BYOD:職場における個人端末の危険性とセキュリティリスクを解説

BYOD:職場でのサイバーセキュリティリスクの管理

この10年間で、テクノロジーは本質的に私たちのビジネスのやり方を変えてきました。10年前には、ビジネスのためのクラウドストレージを使用してのアイデアは考えられなかったでしょう。新しいテクノロジーが採用されるのは、ビジネス・オーナーにとって理にかなっているからであり、ほとんどの場合、リスクを上回るメリットがあるからです。今日、BYOD (Bring Your Own Device) は、ビジネス・オーナーがリスクとメリットを考慮した上で、新しいトレンドに適応するか、取り残されるかを選択しなければならない崖っぷちに立たされています。BYODを収益性の高いものにするためには、様々なリスクとのバランスを取ることが重要です。

本記事では、BYODを採用してリスクを管理し脅威を封じ込める、リスクを軽減するためのBYODデバイスポリシーを作成することの重要性について説明していきます。

スモールビジネスにおけるBYOD

現在、アメリカ人の3分の2以上がスマートフォンを所有し、45%がタブレットを所有し、40%近くがポータブルノートパソコンを所有しています。これらのデバイスはすでに職場で使われています。あるエコノミストインテリジェンスユニットのレポートでは、参加者の40% が、許可されているかどうかに関わらずスマートフォンを職場に持ち込むと主張し、50%がモバイルを主なコンピューティング デバイスとして使用していると回答し、多くの人がBYODに対するオープンなポリシーを掲げている職場でなければ仕事をしないと主張しています。

また、アメリカの労働者の99%は、すでに職場でスマートフォンやタブレットを使用しており、電子メールのチェック、チャットアプリの利用、ソーシャルメディアの管理、デジタルツールの利用、仕事用アプリへのアクセスなどに利用しています。ITポリシー・コンプライアンス・グループの報告書によると、企業レベルではスマートフォンを利用している従業員は33と高く、タブレットを利用して高度な情報にアクセスしている従業員は22%となっています。

BYOD は安全性の低い規制の厳しいデバイスを職場に持ち込むという形が遠因して、当初はリスクが高いように見受けられます。しかし雇用主と従業員の両方にいくつかの利点があります。雇用主は会社支給のデバイス、デバイスのトレーニング、維持管理、メンテナンスに投資する必要がないため、コストを節約し、従業員支給のデバイスから利益を得ることができます。従業員は自分のデバイスの使い方をすでに知っているため、デバイスを大切に使う可能性が高く、税金の控除対象となり、自分に合ったモデルを選ぶことができ、仕事とプライベートのタスクを簡単に切り替えることができるというメリットがあります。これにより、生産性が向上し、従業員がどこでも仕事ができるようになり、紛失や破損したデバイスのリスクや管理コストを軽減することができます。

BYODの課題を理解する

消費者は、これまで以上に幅広い種類のデバイスを購入しています。そしてその端末で今では仕事をしたり、遊びに行ったり、コミュニケーションを取ったり、さらには請求書を支払うことまでできるようになっています。これは従業員がこれらのデバイスを職場に持ち込んで、仕事の目的で使用したり、社内でアクセスしたりすると、ビジネスオーナーにとってはセキュリティ上の懸念材料になります。安全な領域でのデバイスやデバイスの種類の増加は、安全でないデータ、マルウェア、サードパーティ製アプリ、デバイスの紛失、さらには悪意のある従業員がそれらを使ってデータを盗むという形でセキュリティ上のリスクをもたらしています。これらのリスクを理解し、軽減するのは端末の管理者とその端末の保有者、つまり従業員次第です。

主要なオペレーティング・システム(OS)は数種類しかありませんが、これらのシステムには数十種類のバージョンやオプションが存在します。今日では、全従業員の52%が仕事で3 台以上のデバイスを使用しており、この数は今後も増加していくと予想されています。また、デバイスの種類が増えたことで、複数の種類のデバイスを管理することが格段に難しくなり、ITにおけるセキュリティ管理が難しくなっています。例えば、Android端末は現在2万4,000台を超えています。米国の全モバイル機器の52.8%がAndroid OSを使用しているため、Android端末だけでも大きなセキュリティリスクをもたらす可能性があります。 Androidがハミングバードのような悪質なソフトウェアに脆弱であり、50億以上ダウンロードされたAndroidアプリが攻撃を受けやすいことを考えると、特に関連性が高いと言えます。BYODによって導入されたさまざまなテクノロジーを管理することには限界がありるので、IT部門・情報システム部門はネットワークを統合する必要があります。リスクを管理するために、デバイスのみのポリシーではなく、セキュリティを重視した社内ルールが必要です。

また従業員は、データやネットワークを基本的に危険にさらしています。安全でない第三者の技術(サードパーティの技術)も使用しています。自分のデバイスを利用し、安全ではないデータを利用することでネットワークにもリスクが出てしまいます。仕事でも家庭でもリスクは常に存在するのです。従業員がサードパーティのアプリをダウンロードできる場合、そのようなセキュリティ上リスクの高いなデータソースに接続してリモートで仕事をすることになります。ある研究による仕事で使うアプリのうち、会社が作ったものは全体の約3割にすぎないことがわかりました。ITやデータ管理のためにサードパーティのアプリを利用していることをイメージすれば想像がつくでしょう。中小企業の場合は、アドビクラウドなどのクラウドサービスや Microsoft Office 365などがこれらのクラウドサービスに該当します。

ビジネスオーナーは、時間節約の習慣が脅威になることも気にしています。利便性に基づく決定は企業のセキュリティに悪影響を及ぼします。このような決定には「デバイスの暗号化を使用しない」「デバイスのロックやパスワード設定を怠る」「公衆無線LANから個人情報にアクセスする」「時間を節約するためにセキュリティ基準を下げる」などが含まれます。

最後に、すべてのビジネスにとってのリスクではありませんが、インサイダーの脅威(内部犯行)は損失を軽減しなければならない多くのビジネスにとって、ますます大きなリスクとなっています。

50人に1人の従業員が悪意を持っている可能性があり、業界によっては悪意のある攻撃の36%が内部の人間から来ているという調査結果もあり、悪意のある従業員の可能性とデータを盗む能力を無視することはできません。

安全なBYODポリシーの統合

BYODにはそれ自体のリスクが伴いますが、多くの環境で収益性や生産性の向上につながることを証明することができます。これは特に、IT セキュリティ管理のコストとITサポート、デバイスの修理、交換、初期購入、雇用主が提供するデバイスとの暗黙のトレーニングのコストを削減することができます。しかし、質の高いBYOD ポリシーを導入するには、事業のリスクを特定し、会社のあらゆる領域を保護するための措置を講じる必要があることを意味します。

安全なBYODポリシーを作成するということは、次のステップを踏むことを意味します

  1. 脅威の評価、リスク分析の実施、ポリシー監査の実施、アプリ監査の実施、アーキテクチャ計画の評価、セキュリティの評価を行う
  2. ポリシーの更新、デバイス管理の統合、デバイスの安全性の確保、データの損失と保護基準の統合
  3. 方針の維持、コンプライアンスの確保、および必要に応じた更新

BYODポリシーの要素:リスクの見直し

慎重なリスク評価は、最も可能性の高い脅威とその影響を特定することで、リスクを認識し、リスクに対処するのに役立ちます。これにより、関連するサイバーセキュリティにリソースと予算を割り当てることができます。リスクが最も必要とされる場所で保護と予防のポリシーを活用できるようにします。

BYODポリシーの要素:ネットワークの保護

ネットワークセキュリティはリスク管理に欠かせません。24%以上の従業員が自宅で仕事をするなど、データ共有の重要性が高まっています。VPNとリモート接続を統合することで、このリスクを軽減することができます。また、仮想デスクトップ・インフラストラクチャ(VDI)を採用することで、従業員が使用する機密データや機密データは、デバイス上ではなく仮想デスクトップ上にあることを保証することで、リスクを抑制することができます。これにより、雇用主はデータの保存、転送、移動をよりコントロールできるようになります。

BYODポリシーの要素:モバイルデバイス管理(MDM)

デバイスベースのモバイルデバイス管理(MDM)は大企業には有効ですが、中小企業は一般的には、ネットワークベースのMDMを実装するのが良いでしょう。ネットワーク上のデータを制御し、セキュリティを提供します。また利用にはデバイスに直接インストールする必要があります。ネットワークベースのシステムは、デバイスに基づいてインテリジェントに更新することができます。そしてこれは、高価なITを必要とせずにデータのセキュリティを提供することができます。アップグレードは、デバイスの新しいバージョンがリリースされるたびに行われます。これは通常、デジタル証明書を使用して動作します。デバイスには、システム内でのアイデンティティと役割が割り当てられています。MDMを使用することで、雇用主はデバイスに対する制御を挿入することができます。アクセスをブロックするためにネットワークを使用して、リモートワイプまたはデバイスをロックし、ネットワークアクセスパスワードをリセットし、デバイスのロックを解除します。の間に使用されているWebページやアプリをブロックします。ネットワークを利用することができます。洗練されたネットワーク型のモバイルデバイス管理(MDM)プログラムは、アプリ内の特定のタイプの情報をブロックすることもでき、雇用主は有害な可能性のあるデータやデータをブロックすることができますまた、このようなマネージドネットワークアクセスは、どこからアクセスしてもデバイスの安全性が確保されているため、リモートユーザーやVPNユーザーの安全性も確保されています。ITの観点から の観点から見ると、モバイルデバイスはエンドポイントであるため、既存のエンドポイントに直接統合することは理にかなっています。SymantecのAltirisTM Client Management Suite または MicrosoftのSystem Center Configuration Manager がこの統合を処理することができます。

BYODポリシーの要素:モバイルアプリケーション管理(MAM)

モバイルアプリケーション管理は、VPNや他のソリューションを使用せずに、アプリケーションやイントラネットをより強力に制御することができます。MAMは、Microsoft Officeなどのサードパーティ製アプリケーションや電子メールアプリケーションに最適です。MAMを使用すると、本質的にサードパーティ製アプリや電子メールをコンテナ化してセキュリティリスクを制限することが出来ます。しかし、多くのMAMソリューションは特定のアプリケーションとしか互換性がありません。

BYODポリシーの要素:セキュリティ教育

セキュリティリスクに関する知識の不足がそのリスクに大きく寄与しており、従業員は機器や情報に無頓着である可能性が高いという実態があります。セキュリティ面に関する教育の検討も必須です。

BYODポリシーの要素:施行方法

多くの企業はすでに BYOD ポリシーを導入していますが、その多くは実施されていません。BYOD ポリシーを導入している企業の 53% 以上が、標準に準拠していないデバイスを 1 つ以上導入しています。定期的なコンプライアンス・チェック、非準拠デバイスが情報にアクセスできないようにするネットワーク・ベースのセキュリティ、従業員が IT を通じて簡単にデバイスをネットワークに追加できるようにする統合ポリシーがあれば、導入率が向上します。

終わりに

ほとんどの小規模企業では、アクセス制御、追加セキュリティの提供、およびデバイス・ユーザーの教育を目的としたセキュリティ・ポリシーを組み合わせることで、セキュリティを大幅に向上させることができます。しかし、強力なセキュリティ・ポリシーを統合するためには、企業は、特定の BYOD リスクを見直し、完全に理解する必要があります。

BYODは雇用主の時間とコストを節約し、従業員の幸せと生産性を向上させる可能性を秘めています。セキュリティを強化し、データを保護するためのリスク管理ポリシーを統合することで、これらのポリシーが関係者全員の利益になることを保証します。

モバイル・BYODなど高度なモビリティにMDMで対応する

BYODやモバイル端末による変化にはMDM対応が必須

モバイルワーカーの数は指数関数的に増加しており、可能性が拡大しています。企業の情報システム責任者に新たな課題を提示しながら、生産性の向上を目指しています。企業内のデバイスの量と種類が増えるにつれ、これらの課題はより複雑になっています。ここ数年はデバイス中心の管理戦略が主流でしたが、複数のプラットフォームでより多くのアプリケーションにアクセスする必要があるリモート・ワーカーの数が増加しているため、このアプローチではもはや追いつくことができません。企業の IT リーダーは、デバイスのロックダウンから、これらのデバイス上に存在する企業のアプリケーション、データ、およびその他の専有コンテンツの保護へと移行しなければなりません。つまりモバイルデバイスの管理を超えて、より全体的な管理方法に移行する必要があります。

続きを読む

EDRで脅威に対応する-エンドポイント・セキュリティを徹底解説!

EDRを導入することで企業のセキュリティを迅速にスケールできます

十分なモチベーションと時間とリソースがあれば、敵対者は最終的には組織の防御を突破する方法を考案します。残念ながら、そのような事態が発生した場合、ほとんどのセキュリティ製品は「攻撃に気付く事なく予防に失敗」してしまいます。侵入を検出することはおろか、侵入を警告することもできません。これにより、攻撃者は数週間から数ヶ月間、お客様の環境を自由に徘徊することができます。この状況は、可視性、セキュリティリソース、専門知識の不足によって更に悪化する可能性もあります。

続きを読む

VPNからゼロトラストネットワークアーキテクチャへの移行を検討

現代社会の企業は、リモートアクセスであるVPNの現代的な後継として、ゼロトラスト・リモートアクセス・ソリューション(ZTRA)を評価しています。

VPNの起源は1996年にさかのぼりますが、当時はデータセンターがもっとシンプルで静的で、インターネットへの露出が少なかった時代でした。

続きを読む

ActiveDirectoryをクラウド統合し、ID管理する方法

ID管理サービスで、ADをクラウドに移行する

Active Directory (AD)は、MicrosoftがWindows 2000 Serverで最初にリリースした1999年から存在しています。長年にわたり、IDベースの関連活動を管理するための重要なオンプレミスサービスとなっています。しかし、クラウドサービスやアプリケーションに対する需要の高まりに伴い、昨今の企業はADがクラウド中心の世界や今日のユースケース向けに構築されたものではないことに気づき始めています。

続きを読む

ZTNA(ゼロトラスト・ネットワーク・アクセス)の背景とベンダーを調査

ゼロトラスト・ネットワーク・アクセス(ZTNA)は、従来の技術に取って代わる新しい概念です。もう従業員やパートナーに過度の信頼を寄せてアクセス環境を用意する必要はありません。セキュリティやリスクマネジメントの責任者は、従業員やパートナー向けのアプリケーションを対象としたゼロトラスト・ネットワーク・アクセス(ZTNA)プロジェクトを計画する必要がでてきています。

続きを読む

ゼロトラスト・セキュリティとは?背景の解説やCARTAへの道筋など徹底解説

ネットワーキングに対する「ゼロトラスト」アプローチに対する顧客の関心とベンダーのマーケティングが高まっています。これは、デフォルトの拒否という初期のセキュリティ姿勢から始まります。しかし、ビジネスが発生するためには、セキュリティとリスク管理の責任者は、CARTAアプローチを用いて信頼を確立し、継続的に評価する必要があります。

続きを読む

クラウド環境でもセキュリティの不安をなくす方法を徹底解説

大手IaaSプロバイダーの自動化、プログラム化されたインフラストラクチャ、および組み込みのセキュリティ機能により、企業はパブリッククラウドのインフラ構成を改善し、規模を迅速に拡大することができます。適切に管理されていれば、パブリッククラウドであってもデータセンターよりも優れたセキュリティをクラウドで確保することができます。

続きを読む

テレワークを行う従業員が最低限実施すべきセキュリティ対策

テレワーク対応を業務環境として容易する企業が増加している一方で、社内インフラがテレワークに対応出来ていない、セキュリティ上の懸念があるとのことから、一部の経営者はリモートアクセスを許容することやテレワーク体制を採用することを躊躇しています。例えば、従業員が沖縄やバリのコーヒーショップで公衆無線LANを使って会社のデータにアクセスすることは、セキュリティの責任者にとって最悪の悪夢です。しかし、コロナウィルスも広がっている中で、今後もテレワーク体制の整備、そのためのセキュリティ対策強化やペーパーレスの推進は今後も続くでしょう。

続きを読む

コロナウイルスにテレワークで対抗する:必要なセキュリティのチェックリスト

世界的なコロナウイルスのパンデミックは、多くの経済的なインパクトを及ぼしています。そしてそれを防ぐべく、各国は堅牢な検疫体制の強化を進めています。日本の緊急事態宣言による、外出自粛・テレワーク対応要請も顕著な例の一つです。これらの政策は、リモートアクセス時の認証情報や脆弱な個人用デバイス、はたまた保護されていないエンドポイントまで、標的型のサイバー攻撃急増を引き起こしています。そしてこのような混沌とした状況は、セキュリティ責任者やCISOの肩に重い責任を負わせています。

この記事の最後のテンプレートでは、組織のサイバー防御がこの困難な時代をうまく乗り切るためにチェックすべき基本的なプラクティスを簡潔、明確、かつ実行可能な形でまとめています。

続きを読む