第3回では、BYOD導入のために必要となる検討の全体像と、アクセス管理など個々の具体的な取り組みのいくつかについて解説した。今回はポリシー策定の手順について解説する。

ポリシーは段階を踏み体系的アプローチで作成する

 BYODポリシーの策定にあたっては、体系的なアプローチを行うことを推奨する。BYODにおいては利便性とセキュリティ、コストなどのトレードオフが存在する。最適な方法を選択するためには、以下のような手順でポリシーを策定すべきである。

図1●ポリシー策定の手順
図1●ポリシー策定の手順

 ステップ1として、まず、その企業におけるデバイスの利用のされ方(ユースケース)の特性を記述する。ユーザーの移動や、使用する情報の機密性、物理的セキュリティなどである。

 ステップ2では、このいくつかのユースケースから、最も合致するユースケースを選択する。ユースケースは多くの場合単一ではない。営業など外出が多い従業員や、出張などさまざまな支店での勤務の多い従業員もいるだろう。企業は、モデルが複数のグループのニーズを満たすことが存在するかどうかを確認し、各ユースケースに最も適したモデルを採用する必要がある。

 ステップ3では、認可するエンドポイントのアプリケーション・モデルを選択する方法を分析する。ネットワーク管理、セキュリティ、およびサポート要件に与える影響を考慮する必要がある。

 ステップ4では、ITの他の側面にどのように影響するかを検討する。

 重要なことは、近視眼的な意思決定を行わないことだ。セキュリティ上のリスクなど、単一の視点からBYODを評価することは避けねばならない。

 また、ポリシー策定チームには、さまざまな領域の利害関係者を含める必要がある。経営層、エンドユーザー部門の担当者、アプリケーション設計者、セキュリティ/ネットワーク担当者の参加が望まれる。場合によっては、法務や人事からの情報が必要になる場合がある。