BYODよりCYOD、安全性と利便性を両立

2013.03.07

　従業員の60％が会社のネットワークに個人所有のデバイスをつなげることを認められており、この割合は2年以内に82％に上昇する――。個人所有の端末を仕事で使用する、いわゆるBYOD（Bring Your Own Device）について、こんな調査結果がある。今回は、この話題を取り上げたブログから紹介する。

　調査を実施したのは英ブリティッシュテレコム（BT）。スロバキアのイーセットは、その調査結果を引用し、BYODの利点と欠点についてブログで解説し、セキュリティ対策を提案している。

　またイーセットが実施した調査によると、米国では有職者の80％が個人所有のデバイスを仕事に使用しているという。特にパワーユーザーやIT部門の従業員、次いで上級管理職や取締役のあいだでこの傾向が強いが、BTによれば、BYODにおける重大なセキュリティのリスクを認識している人は25％にとどまる。

BTの調査結果にもとづいたグラフ

　BYODは、職場で私用の電子メールをチェックしたり関心のあるサイトを閲覧したりするなど従業員にとって大変都合がいい。会社にとっても、従業員用のデバイスを用意する必要がないため初期費用がかからないこと、従業員が使い慣れているデバイスなのでわざわざ使い方をトレーニングする必要がないことなどがメリットとして挙げられる。

　しかし、デバイスの管理やトラフィックの監視が難しいなど、デメリットも多い。企業でサポートしているプラグインに対応していなかったり、デバイスごとのアプリケーションの違いから、あるデバイスで行われた作業を別のデバイスに移せない可能性がある。

　それだけでなく、VPNソフトウエアを実装していないデバイスを使う従業員が、外出先などで作業するために企業ネットワークにある重要なデータをデバイスにコピーすることも考えられ、これは重大なリスクにつながる。BYODデバイスは通常小型で、簡単に盗まれたり紛失したりするからだ。

　企業ネットワークにアクセスする個人所有のデバイスが、完全に安全であり不正な行動を取る余地がないと確認したとしても、ファームウエアやOSのアップデートにより新しい機能がデバイスに追加されることもあり得る。企業のセキュリティチームがすべてのデバイスのあらゆるOS、アプリケーション、ファームウエアに実装される新しい機能全部を把握するのは不可能である。

　そこで、BYODの利点を生かしつつリスクを軽減するためのより良い方法として、イーセットは「CYOD（Choose Your Own Device）」と呼ぶモデルを提唱している。企業のIT部門は、アプリケーションのパッチ適用やアップデートなどの管理が可能で、社内セキュリティ基準とポリシーに準拠する複数のデバイスをあらかじめ複数選定する。従業員はその中から自分で所有する機種を選ぶ。

　指定されたデバイスは使いたくないという従業員には、未承認のデバイスから企業ネットワークに接続できないことを理解させ、同時に、職場のセキュリティガイドラインを指導するべきだ。

　BYODにおけるもう一つの問題は、従業員がときどき自宅のパソコンから、あるいは外出先の公共無線LANやインターネットカフェから企業ネットワークにアクセスすることだ。これらシステムは、誰かが興味を誘うWebサイトを訪問し、その結果バックドアが仕込まれている可能性がある。

　対策の一つとして、イーセットは米マイクロソフトの最新OS「Windows 8」が備えている「Windows To Go」機能を挙げる。同機能は、アプリケーションやユーティリティーなど職場のデスクトップと同じ安全な環境をUSBドライブから起動して作り出せるというもの。

　Windows To Goはデータ漏えいを防ぐために、USBドライブが外されると実行しているプロセスを中断し、USBドライブが60秒以内に挿入されればプロセスを継続する。USBドライブが再度挿入されなければ、重要な情報が画面表示されたままになったりメモリーに保存されたりするのを防止するために、コンピュータをシャットダウンする。Windows To Goドライブは「BitLocker」で暗号化することもできる。

　ただし、Windows To Goを使用したからといって、従業員が個人所有のデバイスを仕事に用いる際のリスクがまったくなくなるというわけではないので油断は禁物だ。

　BYODを近い将来の懸案と考えるのではなく、今こそ深刻にとらえ、それに伴って企業ポリシーを再構築するべきだ。企業のIT管理規約にモバイルデバイス管理を統合することは必須であり、それを怠れば、近いうちに企業データの漏えいや悪用といった危機に直面することになると、イーセットは警告する。CYODモデルを取り入れることによって、企業ネットワークにアクセスするさまざまな異なるデバイスを管理し、リスクを最小限に抑えながら、使用デバイスの選択肢を従業員に提供することができる。