BYODに必要なセキュリティ対策とは？MDMとMAMの正しい活用方法

企業におけるテレワークが拡大するなか、BYODを導入する企業が増えています。しかし、BYODを導入する場合は、セキュリティリスクに対して十分な注意が必要です。この記事では、企業の情報システム担当者が知っておくべき、BYODのセキュリティ対策について解説します。

BYODは”Bring Your Own Device”の略で、直訳すると「自分の端末を持ち寄る」ということ。スマートフォンをはじめとした個人所有のデバイスを業務に活用する仕組みをBYODと呼びます。BYODを導入することで、企業はテレワークのために新しい端末を用意する必要がなくなり、従業員は使い慣れた端末でスムーズに仕事をすることが可能に。企業と従業員、双方にとってメリットのある仕組みなのです。

また、近年増えているクラウド型のビジネスサービスはIDやパスワードによる認証ができれば端末を問わずにアクセスできるため、場所や端末に縛られずに仕事を行うことが可能です。テレワークが拡大する今、こうしたオフィスに縛られない働き方をする人が増えています。

こうした背景から、従業員の持つスマートフォンやタブレット、パソコンなどの端末をビジネスに利用するBYODが注目されているのです。今後のビジネスや企業のITシステムのあり方を考えるうえで、BYODの重要性はさらに高まっていくと予想されています。

便利な仕組みとして注目されるBYODですが、注意も必要です。なかでも最大の課題となるのが「セキュリティリスク」。BYOD環境で想定される主なセキュリティリスクには次のものがあります。

BYODは個人の端末を業務利用するため、端末の私的な使用を制限できる仕組みではありません。もしも従業員がプライベートで端末を紛失するようなことがあれば、そこから企業の機密情報が漏れてしまう可能性もあります。

セキュリティ対策が不十分な状態で紛失や盗難が起こってしまえば、端末内部の情報が漏洩する可能性も一層高まるため注意が必要です。

BYODでは、端末を経由してクラウド上または企業ネットワーク内の業務システムに接続して業務を行います。悪意ある攻撃者の手に端末が渡ってしまった場合、業務システムに接続して内部の重要な情報を抜き出されてしまうことも危険があります。また、マルウェアに感染した端末からアクセスした場合には、業務システムへの不正アクセスが生じる可能性もあります。

セキュリティ対策として、業務資料などのデータを端末内に保存することを禁止している企業もありますが、業務システムへのアクセス認証がIDやパスワードだけ、または端末認証だけといった場合、不正アクセスからの情報漏洩が生じるリスクをゼロにすることはできません。

個人利用の端末を業務で使うBYODでは、従業員個人のSNSやメールなどからの情報漏洩にも注意が必要です。従業員がうっかりプライベート用のSNSやメールで顧客や同僚と仕事のやりとりをしてしまうケースや、SNSやメールのアカウントが攻撃者に乗っ取られてしまって情報が漏洩するケースが考えられます。また、乗っ取られたアカウントから無作為に不正なメッセージがばらまかれれば、企業に対する信頼の低下にも繋がってしまいます。

BYODは企業と従業員、双方にとって便利な仕組みですが、セキュリティリスクが大きな課題として残ります。そうしたBYODのセキュリティ対策として注目されているのが「MDM」や「MAM」といった技術です。

MDMは”Mobile Device Management”の略で、日本語では「モバイル端末管理」、またはそのためのシステムを指します。MDMはモバイルで利用される端末のアカウント制御や暗号化、リモートロック、リモートワイプ（遠隔データ削除機能）、ポリシー設定などの機能を提供し、管理者向けに位置情報や端末情報を収集するのが一般的です。MDMを導入することで、紛失・盗難時のセキュリティリスクを最小限に抑えることができます。

一方のMAMは” Mobile Application Management”の略で、「モバイルアプリ管理」です。MDMでは端末を管理しますが、MAMでは端末内のアプリに管理範囲を限定し、業務専用の領域とプライベートの領域を分離させてセキュリティ対策をすることが可能です。

MDMでは、端末情報の収集ができるため、企業の資産管理としての利用もでき、会社支給の端末管理にMDMを導入する企業も増えています。また、基本的に端末内部に情報を保存するので、操作時のパフォーマンスも問題なく、動作はスムーズです。

MAMはMDMと異なり、端末内のアプリのみを管理するシステムです。プライベートな領域の管理まで行われてしまうことがないため、個人の端末を業務利用する際のセキュリティ対策として適しています。また、端末内に業務用データを保存しないものであれば情報漏洩のリスクがないことも大きなメリットです。紛失時も管理者がアプリ自体を削除してしまえば端末には一切情報が残らず、情報漏洩のリスクを回避できます。

リモートワイプや位置情報確認など、MDMではセキュリティ問題の発生時にも速やかな対応が可能になります。そのため、BYODの運用にMDMを導入する企業もありますが、以下の課題があります。

BYODでMDMを利用する場合、従業員はシステムを通して位置情報を企業に知られてしまうことになるためプライバシー保護の観点で課題が残ります。MDMを利用する場合、位置情報の利用目的の明示や問題発生時の補償について定めるなど、適切に規定を設け、従業員の同意を得る必要があります。

MDMを導入する場合、アプリの利用やダウンロードを制限することで端末のセキュリティを高めます。一定の要件をクリアしたアプリや、企業のホワイトリスト（承認されたアプリのリスト）に登録されたアプリのみ、利用・ダウンロードが許可されます。

しかし、その場合はコミュニケーション用アプリやゲーム、音楽など、個人的な用途のアプリ利用が制限される場合もあります。これにより、プライベートでの利用に支障が出る可能性もあるため、注意しなくてはなりません。

通常、個人のスマートフォンやタブレット、パソコンなどの端末には、アドレス帳や写真、誰かとやりとりした情報など、個人情報が入っているものです。そうした端末を企業が管理する場合、紛失時に端末を遠隔地から操作するリモートワイプ機能によって個人の情報まで削除してしまうことも懸念されます。

BYODにMDMを導入することは、その性質上、「個人の端末を企業が管理する」ということになります。それを前提として従業員との合意形成やルール作りを行うことが必要です。

MDMではリモートワイプ機能が提供されていますが、実はその成功率はそれほど高くなく、16%程度と言われています。リモートワイプを行うためには、端末の電源が入っていて、かつネットワークに接続している必要があり、紛失・盗難時にはこれらの条件が満たされていないことが多いからです。

端末内に情報が残っている以上、紛失時の情報漏洩の対応策として、リモートワイプ機能だけでは不十分であることを知り、他の対策も合わせて検討しておく必要があります。

MDMは会社支給の端末を管理する際のセキュリティ対策として非常に有効ですが、BYODで個人端末を管理する場合、プライバシーやセキュリティの面で不安が残ります。MAMは、こうしたMDMの課題を解決できる方法として注目されています。

MAMは業務に使うアプリだけを管理するため、企業が従業員の個人情報を閲覧したり、操作したりすることはできません。そして、データを端末に保持しないため、情報漏洩の心配もなく、個人の端末利用に影響を与えず安全に管理を行うことができます。

レコモットが提供するmoconaviは、BYODに便利な機能を備えたMAMツールです。moconavi用のIDによる機体認証が可能で端末証明書が不要、SSOによる認証や生体認証もできます。業務で利用するアプリはセキュアブラウザから接続する仕組みで、端末内に業務用のデータを保存する必要がありません。

また、050から始まるビジネス用の電話番号を提供するmoconavi050は、従業員個人の電話番号を外部に公開することなく個人のスマートフォンをビジネスに利用できます。BYOD導入を検討されている企業の担当者様は、moconaviをぜひご検討ください。