働き方は変化しています。従業員は、いつでもどこでも、どんなデバイスでも仕事ができる自由と能力を求め、あるいは期待さえしています。仕事とプライベートの境界線が曖昧になっているため、従業員はノートパソコン、タブレット、スマートフォンなど、自分のデバイスを使って仕事をすることが多くなっています。
ここでは、企業が直面している課題のいくつかと、チームメンバーが職場で個人のデバイスを使用できる柔軟性を確保しながら、ビジネスのセキュリティとコンプライアンスを維持する方法について説明します。
BYODを安全にするためのヒント
技術ディストリビューター Tech Data のセキュリティ ソリューション担当副社長 Alex Ryals 氏は、従業員のデバイスを保護するための次のヒントを提供しています。
- Microsoft BitLockerなどの技術を用いたノートパソコンのハードドライブの暗号化。これにより、デバイスが盗難に遭っても、犯人が暗号化キーを持っていない限り、データは安全に保護されます。
- 従業員が定期的にパスワードを変更できるように、3 ~ 6 か月後に期限が切れる複雑なパスワードを使用するようにデバイスを構成する必要があります。
- 多くの場合、会社から提供される最新のウイルス対策ソフトウェアとマルウェア対策ソフトウェアをインストールして実行する必要があります。
- 承認された VPN クライアントは、従業員が企業ネットワークに接続していないときはいつでもインストールして使用する必要があります。
- ラップトップで自動 OS アップデートを有効にして、デバイスが定期的にパッチ適用されるようにします。
- 個人用デバイスの場合でも、インストールされているアプリケーションをカタログ化し、既知の脆弱なアプリがインストールされているデバイスのネットワーク アクセスを制限するために、Microsoft System Center Configuration Manager などのデスクトップ管理アプリケーションのインストールを必須にすることがベスト プラクティスです。
- 企業情報の保存に適したアプリとクラウド サービスの使用を制限するポリシーを定義します。
BYOD がなぜ普及したのか?
BYODとは、Bring Your Own Device(私的デバイス持ち込み)の略で、従業員が職場で自分のノートパソコン、スマートフォン、その他のデバイスを使用する傾向を表す造語です。この動きは、職場で使用が求められる時代遅れのIT機器よりも、私生活で使用しているコンシューマー向けテクノロジーの方が好みだったり、操作が簡単だったり、効率的だったりする人々が気づき始めたことで、勢いを増しました。
この「IT のコンシューマ化」により、個人生活で最新のスマートフォン、デバイス、生産性向上アプリを使用している人は、職場でも同じレベルの機能を期待するようになり、それが不可能な場合は自分のデバイスを使用するだけになります。
もう一つの要因は、従業員のモバイル化が進んでいることです。2017年のギャラップ社の調査によると、アメリカ人の43%が少なくともある程度の時間をリモートワークで過ごしており、これは現代の従業員がいつでもどこでも仕事ができることを期待していることを意味します。勤務時間後にソファで仕事のメールをチェックしたり、カフェでプレゼンテーションの準備をしたり、仕事帰りの電車の中、あるいは高度3万フィートで行われるビジネスミーティングに向かう途中で作業したりするのは、もはや当たり前のことです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
また、近年では、契約社員であっても社内で個人所有のデバイスやソフトウェアを使用することが求められるフリーランスワーカーの数が着実に増加しています。
それで何が問題なのでしょう?
BYODには多くのメリットがあります。従業員は使い慣れたデバイスを使用し、パーソナライズされたエクスペリエンスを享受することで、生産性が向上する傾向があります。BYODは企業にとってもコスト削減に繋がり、特にデバイスの調達、従業員のデータプラン、IT管理にかかるコストの削減が期待できます。さらに、エンドユーザーがデバイスの提供やサービス料金の支払いといった責任を負いやすくなるため、ハードウェアのアップグレードサイクルが長期化する可能性も考えられます。
しかし、消費者主導の IT オンデマンドの世界では、企業への個人用デバイスの流入は自然な流れのように思えるかもしれませんが、雇用主にとってはセキュリティやその他のさまざまな問題を引き起こす可能性があります。
「生産性や従業員満足度の向上といったメリットがある一方で、セキュリティ上の懸念事項があり、それらに対処するための準備が整っていない企業にとっては大きなリスクとなり得ます」と、サードパーティのハードウェア保守およびITサポートサービスを提供するPark Place Technologiesの最高技術責任者、マイケル・カンター氏はTom's Hardware誌に語った。「監視の欠如、マルウェアへの露出、コンプライアンス要件、データ漏洩、デバイスの盗難など、BYODのセキュリティは大きな問題となります。」
たとえば、従業員は生産性の向上につながると思われるアプリケーションをデバイスにダウンロードすることにあまり関心がなく、会社のネットワークにセキュリティ上の脆弱性をもたらす可能性があることを考慮しないことがほとんどです。
ネットワーク管理およびセキュリティ企業のA10 Networksは今年初め、アプリケーション・インテリジェンス・レポートを発表した。その中で、2017年にGoogleがPlayストアから潜在的に有害なアプリ70万件を削除したなどの事件があったにもかかわらず、従業員のほぼ3分の1(30%)が職場で非承認アプリを故意に使用していると認めていると指摘されている。非承認アプリを使用している人の51%は「誰もがやっている」と主張し、36%はIT部門には使用できないアプリを指示する権利はないと考えていると述べている。
「従業員は、企業の資産やアプリケーションに対する不注意、時には怠慢な行動を通じて、サイバーセキュリティの扉を大きく開き、企業を脆弱な状態に陥れている」と報告書は指摘している。
一方、33%は、会社のIT部門が業務に必要なアプリへのアクセスを許可していないと回答しています。同僚とのコミュニケーションにはWhatsAppのグループメッセージを使うのはどうでしょうか?機密文書はDropboxに保存してアクセスしやすくするのはどうでしょうか?
答えは、明らかなセキュリティリスクに加え、IT管理者が企業やユーザーのプライバシーを保証できないことです。競合するテクノロジーやサイロ化されたテクノロジーを各チームが使用している場合、コラボレーションは困難になります。さらに、個別のソフトウェアライセンスを購入するコストも発生します。
BYODポリシーの実装
企業ネットワークに個人のアプリやデバイスが大量に流入しているため、IT チームは、分散化が進む従業員全体での個人デバイスの使用状況を監視および管理するために BYOD 戦略を実装する必要に迫られています。
「あらゆる組織にとって最大のセキュリティリスクは従業員であり、セキュリティのベストプラクティスに関する規律の欠如です。そのため、厳格なセキュリティポリシーと制御を伴わずにBYODを導入すると、危険な状況に陥る可能性があります」と、技術ディストリビューターであるテックデータのセキュリティソリューション担当副社長、アレックス・ライアルズ氏はTom's Hardwareに語っています。
しかし、どこから始めればよいのでしょうか? ライアルズ氏は、企業ネットワークへの接続を許可する前に、すべてのデバイスを検査することが重要だと述べています。
「デバイスのコンプライアンスを確保する簡単な方法は、一部の企業サービスを厳重に管理されたファイアウォールの背後に配置し、VPNクライアント経由でのみ企業ネットワークにアクセスできるようにすることです」と彼はアドバイスします。「これにより、従業員は自分のデバイスをIT部門に持ち込み、VPNクライアントのセキュリティ証明書を従業員の個人用ラップトップにインストールしてもらうことになります。また、IT部門はデバイスが企業のセキュリティポリシーに準拠しているかどうかを検査する機会も得られます。」
Park Place の Cantor 氏は、BYOD プログラムが安全かつ確実に実行されるようにするために IT 部門が実行できる手順もあると主張しています。
「まず、デバイスが個人データや企業データとどのように関わっているかを考慮した包括的なリスク評価を実施し、定期的に更新する必要があります。また、個人用デバイスの使用方法に関する明確なポリシーを策定し、モバイルデバイス管理などのツールを導入して、そのポリシーの実施を支援する必要があります」と彼は述べています。「MAC(メディアアクセス制御)アドレス識別子やIDアクセス管理ソリューションなどのデバイス固有のツールを活用することで、IT部門は企業リソースにアクセスするデバイスを監視し、不審なアクティビティや不正アクセスからデータを保護することができます。」
カンター氏は、BYOD をサポートするために使用するテクノロジーと同じくらい重要なのは、画面の背後にいる人々だと付け加えています。
「従業員がデバイスやアプリケーションの設定管理を支援する際、IT担当者は重要なリソースとして認識される必要があります。良好な関係を築くことで、IT部門は従業員のスキルアップを図り、必要に応じてセキュリティ対策を実施できるようになります」と彼は指摘します。
職場における従業員個人所有デバイスの問題は、今後も解消されることはありません。ウェアラブルスマートデバイスを含むIoTエンドポイントがネットワークに急増することが予想されるため、IT部門は個人所有デバイスの管理をさらに困難にする必要があるでしょう。
それでも、ライアルズ氏は次のように述べています。「BYODデバイスを通じた企業への情報漏洩リスクは大きいですが、個人所有デバイスを使用する従業員に対して明確な利用規定を定めることで、リスクを許容できるレベルまで軽減することができます。ただし、従業員は特権を得るために、ある程度の自由と利便性を犠牲にすることを厭わない必要があります。」
