企業ネットワークでBYODを実施するために知っておくべき全て

BYOD（Bring Your Own Device）が普及しています。従業員は、外出先でもモバイル・デバイスから個人的な生活や仕事上の生活を管理できるようになれば、生産性が高まります。従業員がどのようなモバイル・デバイスからでも安全に仕事ができるようにすることが、CIOの義務となっています。BYOD が提示する課題は、IT と組織が「ユーザー・エクスペリエンスを変更せずにモバイル・プラットフォーム上で企業データを保護」し、「費用対効果の高いBYODプログラムを提供すること」です。

BYODプログラムを実装する準備をしていますか、または既存のプログラムを微調整する必要がありますか？このチェックリストは、ロールアウトを成功させるためのものです。実は下記のような状況がこの世には起きています。

7割のユーザーが会社の方針に関係なく個人のデバイスで仕事をしている
21%の企業が従業員の退社時に個人端末でデータワイプを実施
企業で利用される従業員所有のスマートフォンやタブレットは2018年に10億を超える

BYODチェックリスト

Todo	目的	ベストプラクティス
ステークホルダー運営委員会	BYODプログラムを開始する前に、関係者の承認を得ましょう。	HR、IT、法務、財務、従業員/事業部の代表者を含めてください。 BYOD プログラムの目標を特定します。・すべてのモバイルプラットフォームを許可するか、制限されたデバイスのセットを許可するか。・ファイアウォールの内側にある企業データの大半へのモバイルアクセスを許可するか、電子メールへのモバイルアクセスのみを許可するか。・データ損失を防ぐための強力なセキュリティポリシー vs. 基本的なデバイスのセキュリティポリシー
従業員調査	従業員にアンケートを実施し、モバイルデバイスからアクセスする必要がある最も人気のあるモバイルデバイス、生産性の高いアプリ、会社のデータを調べます。	アンケートには、会社の電子メール、イントラネットの共通サイト（人の検索、発注と承認、PTOリクエスト、ニュースなど）、人気のあるモバイルアプリ（Boxなどのファイル同期と共有のアプリなど）などのオプションを記入してください。
ユーザー登録	モバイルアプリ、データ、ネットワークアクセスを得るために、モバイルデバイスをエンタープライズモバイル管理（EMM）システムに登録するプロセスを決定します。	以下のようなことを考えてみてください。・モバイルデバイスからアクセスできるセルフサービスの登録ポータルがあるか。・登録プロセス中に従業員に利用規約を提示できるか？
サポートされているモバイルデバイスとプラットフォーム	サポートするモバイルデバイスのモデルとオペレーティングシステムのバージョンを決定します。	BYODとはいえ、ある程度の制限を設けることが重要です。なぜなら、それ以前のモバイルデバイスのOSにはセキュリティ上の脆弱性があり、それ以降のバージョンのOSでは修正されてしまうからです。iOS 7.0+とAndroid4.0+のサポートを検討してください。
モバイルアプリとデータ	モバイルアプリ、データ、安全なブラウザアクセスを承認し、公開します。	以下のようなことを考えてみてください。会社のメール、WiFi、VPNへのアクセスを提供することから始める社内および一般公開されているAppStoreアプリ（Box、Workday、Salesforce、Concurなど）を使用したエンタープライズAppStoreを公開します。有料アプリのボリューム購入プラン（VPP）を検討する
個人情報の取り扱いについて	従業員の個人アプリやその位置情報に会社やITがアクセスできないようにする。	次のようなことを考えてみてください。・IT部門は、デバイスの位置を特定することを法的に許可されていますか? そうでない場合、ユーザーがデバイスを紛失した場合、ユーザーは自分のデバイスを探すのは自分の責任だと認識しているか? ・ITは、従業員がインストールしたすべてのアプリケーションのリストを表示することを法的に許可されているか（業務用か個人用かにかかわらず）？・従業員のモバイルデバイスが紛失または盗難にあった場合、従業員が解雇された場合、デバイスが譲渡された場合、売却された場合、または破棄された場合、IT部門は従業員のモバイルデバイスの選択的なワイプを発行することができるか？そうでない場合、IT部門は、従業員の個人データを含むモバイルデバイスの完全なワイプを発行することが許可されているか？
セルフサービスツール	ヘルプデスクへの電話連絡やITサポートのコストを削減。	以下の提供を検討してください。・登録ビデオ・登録方法・ロールアウト時の対面式「ホワイトグローブ」ヘルプデスクサービス
モバイルセキュリティ – デバイス	デバイス上で企業データを保護	以下の実施を検討してください。・デバイスパスコード・暗号化（企業データの暗号化）・モバイルデバイスのOSバージョンがiOS 7.0+およびAndroid 4.0+以上であること・ジェイルブレーク済み/ルート化されたモバイルデバイス
モバイルセキュリティ – データ損失防止（DLP）	企業データの個人クラウドへの流出を防止します。企業データは、企業のモバイルアプリと企業のクラウド間でのみ共有できるようにします。デバイスを紛失したり盗まれたりした場合、不正なユーザーが会社のデータにアクセスできないようにします。	以下のようなことを考えてみてください。・ユーザーは、デバイスがEMMに登録されており、最低限のセキュリティ要件を満たしている場合にのみ、モバイルアプリから企業データにアクセスすることができます。・ユーザーは、社内アプリか一般公開されているアプリかにかかわらず、認可された、管理された、またはラップされたモバイルアプリ上の企業データにのみアクセスできます。これにより、データ共有と選択的ワイプのIT管理が可能になります。・企業データが管理されているアプリから管理されていないアプリに共有できないようにする。企業データが個人のアプリケーションに保存されることを防止します。・リスクの高いアプリ App Reputation/App Risk Managementサービスは通常、EMMのアドオンであり、個人アプリがカレンダーや連絡先などの企業データを同期している場合に監視し、セキュリティの強化を提供することができます。・デバイスの紛失や盗難、従業員の解雇、デバイスの譲渡、売却、破棄などがあった場合、選択的ワイプ（モバイルデバイスからすべての企業データを削除すること）を行います。
モバイル・セキュリティ・エンフォースメント	従業員がモバイルセキュリティデバイスおよび/またはアプリ制御ポリシーに準拠していない場合、企業データへのアクセスを防止します。	上記を踏まえて、機器がコンプライアンスを遵守していない場合は、自己研鑽のためのオプションを検討してください。・メッセージを送る・電子メールへのアクセスをブロックする・ネットワークアクセスをブロック・企業データの選択的ワイプ・上記のうち1つ以上
ネットワークアクセス方式	輸送中の企業データを保護します。	以下のオプションを検討してみてください。・セキュアコープWiFi（証明ベースの認証）・既存のVPN技術またはEMMベンダーのアプリケーショントンネリングを使用して、アプリレベルのVPNを提供します。これは、会社が提供しているアプリで会社のデータを必要とするものだけがVPN接続を開始して使用することを意味します。個人的なアプリは、通常通りにインターネットに接続するだけです。・アクセスの保護：リモートアクセスの基準は何か – これはアクセスするデータの種類によって異なります。

下記をガイドラインに含める事を検討してみてください

ガイドライン	ベストプラクティス
BYODアクセスと登録要件	企業データやネットワークアクセスを得るために、従業員がEMMソリューションをインストールするためのデバイスや役割の要件。例えば、iOS 7.0以上のモバイルデバイスのみが登録を許可されているのか、役割に関係なく全従業員が登録を許可されているのか。従業員が登録した後に受け取るデータやアクセスについて、従業員はどのようなことを期待できるのでしょうか？デバイスの選択的なワイプおよび/またはデバイスの完全なワイプ/リセットにつながる状況。ユーザーのプライバシーを保護するための対策を含む。
エンドユーザー規約	・会社の法務部門が作成し、EMM登録時に提示する利用規約。従業員は、登録を完了するために、利用規約に同意しなければなりません。この契約書には通常以下の内容が含まれています。・従業員がモバイルデバイスの地理的位置情報を追跡する可能性があること、および会社が従業員のモバイルデバイス上のアプリやデータを認識し、削除することに同意すること。・従業員または請負業者が会社から離職した場合、会社がモバイルデバイスからすべてのデータを消去する権利 – 可能であれば、デバイス上の個人データを保存するための合理的な試みが行われます。・会社の監視と保護の権利 – 例えば、会社はモバイルアプリの使用状況、会社の電子メール、および漏洩したデバイス（脱獄済み/ルート化されたもの）を監視します。会社は、違反行為に対して、選択的または完全なモバイルデバイスのワイプ、会社の電子メールやネットワークへのアクセスをブロックすることで対応します。
BYODの経費管理	従業員の無線音声・データプランのどの部分を会社が負担するか、端末代を会社が負担するかどうか 1. 1.毎月の固定俸給（例：キャリアの音声およびデータプランの月額100ドル） 2.従業員の経費報告書に基づく払い戻し（例：キャリアの音声およびデータプランの月額80％までが対象となる・過剰料金の責任者を含めてください。カリフォルニア州控訴裁判所は、企業は従業員が個人のモバイル機器を使用して業務上の通話をした場合、その通話料を弁償しなければならないとの判決を下しました。・国際ローミング料金の責任者を含める
従業員のデバイスのセキュリティと利用ポリシー	モバイルデバイスの行動規範と基本的なIT サポートの責任者を特定する。 – 従業員が所有するデバイス上の企業データを保護するための合理的な要求。 1. ユーザーは会社の指示に従う責任があり、デバイスにインストールされている EMM やその他のセキュリティソリューションを削除してはならない。 2. 2. ユーザーは、紛失、盗難、廃棄されたデバイスを報告しなければなりません。デバイスが危険にさらされた場合、またはコンプライアンスに違反した場合の結果を従業員に通知する。
ITモバイルセキュリティポリシー	企業データを監視し、保護するために企業が取る行動を明確にする。- 違反行為やコンプライアンスに反するデバイスに対して、IT 部門がどのように対応するかを明確にする。例：データの暗号化が無効化されていたり、デバイスが侵害されている場合、IT部門は社内ネットワークへのアクセス（電子メールを含む）をブロックし、デバイスからすべての企業データを選択的に消去します。・IT 部門が監視できるアプリやシステムを特定する例：会社はデータ使用量全体を監視できるが、SMS、個人のブラウジング、ソーシャルネットワーキングアプリケーションは監視できない。
従業員のモバイルアプリガイドライン	承認されたモバイルアプリと承認されていないモバイルアプリのガイドライン。例えば従業員はApple、Google、またはEnterprise AppStoreではないサードパーティのAppStoreからモバイルアプリをインストールしてはいけません。 1. 1. アプリをブラックリストに登録している場合は、アプリのリストと、ブラックリストに登録されたアプリをインストールした場合の結果を記載します。 2. 2. リスクの高いアプリを監視している場合は、許容される使用ポリシーを含める。例えば、会社の連絡先を同期しているモバイルアプリは許可されておらず、アンインストールしなければならない。・従業員が社内アプリや一般公開されているアプリを承認し、Enterprise AppStoreに公開するように要求する方法。