Embed Size (px)
Citation preview
アステリア株式会社 2017 年 8 月
White Paper
© 2017 Asteria Corporation
賢いツール選びが重要!BYOD を成功に導く
3つのポイント < 2017 年版>
2
© 2017 Asteria Corporation
最 近 BYOD が 普 及 し て い る 理 由 と して は、 主 に 以 下 の 3 点 が 考 え ら れ ま す。
①スマートフォン、タブレットの普及
②ワークスタイルの変革
③災害対策(BCP)
パソコンはひと昔前で普及が頭打ちになりましたが、ここ数年で携帯電話からスマートフォンへの買い替えが加速し、若い世代を中心に当たり前のように「1 人 1 台」スマートフォンを所持しているといった状況です。
携帯電話は電話以外の機能が乏しく標準機能ではメール閲覧や簡単なウェブサイト検索程度といった使い方に留まっていました。その為、BYOD に不向きでしたが、スマートフォンやタブレットはパソコン並みの機能を備え、メールやインターネット、各種アプリの追加等、業務を補完できるほどの性能を備えています。
企業のシステムもクラウド化が進み、従業員が私物の端末で手軽に業務できる環境が整ったことも背景にあります。
追い打ちをかけるように、「BCP(事業継続対応)」の策定が、特に東日本大震災以降、企業に
イメージ:BYOD 導入の背景
1.はじめに BYOD とは Bring Your Own Device の略で、
「企業において、従業員が個人保有の機器を持ち込み、それを業務に使用すること」を指す用語です。
Bring は「持ってくる・連れ込む」といった意味を持つ単語ですが、個人のスマートフォンの職場への持ち込みを防ぐことは困難ですし、知らないうちに「BYOD が発生している」とみても過言ではありません。そして、ワークスタイルの変革と共に在宅勤務や出張先、移動先で個人の端末を使って業務を行う、といったようなことも今後ますます身近な存在となるでしょう。オフィスの外で業務をするケースでも、個人保有機器の利用という意味では BYOD に当てはまります。
BYOD が注目され始めたのは 2012 年頃のことです。当初は欧米企業に比べて日本企業は BYOD には慎重であり、企業導入は活発には行われないだろうと推測されてきました。しかし、近年じわじわと普及が進み、IT 専門調査会社 IDC Japan 株式会社が 2016 年 7 月に発表した国内タブレットソリューションに関するユーザー動向調査結果によると 2016 年度の従業員規模別 BYOD 導入率は、2015 年と比べてどの規模の企業でも軒並み 10% 程度、大幅に増加しています。
3
© 2017 Asteria Corporation © 2017 Asteria Corporation
おいて重要なミッションとなってきました。大規模な災害などが発生し緊急事態となった場合でも、なるべく業務を中断せずビジネスを進行し、被害を最小限に抑えつつ復旧を目指す計画です。
また、近年では政府や自治体が積極的に「働き方改革」を打ち出しています。非常時に限らず、在宅での勤務やモバイルワークなど、テレワークの実施も呼びかけられており、企業にとっても多様な働き方に対応した環境を整備する必要があります。
企業の方針によっては、社外で仕事ができるように、従業員が個人所有する端末を業務で活用する企業もあるでしょう。
これらの様々な要因が組み合わさり、BYODを検討するシーンが増えた、ということが、BYOD 導入を後押ししている原因といえます。
しかし、BYOD を導入したすべての企業が、BYOD を効果的に運用し管理できているとは限りません。
それでは BYOD 導入を成功させ、失敗に陥らないようにするにはどうするべきなのでしょうか。
本書では BYOD に関して抑えるべきポイントを検証し、その罠から脱却するための導入のツボを紹介していきます。
2.BYODのメリットと デメリット
BYODのメリット 企業にとって BYOD を導入することで得られるメリットとしては前述した
働き方改革(テレワーク)、BCP(事業継続
計画)に対応できる
ということがあげられるほか、他にも以下のようなものが考えられます。
端末導入費用、管理費用の節約
BYOD で使用する端末は従業員の私物ですので、会社がパソコン本体を購入する費用が削減されます。ただし後述しますが、BYOD の仕組みやルールを決めたり、BYOD のためにシステムやツールを導入したりといった BYOD を運用するためのコストは発生するでしょう。
生産性の向上と業務効率化が見込まれる
これについては、従業員が普段から使い慣れたデバイスで作業できる、ということと、自宅など会社から離れた場所や空き時間でも業務を行える、ということの2つの側面があります。
会社のパソコンは旧式のデスクトップ型で、ハードディスクを使用しているので起動もアプリの動作も遅くイライラするのに対し、性能の良い SSD 搭載の自分のノートパソコンならサクサク作業を進められるし操作も手馴れている、ということで業務効率が上がる場合もあるでしょう。
また、会議と会議の間や外出先までの移動時間など、わずかなスキマ時間にも自分のスマートフォンを取り出して、メールの確認などのちょっとした業務をすることで、時間を有効活用することもできます。
4
© 2017 Asteria Corporation
BYODのデメリット
では、BYOD を導入することでどのようなデメリットが生じるでしょうか。
セキュリティ面の問題
会社支給の端末に比べて私物の端末はセキュリティ設定が疎かになりがちです。パソコンであれば、多くの会社ではドメインというネットワークで管理が行われていますが、自宅のパソコンはドメインに参加しておらず、それどころかパスワードすら設定されていないケースも珍しくありません。
会社のパソコンとは違い、不要なソフトウェアがインストールされていることもあります。自分が気を付けていても、家族がパソコンを触って予期せぬ操作をしてしまうかもしれません。 こ の よ う に、 私 物 端 末 は 情 報 セ キ ュ リテ ィ 事 故 を 起 こ す リ ス ク を 多 量 に は ら んで い ま す。 ス マ ー ト フ ォ ン や タ ブ レ ッ トで も、 以 下 の よ う な リ ス ク が あ り ま す。
・ セキュリティパッチの実装やOSの アップデートが行われていない
・ 所有者による OS の改造(Jailbreak, root 化)
・ 不正アプリのダウンロード
これらの脆弱性を狙ったウイルス、マルウェアに感染する危険性が高くなります。
上記の他にも色々なセキュリティリスクがあります。詳しくは別表 1 をご覧ください。
BYOD 端末自体の問題だけではなく、社内ネットワークに接続されてしまうと、周囲の端末も危険に晒され、二次被害も発生してしまう危険性があります。
BYOD を導入するにあたっては、問題に対する予防策と万が一セキュリティ事故が発生してしまった時の対応方法の事前のルール策定が非常に重要です。
端末の設定を企業側でコントロールしにく
くなる
これも BYOD ならではの課題の 1 つです。会社貸与の端末は、配布前の事前の設定などで、何か緊急の事案があったときには内部データ消去も含めた対処が可能です。ライフサイクルマネジメントも可能ですので、途中で違う端末に買い替えることもでき、退職したら返却するというルールを策定することも容易にできます。
しかし BYOD は従業員の私物端末です。その為、紛失時にデータを全消去するには、会社の一存で実行するわけにはいきません。端末の管理者は従業員自身であり、会社の業務データやシステムに関わるトラブル発生時でも、企業側の情報システム部門が直接端末を操作設定することが非常に難しくなります。
従業員のプライバシーとの両立の問題
通信履歴や保存したデータをどこまで企業側で取得してよいものか、把握するべきかの線引きが難しいところですし、また、労務管理の観点からは、BYOD 導入で仕事とプライベートがあいまいになってしまうという問題もあります。
通勤途中や帰宅後、休日といった労働時間に含まれない時間でも従業員が仕事をできてしまうために、そのような時間外の労働時間を適切に計上し、残業代を払って管理する、などの対策が状況によっては必要となります。
さらに、BYOD で使用する端末購入代金や、通信費についての負担についても事前に従業員と調整し同意が必要でしょう。
5
© 2017 Asteria Corporation © 2017 Asteria Corporation
脅威 想定されるリスク
端末のウイルス感染 業務情報の漏えい、ID パスワードの漏えい、盗聴、盗撮
OS の不正改造 端末保護機能の低下、ウイルス感染確率増大
OS、アプリのアップデート未実施 OS・アプリの脆弱性をついた攻撃を受ける危険
不正アプリの利用 ウイルス、マルウェア感染の危険大
端末の紛失・盗難 業務情報の漏えい、ID パスワードの漏えい
ID・パスワードの漏えい 業務システムへの不正アクセス、情報漏えい
ショルダーハッキング 業務情報の漏えい、ID パスワードの漏えい
家族や知人の端末利用 業務システムへの不正アクセス、不正アプリのダウンロードにつながる恐れ
外部への情報出力外部媒体、クラウド、ファイル共有機能、スクリーンショットなどにより
情報が外部に流出する
不正通信の利用公衆無線 LAN などセキュリティが低い通信への接続により、盗聴、改ざん、
データハッキングされる恐れ
表 1: 私物モバイル端末にかかわる想定されるセキュリティ脅威
3.会社貸与端末とBYODの違い BYOD の運用・管理がうまくいかない理由は様々ですが、たとえば、運用・管理する企業側が「利用者の私物端末を管理しよう」という意識を持っていないでしょうか?
BYOD を運用するということは、当然ユーザーの私物デバイスを管理することなのではないのか?と思われる方もいるかもしれませんが、しかし、それは最も大きな罠であるかもしれません。
ここに、大変参考になる考察があります。日本スマートフォンセキュリティ協会(JSSEC)利用部会 ガイドラインワーキンググループ BYODタスクフォースが 2012 年に発表した「BYOD の現状と特性」という資料です。
この資料の5ページ目、「3.1. 前提条件の変化」には次のように記載されています。
個人所有のスマートフォンと組織貸与のスマートフォンとでは、以下のように前提条件が変わります。
①デバイスの状態(OS のバージョン等)は、 千差万別である。
②利用者が個人的に使っているアプリ ケーションやサービスの利用禁止は、 困難である。
③資産管理(有償アプリケーションの所有 や管理、紛失時のデータ削除等)には、 精査が必要である。 ④デバイスが最初にインターネットに 接続するネットワークは、制限できないと 考えられる。
6
© 2017 Asteria Corporation
さらに続いて「3.2. 管理可能な範囲の考え方」では、上記を前提に次のような結論付けをしています。
BYOD では基本的に、すべてを管理することは不可能です。すべてを管理したい場合、BYOD は推奨できません。言い換えると、BYOD ではすべてを管理する必要はなく、目的に合わせて管理対象を選択することになります。
結果として、スマートフォンの状態をコントロールすることは困難と捉えて許可できる業務範囲を設定し、 その上で、BYOD 導入時に留意が必要な項目を検討してください。
この資料は対象デバイスをスマートフォンに絞っていますが、基本的にこの考え方はパソコンやタブレット端末にも通じるでしょう。
たとえば、BYOD アクセスするシステムに対してセキュリティを徹底するあまりに、デバイスの OS 動作にまで影響を及ぼす機能設定の変更を必要としてしまったら、どうでしょうか。このような設定変更をしてしまうと、BYOD ではOS や端末の種類が多岐にわたるため、動作検証が困難ですし、万一この設定の影響で端末が起動しなくなってしまったりしたら、取り返しのつかないことになってしまいます。運用側、ユーザー側双方にとって多大な負担を残す結果になります。
おなじく「④デバイスが最初にインターネットに接続するネットワークは、制限できないと考えられる。」ことも、陥りやすい罠です。
企業内では多くの場合、あらかじめ敷設されたネットワーク環境があり、そのネットワークに端末を接続するのが常識ですが、BYOD になると、その前提は覆ります。
インターネットに接続しようとするときに、モバイルアクセスポイントやテザリングを利用することが習慣になってしまっているユーザーもいることでしょう。個人所有の場合、それらのセキュリティは疎かになっていることが多いです。
BYOD によって、もし私物端末と同時にこの
ような「野良アクセスポイント」が会社内に持ち込まれてしまうと、セキュリティは大きく脅かされます。パスワード無しで接続できるアクセスポイントは、どのデバイスでも意図せずして接続してしまうことがあります。
会社の端末までもがそういったアクセスポイントに接続する可能性があり、無防備なネットワークに私物端末と業務端末が混在する状況が発生します。その状態で、もし悪意のある第三者がアクセスポイントに接続した場合、データ流出、情報漏えい事故につながる恐れがあります。
管理側は、つい自分たちが用意したネットワークに対する接続だけを想定しがちですが、BYODの場合、デバイスが最初にインターネットに接続するネットワークは制限できないことを考慮するべきでしょう。
4.BYODを成功に導く 3つのポイント このように、BYOD では管理対象が個人所有のデバイスになるがゆえに、会社所有のデバイスの管理とは考え方を変えて対応しなければいけません。
どのような考え方で BYOD を導入すれば、スムーズに運用でき業務に活用できるのでしょうか?本章では活用の導く3つのポイントについてご紹介します。
7
© 2017 Asteria Corporation © 2017 Asteria Corporation
BYOD活用のための3つのポイント
(1) 導入目的を整理する
前章で紹介した資料にも記載のとおり、「すべてを管理することは不可能」という前提で最初から臨み、「目的に合わせて管理対象を選択する」ことが重要です。
そこで、まずは BYOD を導入目的と期待する結果整理し、ゴールを定めておく必要があります。
例えば、「BCP 対策」が導入目的であれば、緊急時にとるべきルールの策定が何より重要となるかもしれません。ですが、「営業担当の外出時の業務効率改善」ならば、営業関係資料流出防止策が必要でしょう。
このようにゴールを明確に見据えることで、適切な対応策が見えてきます。
その為、導入当初からいきなり「全社員の全端末であらゆる業務ができるようにする」など漠然としたゴールは避けてください。
(2)管理対象を選択する
導入目的の整理ができた後は、管理対象の選択をしましょう。
BYOD で最も管理が必要なのは端末ではなく会社の「情報資産」です。どうしても流出したら困るような機密情報なら、どうやって BYODで参照させるかを考えるより、いっそのことBYOD でアクセスさせないようにするという選択肢もあります。
BYOD を導入する目的とそれを実現させるために必要な情報の範囲を決め、それらの情報を適切に管理するためにどのような運用が必要か、という順で絞り込んでいってください。
前述の例であれば、「BCP 対策」ならば、「緊急時に備えた VPN ネットワークの設定と公開基準」が必要となるかもしれません。しかし、「営業効率アップ」であれば「外出先で必要となるものだけを BYOD で閲覧できるようにする」こ
とが成功のコツとなるでしょう。目的に合わせて取捨選択をすることも大切です。
(3)クラウドストレージのリスクを理解する
企業の BYOD 導入のソリューションとして、真っ先に思い浮かぶのは「クラウド」ではないでしょうか。個人のパソコンや社内ネットワークのサーバーといったローカル環境ではなく、インターネット上でサービスを利用するというクラウドコンピューティングの特性は BYOD に非常に向いています。限られた社内ネットワークにあった情報をクラウドに移せば、私物端末からも簡単にアクセス可能となるからです。
クラウドストレージはインターネットにアクセスできる環境であれば、どこからでも、どの端末からでもアクセスできることが最大のメリットです。ただし、それが逆にセキュリティ上の大きな課題を生み出す要因にもなります。BYODでは、データが個人の私物端末に格納される可能性があるため、アクセスの容易さは諸刃の剣です。
そもそも企業側がクラウド利用を禁止していたとしても、個人利用の BYOD 端末に既にクラウドアプリなどがインストールされているかもしれません。前章で述べた通り、BYOD は従業員個人の所有物です。その為、企業側が望ましくないと考えているものであっても、法的に正しい限りはすべて制御するのは難しいでしょう。
そこで BYOD 成功の要となるのが、「賢いツール選び」なのです。
8
© 2017 Asteria Corporation
5.BYOD導入の要となる ツール それではどのようにして、クラウドストレージの脅威から BYOD 端末のデータを守ればよいのでしょうか。
セキュリティ対策として、例えば端末側からクラウドストレージへの VPN 接続や、ストレージ側での接続 IP アクセス制限などが考えられますが、そこまで対策してしまうと、結局社内ネットワークに VPN アクセスしているのと変わらなくなり、逆にクラウドのメリットが失われてしまいます。
そのうえ VPN は多くの無料サービスが乱立しており、セキュアな接続という目的よりも「IPアドレスの偽装」「フィルタリング回避」のために悪用されるケースも多く、抜け穴を見つけ出した社員から、VPN を悪用され社内リソースに接続されてしまう、というケースも考えられます。
「BYOD では基本的にすべてを管理するのは不可能」という原則を、もう一度思い出してください。接続や通信まで細かい管理をするようなBYOD なら、破綻することが既に目に見えています。目的のデータリソースをシンプルに管理する仕組みが必要です。
だからこそ現在求められているのが、モバイル管理ツールの MAM や MCM です。
■MAMやMCMで的を絞った管理を MAM は Mobile Application Management のことであり、日本語で言うと「モバイルアプリケーション管理」。モバイル端末を業務に使用する場合に業務にかかわるアプリケーションとデータを適切に管理することを指します。
MAM の方法として代表的なものが「ラッピング」です。これはアプリケーションに対してアクセス制限やデータ保護を行うものであり、個人のデータとは分離して、業務に必要なアプリケーションだけに設定を適用することができます。また、仮想デスクトップ(VDI)のように端末内に重要なデータを残さないよう管理者が設定・制御できるものもあり、情報漏えい対策も可能です。
MCM は Mobile Contents Management の略であり、「モバイルコンテンツ管理」などとも呼ばれ、端末全体を管理するのではなく、業務に必要なコンテンツだけを管理するものです。コンテンツ単位で、パスワード認証やデバイス認証などの保護、ダウンロード禁止や有効期限を設定することができるのがポイントです。管理すべき情報を適切に管理することで、プライバシーの侵害も回避し、公私混同が起こりがちなBYOD でもスマートに区別した運用が行えます。
MAM や MCM よりも、MDM という単語の方がよく耳にするのではないでしょうか。MDM はMobile Device Management の略で、その名の通りデバイスを管理するツールです。主に、企業が配布している iPhone や Android 端末を一括で管理するために導入されています。一斉にアプリを配信したり、セキュリティ設定を適用したりする管理が可能で、紛失盗難時の遠隔データ消去機能なども備えているので、スマホやタブレット端末の集合管理には最適です。
ところが、MDM は必ずしも BYOD に適しているとはいえない面があります。BYOD では私物端末が使われるため、管理者がその端末を好き勝手に管理するわけにはいきません。プライベートなデータも含めて端末を丸ごと初期化してしまうなどの管理は、プライバシーの観点から問題があります。
9
© 2017 Asteria Corporation © 2017 Asteria Corporation
略称 特徴 BYOD との相性
MAM
端末のアプリケーションを管理し、情報流
出を防ぎ、セキュアにアクセスできるよう
にする仕組み
◎
仮想領域で動作し端末にデータを残さない
仕組みのため、私用アプリと隔離して管理
が可能
MCM
業務に必要なコンテンツを管理し、情報流
出を防ぎ、安全に共有して利用できるよう
にする仕組み
◎
業務で必要な情報のみを集中管理できるの
で、明確でシンプルな BYOD 運用が可能
MDMデバイス本体を管理し、遠隔操作でデータ
消去命令を出すなど情報流出を防ぐ仕組み
△
個人端末を企業が管理することには矛盾が
ありプライバシーの問題に突き当たる
表 2:MAM、MCM、MDM の比較
BYOD 時代は端末を管理する MDM よりも、アプリやコンテンツを管理する MAM、MCM を活用する方が効果的といえるでしょう。
■代表的なMAM、MCM製品 セキュアな BYOD を実現するための、代表的な MAM と MCM のサービスを紹介します。
【MAM:moconavi–端末にデータを残さず業務アプリを安全利用】
レコモット社 moconavi ウェブサイト レコモット社の「moconavi(モコナビ)」は、メールやストレージ、グループウェアなど、業務で使用する様々なアプリケーションと連携する MAM 製品です。最大の特徴は端末にデータ
を残さないで動作可能であることです。個人の端末にデータが残らないため、情報漏えいの心配も少ないですし、万一の場合も端末全体をデータ消去する必要はなく moconavi だけ使えなくすれば OK な仕組みになっています。ユーザーの個人端末にインストールされている既存のアプリと区別して業務アプリを使用できるというのもメリットです。
【MCM:Handbook–シンプル、簡単にコ
ンテンツを集中管理】
アステリア社 handbook ウェブサイト
モ バ イ ル 向 け コ ン テ ン ツ 管 理(MCM) シス テ ム 市 場 で シ ェ ア 第 1 位 を 獲 得 し て い る
「Handbook」は、ドキュメント、画像や音声、動画までのあらゆる電子ファイルをクラウドに
© 2017 Asteria Corporation
※ 記載された会社名、製品名などは、各社の登録商標もしくは商標です。
[お問合せ先] アステリア株式会社TEL:0120-279-140FAX:03-5718-1261Mail:[email protected]:https://handbook.jp/
保存し、自宅や外出先のパソコンやタブレット端末からセキュアにアクセスできるツールです。 Handbook はセキュアなコンテンツ配信を実現し、中央制御型のコンテンツ管理が可能です。機密情報など取り扱いが難しい資料も、様々なセキュリティ機能で安心に利用できます。なりすましや不正利用といったセキュリティ上のリスクを予防できる機能やユーザー別、端末別のアクセス制御により、BYOD を導入するにあたってのセキュリティ対策にも適しています。
6.おわりに いまや BYOD の検討はどの会社も避けて通れないものです。しかし、セキュリティ面などでリスクもあるため、上手に運用し情報漏えい事故を起こさないように管理していくことが非常に重要です。
しかし、利用端末や環境が千差万別の BYODでは、従来の会社端末を管理するような考え方では通用せず、コントロールできません。なし崩しに BYOD が蔓延しないようにするためには、すべてを管理しようとするのではなく、ポイントを抑えたセキュリティの実装が必須であり、そのためにも効率的に管理できる MDM や MAMといったツールの活用が肝になります。
繰返しにはなりますが、私物デバイス全体を管理運用するのは難しいことです。その為、「タブレット・スマートフォンで利用する営業資料等は、Handbook で管理する」など、データやコンテンツをしっかり管理することで、BYOD の運用にメリハリをつけましょう。それが BYOD導入を成功に導く重要なポイントとなります。また、利用する端末に対し、ツールも使い分けることでリスク低減を行いましょう。
