BYODに必要なセキュリティ対策とは？MDMとMAMの正しい活用方法

企業におけるテレワークが浸透した今、従業員が所有する端末を業務に利用するBYODという仕組みを導入する企業が増えています。

BYODは企業側が端末を支給する必要がなく、端末を購入する費用を抑えられることがメリットです。ただし、セキュリティリスクに関しては十分な対策が求められます。

この記事では、企業の情報システム担当者が知っておきたいBYODのセキュリティの課題と対策、MDM・MAMの活用について解説します。

BYODとは“Bring Your Own Device”の略称で、「自分の端末を持ち寄る」という意味です。スマートフォンやパソコンをはじめとした個人所有のデバイスを業務に活用する仕組みのことを指します。

コロナ禍をきっかけにテレワークの導入が進んだことで、場所を選ばずにフレキシブルに働きやすいBYODが注目されました。

BYODを導入することで、企業はテレワークのために新しい端末を用意する必要がなくなり、従業員は使い慣れた端末でスムーズに仕事ができるようになります。

また、近年増えているクラウド型のビジネスサービスは、ID・パスワードによる認証ができれば、端末を問わずにアクセスすることが可能です。

今後のビジネスや企業のITシステムのあり方を考えるうえで、BYODの重要性はさらに高まっていくと予想されています。

なお、BYODと対極にあるのが“シャドーIT”です。BYODは企業が許可した個人端末を用いるのに対して、シャドーITは許可されていない個人端末を業務で利用することを指します。シャドーITが存在していると、企業でセキュリティ体制の構築・管理が困難になるため、セキュリティリスクが懸念されます。

BYODを運用する際は、セキュリティリスクが伴うことに注意が必要です。BYOD環境で想定される主なセキュリティリスクには、以下が挙げられます。

▼BYOD環境で想定される主なセキュリティリスク

• 端末に保存された情報の漏えい
• 第三者による不正利用
• マルウェアの感染

従業員がプライベートで端末を紛失するようなことがあれば、そこから企業の機密情報が漏れてしまう可能性があります。

BYODは従業員の個人端末を業務に利用するため、私的な使用を制限することはできません。セキュリティ対策が不十分な状態で紛失や盗難が起きてしまうと、端末内部の情報が漏えいしてしまう可能性も高まると考えられます。

このように個人端末の取り扱いは自由度が高いことから、さまざまなアプリケーション（以下、アプリ）の利用や社外ネットワークへのアクセスなどによって情報漏えいにつながるリスクがあります。

第三者の手に端末が渡ることで、不正利用されるリスクがあります。

BYODでは、端末からクラウド上または企業ネットワーク内の業務システムに接続して業務を行います。そのため、紛失・盗難などにより第三者に不正利用されると、内部の重要な情報を抜き出されて悪用される可能性があります。

また、紛失・盗難だけでなく、業務システムのアカウントが乗っ取られて、不正利用されてしまうケースもあります。アカウントを乗っ取られると、情報が外部に漏えいしたり、無作為に不正なメッセージが拡散されたりすることがあります。このような不正アクセスによって多大な被害を受ける可能性も考えられます。

セキュリティ対策として、業務データを端末内に保存することを禁止している企業もあります。しかし、業務システムへのアクセス認証がID・パスワードだけ、または端末認証だけといった場合には、不正アクセスのリスクをゼロにすることはできません。

個人端末を利用するBYODでは、企業による端末管理が難しく、マルウェア対策ソフトの導入・更新は従業員にお願いすることになります。

企業側が支給する端末の場合、事前にマルウェア対策ソフトのインストールを実施できますが、BYODの場合は企業側が導入を強制することはできません。対策が不十分な場合には、マルウェアに感染するリスクが高まります。

マルウェアに感染した端末から業務システムにアクセスされてしまい、不正利用や情報漏えいにつながる可能性も考えられます。

BYODの安全な運用を目指すには、セキュリティ対策が欠かせません。ここからはBYODを運用する際の6つのセキュリティ対策について解説します。

BYODを導入する際は、端末の使用ルールや禁止事項を定めることが重要です。使用ルールや禁止事項を定めることで、従業員のセキュリティ意識を高められるほか、シャドーITの抑止にもつながります。

総務省の『テレワークセキュリティガイドライン第5版』では、BYOD利用に関するルールの策定や端末に必要なセキュリティ対策などについて記載されています。ルールを策定する際は、このBYODガイドラインを参考にすることが有効です。

▼テレワークセキュリティガイドライン第5版

画像引用元：総務省『テレワークセキュリティガイドライン 第5版』

▼BYOD運用におけるルールの策定例

• 個人所有端末への業務データの保存を制限・禁止する
• BYODで使用する端末については管理者への申請を行う
• マルウェア対策ソフトのインストールをルール化する
• 端末紛失時の対応フローを定める
• BYODで行える業務範囲やリモートアクセスの権限を設定する

ルールや禁止事項を明確にしたあとは、研修を通して従業員に周知しておくことも重要です。

なお、シャドーITによるリスクについては、こちらの記事で解説しています。併せてご確認ください。

シャドーITとは？ セキュリティリスクが生じるケースと必要な対策

https://moconavi.jp/blog/2021/03/5640/

スマートフォン・タブレットなどのモバイル端末の普及や、テレワークの推進に伴い、“シャドーIT”という言葉をよく耳にするようになりました。テレワークによって業務に使用する端末やサービスの幅が広がることで、企業が許可していない端末を使用するシャドーITによる、新たなセキュリティ課題が生まれています。本記事では、シャドーITの概要やセキュリティリスク、企業が取り組む対策について解説します。

社外からのアクセスを識別するために有効なのが、VPNとクライアント証明書の導入です。

VPNは、“Virtual Private Network”の略称で、仮想専用通信網を意味します。不特定多数が利用できる公衆のネットワークとは異なり、端末とインターネットの間に仮想の専用線を設けることで、安全なルートでアクセスできるようになります。

BYODを運用する際に、VPNによる接続を行うことで、通信時に外部から情報を盗み見されたり、改ざんされたりするのを防止できます。

また、クライアント証明は、ネットワークにアクセスする端末やユーザーが本物かどうかを認証する電子証明書です。ユーザーの端末にインストールすることで、第三者による盗聴や不正アクセスなどのリスクを軽減できます。

▼VPNとクライアント証明の特徴

VPNとクライアント証明書を導入すると、許可された端末以外からのアクセスを判別して制限することが可能になります。VPNではアクセスログが残せるため、BYODでセキュリティ問題が発生した場合の原因解明にも役立てられます。

BYODで利用する端末にEDRを導入することで、マルウェアをはじめとする不審な挙動を検知して、迅速に対応を行えるようになります。

EDRは“Endpoint Detection and Response”の略称で、マルウェアの感染を検知するためのシステムです。

端末がマルウェアに感染した場合、すぐに気がつかずに被害が広がってしまうケースもあります。EDRは、マルウェア感染後の被害を最小限に抑えることを目的として活用されています。

リモートデスクトップ方式とは、離れた場所にあるデスクトップ環境を手元の端末にインストールしたアプリから遠隔操作する接続方式です。

BYODでテレワークを行う際にリモートデスクトップ方式で接続すると、社内ネットワークに設置された端末で処理を行えるため、オフィスにいるときと同じセキュリティ環境を確保できます。

また、BYODの端末には情報が保存されないため、紛失や盗難による情報漏えいの防止にもつながります。

なお、リモートデスクトップについてはこちらの記事で詳しく解説しています。併せてご確認ください。

リモートデスクトップとは？ 基本的な仕組みと設定手順、安全に利用するポイントま...

https://moconavi.jp/blog/2020/04/4110/

テレワークを行うためのIT環境を整備する方法はいくつかありますが、その一つに“リモートデスクトップ”があります。この記事では、リモートデスクトップの基本的な仕組みとメリット・デメリット、設定の方法、安全かつ円滑に業務を行うためのポイントについて解説します。

社内システムやクラウドサービスへの不正アクセスを防止するには、多要素認証を導入してアクセス制御を行うことも重要です。

多要素認証とは、3つの認証要素を2つ以上組み合わせて、ユーザー認証を行う手法です。認証要素と具体例は、以下のとおりです。

▼3つの認証要素

ID・パスワードの設定に加えて多要素認証を導入することで、セキュリティレベルが向上して、不正アクセスのリスクを軽減できます。

実際に、多要素認証を導入しているアカウントは、そうでない場合と比較して99.9％セキュリティ上の被害確率が低いという報告もされています。

より安全にBYODを運用するために、MDMやMAMを導入することも有効です。

MDMは“Mobile Device Management”の略称で、モバイル端末を管理するツールです。一方のMAMは、“Mobile Application Management”の略称で、端末内のモバイルアプリを管理するツールです。

それぞれの特徴は、以下のとおりです。

▼MDMとMAMの特徴

MDMは端末本体のセキュリティ管理を行えるため、紛失・盗難時のセキュリティリスクを最小限に抑えられます。MAMでは、業務に使用するアプリに絞ってセキュリティ対策を行えます。

BYODのセキュリティ対策を強化するには、MDMとMAMの活用が有効です。それぞれのメリットには、以下が挙げられます。

MDMでは、BYODに使用する端末情報を収集できるため、資産管理がしやすくなります。また、各種ポリシーを複数の端末に一括で適用できるほか、遠隔で端末ロックをかけたり、データを削除したりできるため、紛失・盗難による情報漏えいを防止できます。

MAMでは、端末内にインストールされた業務に使用するアプリのみを管理するため、従業員のプライバシーを保護しつつセキュリティ対策を行えます。

また、端末内に業務用データを保存しないアプリであれば情報漏えいのリスクがないこともメリットの一つです。端末を紛失した場合は、管理者がアプリ自体を削除してしまえば端末には一切情報が残らないため、情報漏えいのリスクを回避できます。

デバイスのセキュリティ対策に有効なMDMですが、従業員の個人端末を使用するBYODの運用にあたってはいくつか注意点があります。

MDMを導入してBYODの端末を管理すると、従業員のプライバシーを侵害するおそれがあります。例えば、以下のようなケースが挙げられます。

▼従業員のプライベートを侵害するおそれがあるケース

• 従業員の位置情報を取得する
• 私用のアプリまでダウンロードを制御する
• 端末内に保存された個人情報を企業が管理する

MDMを導入すると、管理者が端末の位置情報を取得できるため、プライバシーを侵害するおそれがあります。位置情報を取得する際は、情報の利用目的を明示したり、問題発生時の補償を定めたりして、従業員の同意を得ておくことが重要です。

また、MDMではアプリのダウンロードや利用について一定の要件を設定できますが、個人的な用途のアプリまで利用を制限してしまうと、プライベートでの利用に支障が出る可能性があります。

さらに、MDMを導入すると、写真やアドレス帳、メッセージ履歴などの個人情報が入った端末を企業が管理することになります。従業員とのトラブルを防ぐには、事前に合意形成を図り、プライバシー保護に配慮したルールに則って管理することが重要です。

MDMには、遠隔で端末内に保存されたデータを削除する“リモートワイプ機能”があり、端末の紛失・盗難対策に有効とされています。

しかし、リモートワイプの成功率は16%程度といわれており、失敗するケースも少なくありません。リモートワイプを行うには、以下の条件をクリアする必要がありますが、紛失・盗難時にはこれらの条件が満たされていないこともあります。

▼リモートワイプを行うための条件

• 端末の電源が入っている
• ネットワークに接続している

端末内に情報が残っていることを踏まえると、リモートワイプ機能だけでは十分な情報漏えい対策とはいえません。セキュリティを強化するためには、ほかの対策も併せて検討することが重要です。

MDMは、端末のセキュリティ対策に有効なツールですが、BYODで個人端末を管理する場合には、プライバシーやセキュリティの面で不安が残ります。

こうしたMDMの課題を解決するには、MAMの活用がおすすめです。MAMは、業務に使うアプリだけを管理するため、企業が従業員の個人情報を閲覧したり、操作したりすることはできません。

そして、データを端末に保持しないため、情報漏えいの心配もなく、個人の端末利用に影響を与えず安全に管理することが可能です。このようにプライバシーとセキュリティを両立できることがMAMの強みといえます。

レコモットが提供するMAMツール『moconavi』なら、BYODを安全に運用できます。moconaviは、BYODに便利な機能を備えたMAMツールです。

端末識別ID（端末ID）を利用して、moconaviクラウドセンターが保持するユーザー情報・端末情報を識別するため、クライアント証明書の導入なしでセキュリティ対策を行えます。業務で利用するアプリは、セキュアブラウザから接続する仕組みとなっており、端末内に業務用のデータを保存する必要もありません。

BYODの導入を検討されている方は、安全かつプライバシーに配慮したアプリ管理ができるmoconaviをぜひご検討ください。