ISO NEXT
ISOコンサルタント/個人情報保護士/ISO9001審査員補/ISO14001審査員補
結石 一樹 KEISHI KAZUKI
BYOD(Bring Your Own Device)は、「自分のデバイスを持ち込む」という意味で、従業員が自分のパソコン、スマートフォン、タブレットなどの個人的なデバイスを職場に持ち込み、業務に使用することを指します。使い慣れたデバイスを使用できますが、セキュリティ強化の必要があります。
INDEX
BYODとは、「Bring Your Own Device」の略語です。
従業員が、私物のノートパソコンやスマートフォン等のデバイスを業務で使用することです。
コロナ渦で一気にリモートワークが浸透したことで、BYODを導入している企業も増えているのではないでしょうか。
この制度は、従業員にとって使い慣れたデバイスを使用できる利便性や柔軟性を提供する一方で、企業としては適切なセキュリティ対策とポリシーの設定が求められます。
BOYDのデバイスの種類は、ノートパソコン、スマートフォン、タブレット端末、ラップトップなどを指します。
BYADとは、「Bring Your Assigned Device」の略語です。
学校や企業が指定したデバイスを従業員や生徒が購入し、業務や学習で使用することです。
最近では、IT化が進み、学校で使用されることが多くなってきていますね。
CYODとは、「Choose Your Own Device」の略語です。
業務で使用するノートパソコンやスマートフォン等の端末を企業が提示し、提示されたものの中から従業員が自由に選ぶことです。
BYODを導入することで、企業はデバイスの購入コストを削減することができます。
従業員が自分のデバイスを使用するため、企業が新しいデバイスを提供する必要がなくなります。
本来は企業側で支給するデバイスのメンテナンスやサポートにかかるコストも、削減することができるでしょう。
従業員は、自分が使い慣れたデバイスを使用するため、作業効率が向上します。
熟練度の高いデバイスの操作により、タスクの実行が迅速かつ効果的になります。
特に、システム開発業務を行う会社に勤めている人は、使用するOSによっては使いやすさが左右されることもあるでしょう。
業務内容によって、会社から支給されるデバイスを使用するよりも自分好みや使い慣れたデバイスを使用することで、生産性の向上に繋がります。
従業員が自分のデバイスを使用できることで、仕事に対する満足度が向上します。
自分の選択したデバイスで仕事ができることで、作業環境の適合性が高まります。
会社には、色々な勤務形態の方が所属しています。
BYODを取り入れることで、わざわざ会社に出社しなければならないという状況ではなくなり、自分のデバイスで業務を行えることで、ストレス軽減や作業効率の向上に繋がります。
従業員が個人のデバイスを業務に使用することで、企業のデータやネットワークに対するセキュリティリスクが増加します。
個人のデバイスは、セキュリティソフトウェアやアップデートの管理が不十分な場合があり、マルウェアやハッキングの標的になる可能性が高まります。
また、デバイスの紛失や盗難によるリスクが増加します。企業の機密情報や重要なデータが失われる可能性があります。
企業側は、セキュリティ・デバイス・データ・コンプライアンスの管理を行う必要があります。
セキュリティ管理:個人デバイスの使用により、企業は、デバイスのセキュリティポリシーやアクセス権の管理、データの暗号化、リモートワイプなどのセキュリティ対策を行うこと。
デバイス管理:デバイスの遠隔管理、アプリケーションの配布、アップデートの管理などのデバイス管理ツールの導入を検討すること。
データ管理:データの暗号化、デバイス上のデータのバックアップ、データのリモート削除などのデータ管理策を行うこと。
コンプライアンス管理:法的な規制やコンプライアンス要件を満たすこと。
BYODを導入すれば、情報セキュリティのリスクは高くなります。
その上で、会社のポリシーを定め、ルールを作成し、従業員に対する定期的な教育を行っていく必要があります。
また、ルールの周知だけでなく、昨今の情報セキュリティに関する脅威や漏洩事故等の事例共有を行っていくことで、従業員へ情報セキュリティリスクに対する認識を持ってもらうことが大切です。
業務の効率を高めつつ、情報セキュリティリスクを最小限に抑えるためにBYODを導入する際には、システムに関する対策と運用面での対策が必要となります。
MDM(Mobile Device Management)ソフトウェアを使用して、企業側でデバイスの管理と監視を行います。
従業員のデバイスには、パスワードや指紋認証などのセキュリティ機能を有効にしてもらいます。また、デバイスの自動ロックや暗号化機能を設定します。
また、セキュリティソフトウェアやモバイルセキュリティアプリを導入し、ウイルスやマルウェアからデバイスを保護します。
BYODに関するポリシーを策定し、従業員に伝えます。
ポリシーには、許可されるデバイスやアプリケーション、データの取り扱い方法、セキュリティ規則などが含まれます。
ポリシーに基づき、運用ルールを策定し、従業員に対して定期的なセキュリティトレーニングや教育を行い、セキュリティ意識を高めます。
そして、自社の運用ルールが実際に遵守できているかの確認を行うことが、企業側としての管理です。
シャドーITとは、企業の情報技術部門の承認や管理の下で行われず、従業員が自発的に導入したデバイスやソフトウェアのことを指します。
これには、クラウドサービス、ソーシャルメディア、プロジェクト管理ツールなどが含まれます。
BYODは、企業側が管理できている状態ですが、シャドーITは、企業側は認知できていない状況で使用されているということに関しては、大きな違いがあります。
その場合、情報セキュリティリスクは更に高くなります。
企業としてのメリット・デメリットを把握し、企業側が今の状態からBYODを導入できるか?を判断し検討しましょう。導入する場合には、セキュリティ対策を構築する必要があります。
どのようなレベルでセキュリティ対策を行えばいいのか?そういった相談や仕組みの構築、アドバイスもスリーエーコンサルティングでは可能です。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。