち込むすべてのデバイスをコンテナ化するよりもはるかに簡単で、これらのデバイスに保存されたデータは、一般的なデバイスよりも適切に保護されます。高度な暗号化を十分に行っていれば、暗号化されたドライブが盗難に遭っても、特権データにアクセスすることはできません。

#KingstonIsWithYou #KingstonIronKey

回路基板のチップセット上にある Kingston の Ask an Expert (専門家に照会)アイコン

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する

関連動画

関連記事