BYODを実施するために検討が必要なことを考えてみたお話

こんばんは、ばーふぃんです。

今回は、企業における従業員の私物使用というところに焦点を当てて考えたいと思います。

ベンダーと話をしている時に、モバイルの使用についての話が出たんですが、上司は

「うちはBYODでやってます」

なんてことを言ってたんですよね。

ただ、それは大間違いであり、実態はBYODなんてたいそれたものではなくただのシャドーIT。

どうやら今の状況について、全く危機感が無いようで呆れるしかありませんでした。

BYODとは

今更かもしれませんが、BYODとはBring Your Own Deviceの略称で、一言で言えば私物のPCやスマートフォン、タブレット等を業務に使用することです。

特にスマートフォンが普及し出してから、外出先でのメール確認やクラウドでのデータ共有等、業務でのスマートデバイス活用は必須とも言える世の中になっています。

BYODのメリット

BYODを取り入れるメリットとしては、

• コストを抑えられるため導入のハードルが下がりやすい
• 従業員がデバイス2台持ちをする負担がなくなる

等といった点が挙げられます。

コストを抑えられるため導入のハードルが下がりやすい

スマートデバイスを業務で使用するための手段の一つしてよくあるのが、業務用のスマートフォンやタブレットを導入するというものです。

業務用スマートデバイスを導入するメリットはセキュリティ面や管理面等、多くあります。

大手企業や大企業ではおそらく当たり前のように会社で契約しているスマートデバイスがあるかと思います（セキュリティポリシーによってはガラケーを使用している会社もまだあるかと思いますが）。

一方で、当然コストが発生します。

特にスマートフォンともなると、初期費用だけでなく回線を使用するためのランニングコストも発生するため、ある程度の台数の導入が必要になる場合はそれなりの金額になってしまい、ハードルが高くなりがちです。

私物を業務に使用する BYODは、当然わざわざ新たにスマートフォンやタブレットの契約をする必要も無いため、コストをかけずに業務でスマートデバイスを使用することが出来ます。

これは大きなメリットと言えるでしょう。

従業員がデバイス2台持ちをする負担がなくなる

上述の通り、会社で契約した業務用のデバイスがあるということは、業務用のデバイスと私物のデバイスで2台持ち（人によっては3台とか4台ということもあるのかもしれませんが）という状況が発生します。

複数のデバイスを所持しなければいけなくなり、それを喜ばしいと思う従業員はあまりいないでしょう（公私を分けるという意味では当たり前に必要なことなんですけどね）。

BYODは、私物を業務に使用するため、元々使用していたデバイスをそのまま使えばいいだけです。1台持ちで済みます。

また、自分が使い慣れた機種を使用することが出来るため、ITリテラシーの低い従業員にとっては新しい別の機種を使用しなければいけないというハードルがなくなるのもメリットの1つになるでしょう。

BYODのデメリット

BYODは一方で、当然デメリットもあります。

管理が大変でセキュリティリスクになりやすい

BYODを取り入れる場合、管理をしっかり行わないと簡単にセキュリティホールになってしまいます。

業務デバイスを使用する場合は、基本的には機種を全社的に統一するケースがほとんどです。

ところが、BYODの場合は従業員それぞれの私物を使用するため、機種はみんなバラバラです。

しかし、管理者はそれぞれの使用している機種を把握する必要があるため、そのための仕組みづくりが必要になります。

一般的にはMDM（Mobile Device Management）というツールをデバイスにインストールして管理を行いますが、最初のインストール作業がハードルにもなりますし、これがまたデバイスのOSによっては対応していないなんていう問題が発生することもあったりします。

OSは極力最新のものにアップデートして統一してもらう等といったルール策定も必要になってきますが、所持者に任せる形にしてしまうと、必ずやらない人も出てくるでしょう（経験上、立場が上の人ほどこういうのはやらない傾向にありますw）。

シャドーITとは

BYODという言葉がある一方で、シャドーITという言葉が存在します。

シャドーITとはどういうことかというと、会社に無断で私物のスマートフォンやPC等のデバイスや、無料のクラウドサービス（GoogleDriveやDropBox等）を業務に活用することを指します。

はい、うちの会社はこれに該当しています。

BYODというのは、上で少し触れたようにルールや体制の整備があってこそ成立するものです。

何も対策をしないと、セキュリティリスクが大きくなるので運用についてしっかり検討する必要があるのです。そこがBYODの大変な部分でもあります。

これをしっかり行わずに、従業員が勝手に私物デバイスを持ち込めてしまう（社内ネットーワークに入れてしまう、社内システムにアクセス出来てしまう等）という状態が出来てしまうと、シャドーITが成立してしまいます。

好き勝手に機密情報を持ち出しし放題ということですね。

コストもかからないし、何もせずにスマートデバイスを業務に活用することが出来るので非常に楽ですが、セキュリティ面と管理面においては最悪です。非常に危険です。

情シス担当者は、シャドーITを撲滅するよう努めなければいけません。

BYODを導入するために検討が必要なこと

では、BYODを取り入れる場合、何を検討する必要があるのでしょうか。

BYOD導入までの理想的なステップ

理想的な流れとしては、初期段階では社内ネットワーク及び社内システム、会社で使用しているクラウドサービス（以下、これらを総称して社内システムと呼びます）へのアクセスは私物デバイスからは一切出来ない状態からスタートすることです。

私物からはアクセス出来ないことが当たり前という状態ですね。

これが最初からアクセスし放題なシャドーIT当たり前状態になってしまっていると、きちんとしたBYODへ移行するハードルがグンと上がってしまいます。

厳しい環境から緩和（みたいな状態）するのは簡単ですが、緩い環境から厳しい環境に持っていくのは、ハレーションが起きやすくて大変ですからね。

厳しい状態からスタートするのと、シャドーITが横行した緩い状態からスタートする場合では、BYOD導入に向けた進め方も変わってくるでしょう。

運用ルールの検討

まず、許可していないデバイスが社内システムにアクセスするということはあってはいけません。

そのため、基本中の基本として申請制度を設けて、私物デバイスを使用をしたい場合は申請をして許可されたものが初めて業務に使用できるという流れを作ることが必要不可欠となるでしょう。

当然、社内規定への反映も必要になります。

申請から許可後のMDMインストール、運用開始後のOSのアップデートや、機種変更をした際の申告、デバイス紛失時の対応等、一連のフローを取り決めておく必要があります。

また、私物デバイスを業務に使用するということは、1つのデバイスに公私が混同するような状態になります。

そのため、セキュリティを担保しつつ、従業員のプライバシーも守ってあげる必要があります。

管理上、位置情報やメールログの取得は必要になりますが、休日にどこに行ったとか、プライベートのメールまで掌握されていたら従業員からしてもたまったものではないでしょう。

事前に、私物デバイスで業務を行う範囲（私物デバイスでは業務メール閲覧のみ許可し、他の社内システムへのアクセスは出来ないようにする等）と、管理側が管理する範囲を明確に定めておいた方がいいでしょう。

MDM(Mobile Device Management)ツールの導入

これを行わないと、技術的な側面でBYODを実施することは不可能と言っても過言ではないでしょう。

MDMで実現できる代表的なものとして、下記が挙がります。

• 端末の情報（OSや機種等）の取得
• 業務に使用するアプリの一括配布
• アプリインストールの制限やWebフィルタリング（ブラックリストorホワイトリスト）
• 紛失時の端末ロックやワイプ（データ削除）、位置情報の取得

そして、社内システムへのアクセスもこのMDMでコントロールすることが出来ます。

どこまでやるかは企業によって変わってきますが、いくらルール化を行ったところで、MDMを取り入れないと、実質的な管理を行うことが出来ないため、結果的には従業員が私物デバイスを好き勝手利用出来てしまうことになります。

展開、周知等

ルールの策定やMDMのライセンス契約が済んだら、あとは周知をして導入を進めていきます。

厳しい状態スタートの場合は、ルールを展開して業務で使用したい場合は申請してください、といった周知をすれば終わる話なので、比較的進めやすいです（実際には細かい部分はありますが）。

シャドーITが既に横行している緩い状態スタートの場合は、ここが一番大変になるでしょう。

まず、ルールを展開する前に何のルールや対策もせずに、当たり前になっている私物デバイスの業務使用がセキュリティ上極めて危険であるということを理解してもらわなければいけません。

業務部門の人達、特に年齢が高い人ほどこの辺の話には無頓着なので、理解を得るのは大変かと思います。

全員に完璧に納得してもらえるかどうかは別として、まずは伝えるという事実が必要です。

一通り全社的な周知が済んだら、半ば強行策にも見えるかもしれませんが、移行期間を設けます。

どういうことかというと、

「今日から●月●日までの間に、私物デバイスを業務で使用したい場合は申請をしてください。申請に対して許可が降りたものについては、管理ツール(MDM)をインストールするので、デバイスを持ってきてください。●月●日以降は許可されていないデバイスは社内システムには一切アクセス出来なくなるので注意してください」

みたいなことをやります。おそらく反感を買ったりクレームが出る覚悟も必要ですが、これくらいやらないと緩々の状態からセキュリティを強固に締めることは出来ないでしょう。

あとは、粛々と申請が来たものに対して承認をしてはMDMをインストールし、移行期間が終了したら社内システム側で許可していない端末のアクセスを弾くようセキュリティ設定を変更するだけです。

まとめ

私がいる会社は、従業員300名強のほぼ全員が私物デバイスを勝手に使用している状態です。

ルールの一切策定もされておらず、完全に私物デバイス持ち込みし放題な状態となっており、セキュリティ教育も不十分なため、従業員達も「私物デバイスを業務で使用出来ることが当たり前」だと思ってしまっています。

いつ情報漏洩事案が発生してもおかしくない状態なのです。

まだベンチャーでこれから社内システムの構築やクラウドサービスを導入するような会社では、是非最初はセキュリティ最上級（私物デバイスからはアクセス出来ない）からスタートすることを進めます。上述した通り、いざBYODを実施したいという時は、運用ルール策定さえしっかり準備しておけば、非常にハードル低く進めることが出来ます。

既にシャドーITが横行してみんなが私物デバイスを自由勝手に業務使用している状態の場合は、従業員規模が膨らむ前に対策を講じることを勧めます。

はっきり言って100人規模になってからの対策でも遅いくらいで、私がいる会社のような300名規模にもなって対策ゼロなんていうのは論外です。

BYODに限らず、従業員規模が大きくなればなるほど、運用移行のハードルが上がるのは言うまでもないので、取り返しのつかなくなる前に手を打ちましょうということです。

兎にも角にも、スマートデバイスの業務活用は、会社で準備したデバイスを貸与するか、きちんとルール策定したうえでのBYODを実施するか、この2択しかありません。

シャドーITはいけないことなので、くれぐれも私の上司のようにBYODとシャドーITを履き違えることのないように。