BYOD:職場における個人端末の危険性とセキュリティリスクを解説

BYOD:職場でのサイバーセキュリティリスクの管理

この10年間で、テクノロジーは本質的に私たちのビジネスのやり方を変えてきました。10年前には、ビジネスのためのクラウドストレージを使用してのアイデアは考えられなかったでしょう。新しいテクノロジーが採用されるのは、ビジネス・オーナーにとって理にかなっているからであり、ほとんどの場合、リスクを上回るメリットがあるからです。今日、BYOD (Bring Your Own Device) は、ビジネス・オーナーがリスクとメリットを考慮した上で、新しいトレンドに適応するか、取り残されるかを選択しなければならない崖っぷちに立たされています。BYODを収益性の高いものにするためには、様々なリスクとのバランスを取ることが重要です。

本記事では、BYODを採用してリスクを管理し脅威を封じ込める、リスクを軽減するためのBYODデバイスポリシーを作成することの重要性について説明していきます。

スモールビジネスにおけるBYOD

現在、アメリカ人の3分の2以上がスマートフォンを所有し、45%がタブレットを所有し、40%近くがポータブルノートパソコンを所有しています。これらのデバイスはすでに職場で使われています。あるエコノミストインテリジェンスユニットのレポートでは、参加者の40% が、許可されているかどうかに関わらずスマートフォンを職場に持ち込むと主張し、50%がモバイルを主なコンピューティング デバイスとして使用していると回答し、多くの人がBYODに対するオープンなポリシーを掲げている職場でなければ仕事をしないと主張しています。

また、アメリカの労働者の99%は、すでに職場でスマートフォンやタブレットを使用しており、電子メールのチェック、チャットアプリの利用、ソーシャルメディアの管理、デジタルツールの利用、仕事用アプリへのアクセスなどに利用しています。ITポリシー・コンプライアンス・グループの報告書によると、企業レベルではスマートフォンを利用している従業員は33と高く、タブレットを利用して高度な情報にアクセスしている従業員は22%となっています。

BYOD は安全性の低い規制の厳しいデバイスを職場に持ち込むという形が遠因して、当初はリスクが高いように見受けられます。しかし雇用主と従業員の両方にいくつかの利点があります。雇用主は会社支給のデバイス、デバイスのトレーニング、維持管理、メンテナンスに投資する必要がないため、コストを節約し、従業員支給のデバイスから利益を得ることができます。従業員は自分のデバイスの使い方をすでに知っているため、デバイスを大切に使う可能性が高く、税金の控除対象となり、自分に合ったモデルを選ぶことができ、仕事とプライベートのタスクを簡単に切り替えることができるというメリットがあります。これにより、生産性が向上し、従業員がどこでも仕事ができるようになり、紛失や破損したデバイスのリスクや管理コストを軽減することができます。

BYODの課題を理解する

消費者は、これまで以上に幅広い種類のデバイスを購入しています。そしてその端末で今では仕事をしたり、遊びに行ったり、コミュニケーションを取ったり、さらには請求書を支払うことまでできるようになっています。これは従業員がこれらのデバイスを職場に持ち込んで、仕事の目的で使用したり、社内でアクセスしたりすると、ビジネスオーナーにとってはセキュリティ上の懸念材料になります。安全な領域でのデバイスやデバイスの種類の増加は、安全でないデータ、マルウェア、サードパーティ製アプリ、デバイスの紛失、さらには悪意のある従業員がそれらを使ってデータを盗むという形でセキュリティ上のリスクをもたらしています。これらのリスクを理解し、軽減するのは端末の管理者とその端末の保有者、つまり従業員次第です。

主要なオペレーティング・システム(OS)は数種類しかありませんが、これらのシステムには数十種類のバージョンやオプションが存在します。今日では、全従業員の52%が仕事で3 台以上のデバイスを使用しており、この数は今後も増加していくと予想されています。また、デバイスの種類が増えたことで、複数の種類のデバイスを管理することが格段に難しくなり、ITにおけるセキュリティ管理が難しくなっています。例えば、Android端末は現在2万4,000台を超えています。米国の全モバイル機器の52.8%がAndroid OSを使用しているため、Android端末だけでも大きなセキュリティリスクをもたらす可能性があります。 Androidがハミングバードのような悪質なソフトウェアに脆弱であり、50億以上ダウンロードされたAndroidアプリが攻撃を受けやすいことを考えると、特に関連性が高いと言えます。BYODによって導入されたさまざまなテクノロジーを管理することには限界がありるので、IT部門・情報システム部門はネットワークを統合する必要があります。リスクを管理するために、デバイスのみのポリシーではなく、セキュリティを重視した社内ルールが必要です。

また従業員は、データやネットワークを基本的に危険にさらしています。安全でない第三者の技術(サードパーティの技術)も使用しています。自分のデバイスを利用し、安全ではないデータを利用することでネットワークにもリスクが出てしまいます。仕事でも家庭でもリスクは常に存在するのです。従業員がサードパーティのアプリをダウンロードできる場合、そのようなセキュリティ上リスクの高いなデータソースに接続してリモートで仕事をすることになります。ある研究による仕事で使うアプリのうち、会社が作ったものは全体の約3割にすぎないことがわかりました。ITやデータ管理のためにサードパーティのアプリを利用していることをイメージすれば想像がつくでしょう。中小企業の場合は、アドビクラウドなどのクラウドサービスや Microsoft Office 365などがこれらのクラウドサービスに該当します。

ビジネスオーナーは、時間節約の習慣が脅威になることも気にしています。利便性に基づく決定は企業のセキュリティに悪影響を及ぼします。このような決定には「デバイスの暗号化を使用しない」「デバイスのロックやパスワード設定を怠る」「公衆無線LANから個人情報にアクセスする」「時間を節約するためにセキュリティ基準を下げる」などが含まれます。

最後に、すべてのビジネスにとってのリスクではありませんが、インサイダーの脅威(内部犯行)は損失を軽減しなければならない多くのビジネスにとって、ますます大きなリスクとなっています。

50人に1人の従業員が悪意を持っている可能性があり、業界によっては悪意のある攻撃の36%が内部の人間から来ているという調査結果もあり、悪意のある従業員の可能性とデータを盗む能力を無視することはできません。

安全なBYODポリシーの統合

BYODにはそれ自体のリスクが伴いますが、多くの環境で収益性や生産性の向上につながることを証明することができます。これは特に、IT セキュリティ管理のコストとITサポート、デバイスの修理、交換、初期購入、雇用主が提供するデバイスとの暗黙のトレーニングのコストを削減することができます。しかし、質の高いBYOD ポリシーを導入するには、事業のリスクを特定し、会社のあらゆる領域を保護するための措置を講じる必要があることを意味します。

安全なBYODポリシーを作成するということは、次のステップを踏むことを意味します

  1. 脅威の評価、リスク分析の実施、ポリシー監査の実施、アプリ監査の実施、アーキテクチャ計画の評価、セキュリティの評価を行う
  2. ポリシーの更新、デバイス管理の統合、デバイスの安全性の確保、データの損失と保護基準の統合
  3. 方針の維持、コンプライアンスの確保、および必要に応じた更新

BYODポリシーの要素:リスクの見直し

慎重なリスク評価は、最も可能性の高い脅威とその影響を特定することで、リスクを認識し、リスクに対処するのに役立ちます。これにより、関連するサイバーセキュリティにリソースと予算を割り当てることができます。リスクが最も必要とされる場所で保護と予防のポリシーを活用できるようにします。

BYODポリシーの要素:ネットワークの保護

ネットワークセキュリティはリスク管理に欠かせません。24%以上の従業員が自宅で仕事をするなど、データ共有の重要性が高まっています。VPNとリモート接続を統合することで、このリスクを軽減することができます。また、仮想デスクトップ・インフラストラクチャ(VDI)を採用することで、従業員が使用する機密データや機密データは、デバイス上ではなく仮想デスクトップ上にあることを保証することで、リスクを抑制することができます。これにより、雇用主はデータの保存、転送、移動をよりコントロールできるようになります。

BYODポリシーの要素:モバイルデバイス管理(MDM)

デバイスベースのモバイルデバイス管理(MDM)は大企業には有効ですが、中小企業は一般的には、ネットワークベースのMDMを実装するのが良いでしょう。ネットワーク上のデータを制御し、セキュリティを提供します。また利用にはデバイスに直接インストールする必要があります。ネットワークベースのシステムは、デバイスに基づいてインテリジェントに更新することができます。そしてこれは、高価なITを必要とせずにデータのセキュリティを提供することができます。アップグレードは、デバイスの新しいバージョンがリリースされるたびに行われます。これは通常、デジタル証明書を使用して動作します。デバイスには、システム内でのアイデンティティと役割が割り当てられています。MDMを使用することで、雇用主はデバイスに対する制御を挿入することができます。アクセスをブロックするためにネットワークを使用して、リモートワイプまたはデバイスをロックし、ネットワークアクセスパスワードをリセットし、デバイスのロックを解除します。の間に使用されているWebページやアプリをブロックします。ネットワークを利用することができます。洗練されたネットワーク型のモバイルデバイス管理(MDM)プログラムは、アプリ内の特定のタイプの情報をブロックすることもでき、雇用主は有害な可能性のあるデータやデータをブロックすることができますまた、このようなマネージドネットワークアクセスは、どこからアクセスしてもデバイスの安全性が確保されているため、リモートユーザーやVPNユーザーの安全性も確保されています。ITの観点から の観点から見ると、モバイルデバイスはエンドポイントであるため、既存のエンドポイントに直接統合することは理にかなっています。SymantecのAltirisTM Client Management Suite または MicrosoftのSystem Center Configuration Manager がこの統合を処理することができます。

BYODポリシーの要素:モバイルアプリケーション管理(MAM)

モバイルアプリケーション管理は、VPNや他のソリューションを使用せずに、アプリケーションやイントラネットをより強力に制御することができます。MAMは、Microsoft Officeなどのサードパーティ製アプリケーションや電子メールアプリケーションに最適です。MAMを使用すると、本質的にサードパーティ製アプリや電子メールをコンテナ化してセキュリティリスクを制限することが出来ます。しかし、多くのMAMソリューションは特定のアプリケーションとしか互換性がありません。

BYODポリシーの要素:セキュリティ教育

セキュリティリスクに関する知識の不足がそのリスクに大きく寄与しており、従業員は機器や情報に無頓着である可能性が高いという実態があります。セキュリティ面に関する教育の検討も必須です。

BYODポリシーの要素:施行方法

多くの企業はすでに BYOD ポリシーを導入していますが、その多くは実施されていません。BYOD ポリシーを導入している企業の 53% 以上が、標準に準拠していないデバイスを 1 つ以上導入しています。定期的なコンプライアンス・チェック、非準拠デバイスが情報にアクセスできないようにするネットワーク・ベースのセキュリティ、従業員が IT を通じて簡単にデバイスをネットワークに追加できるようにする統合ポリシーがあれば、導入率が向上します。

終わりに

ほとんどの小規模企業では、アクセス制御、追加セキュリティの提供、およびデバイス・ユーザーの教育を目的としたセキュリティ・ポリシーを組み合わせることで、セキュリティを大幅に向上させることができます。しかし、強力なセキュリティ・ポリシーを統合するためには、企業は、特定の BYOD リスクを見直し、完全に理解する必要があります。

BYODは雇用主の時間とコストを節約し、従業員の幸せと生産性を向上させる可能性を秘めています。セキュリティを強化し、データを保護するためのリスク管理ポリシーを統合することで、これらのポリシーが関係者全員の利益になることを保証します。

SNSでもご購読できます。

コメントを残す

*