2007年、初代iPhoneの登場により産声を上げたスマートフォンは、今年で誕生から15年立ちました。情報通信白書令和2年版(総務省)によると、2019年時点でスマートフォンの世帯保有率は83.4%まで進み、固定電話の69.0%を超える普及率になりました。
現在では「道行く人のほとんどがスマートフォンを持っている」と言っても大げさではない状況。そんな “誰もが持つ”スマートフォンなどの個人所有デバイスを、企業の業務に使ってみよう――という発想が「BYOD(Bring Your Own Device)」です。
米国を中心とした欧米諸国で盛んになったBYOD。新型コロナウイルスをきっかけに在宅ワークが普及、連絡手段にBYODを検討する企業も増えましたが国内は一時期待されたほどは普及が進んでいません。その理由として考えられるのが、BYOD運用に関するセキュリティ基準や運用規定の考え方が未だしっかりと定まっていないことが挙げられます。
しかしBYODには業務効率化を始めとするメリットがあることも確か。本稿ではそのメリット、デメリットを確認した上で、導入時に注意すべきポイントについて解説します。
この記事の目次
BYODのメリットとデメリットを理解する
近年、特にBYODの導入が進んでいる背景には、スマートフォンやタブレットの基本スペックが向上したこと、デバイスの種類に依存しないクラウド型あるいはWebベースのアプリケーションを業務で使用する頻度が増えたことなどがあります。
メリット
BYODの具体的なメリットには次のようなものがあります。
業務効率の向上とサポート工数削減
使い慣れている端末なのでスタッフが操作方法などを熟知しているために迷いなく操作でき、社用端末使用時よりも社内ヘルプデスクなどに問い合わせすることも少なくなります。端末を複数台持つ必要がなくなる
社用とプライベート用の2台のスマートフォンを持つ必要がなくなることで、バッテリーなどの端末の管理が楽になり、紛失リスクも減少します。情報端末に関わるコストが削減できる
社員が所有する端末を使用するので、情報端末に関わる初期投資および運用コストが削減できます。今までコスト等の問題で一部の外出が多いスタッフのみモバイル端末を導入していた場合でも、全スタッフに広げることができます。シャドーIT対策になる
次章で詳しく述べますが、スタッフが勝手にプライベート端末を社用に使用する「シャドーIT」対策として有効です。
デメリット
もちろんBYODにはデメリットも存在し、次のようなものが挙げられます。
情報セキュリティリスクが増加する
BYOD導入時に最も懸念されるのが情報セキュリティリスクです。プライベートでさまざまなアプリケーションをインストールしたりWebサイトを訪問したりすることで、不正なアプリケーションのインストールやウィルス感染などの恐れがあります。そしてそれらを利用した不正アクセスによって、機密情報が漏えいしたり重要な情報が改ざんされたりするリスクも増加。端末を他人に貸与したり紛失したりすると、社員以外の人物が社内システムなどにアクセスできる危険性が高まります。社員の公私の切り替えが難しくなる
プライベート端末で業務を行うことが可能になるため、プライベートと仕事の切り替えが難しくなり、社員のストレスが増加する恐れがあります。社員のプライバシー保護の問題が生じる
BYODを導入する場合、情報セキュリティリスク対策のために、会社が端末の管理ができるアプリケーションをインストールする場合があります。そのアプリケーションを通じて端末利用状況をはじめとする社員のプライベート情報が会社に知られる危険性があります。
BYODが気づかないうちに進んでいる「シャドーIT」
聞きなれない言葉かもしれませんが、「シャドーIT」とは正式な許可や手続きを経ずに社員の勝手な判断で個人所有のスマートフォンなどを業務で使用する行為やその状態を指す言葉です。スマートフォンだけでなく、個人所有のPCなどを業務に使用することもシャドーITの一種。「個人のスマートフォンで会社のメールを確認した」、「ちょっと提案に間に合わないので休日に自宅のPCで作業をした」というのもシャドーITです。
先ほどBYODの課題として情報セキュリティを挙げましたが、このシャドーITはどのようにその端末が使われているかが会社側からはまったく認知できないので、情報セキュリティリスクは「最大」と言えます。すでにその端末にバックドアが仕込まれていたりウィルスに感染していたりする場合、情報が筒抜けになってしまう可能性があるからです。またそこまでの事態に至っていなくても、ウィルス対策を含むセキュリティが万全である保証はまったくありません。
社員自身は「少しでも業務を効率的に進めるため」と考えて行っているのですが、しっかりとしたセキュリティ対策を講じた上で個人所有の端末を業務利用することがBYODの大前提。シャドーITで発生するリスクの大きさを考えれば、とても許容することはできません。
BYODの導入時に注意すべきポイント
業務効率を向上させながら、しかも情報セキュリティリスクを最小限にした形でBYODを導入するには、システム的な対策と運用面での対策が必要になります。
システム的な対策
最も一般的な対策は、MDM(Mobile Device Management)と呼ばれるモバイル端末管理システムの利用です。BYODを導入する多くの企業で活用されています。MDMは、企業のシステム上から各個人端末をリモート制御することで、紛失などの際には端末をロックしたりデータ削除したりすることができます。また、端末のセキュリティポリシーの設定や使用するアプリケーションの管理(利用許可、機能制限、配布など)が可能で、企業のセキュリティポリシーに準拠したモバイル端末の管理・運用ができるようになるため、情報セキュリティ対策に有効です。
その他にも、不正アクセスを検知するシステムやデータの喪失・漏えいを防止するDLP(Data Loss(Leak) Prevention)システムなどの導入も有効です。
運用面での対策
システム面での対策は非常に強力なものですが、それを有効に働かせるには運用ルールを定めて「人為的なセキュリティリスク」を排除しておく必要があります。具体的には、個人端末で行ってよい業務の範囲を定め、情報の保管や持ち出しルールを決めます。また、社員に就業時間と認められる時間以外に業務を行わないよう周知したり、MDMシステム上で個人情報を取得したり閲覧したりしない、といった方針を定めることも必要です。
まとめ
ここまで述べてきたように、BYODは業務効率向上や情報端末に関わるコスト削減、シャドーIT対策に有効です。しかし同時に情報セキュリティリスクを高めてしまうという一面もあります。情報セキュリティ事故には、場合により企業に大きな損失を与える可能性があることを認識し、MDMなどのシステム面、およびルール策定などの運用面での対策を施した上で進めることが、BYOD導入を成功させる重要なポイントです。
ご質問・ご相談がございましたら気軽にお問い合わせください。
このブログの免責事項について