サイバーセキュリティ 
総務省は「地方公共団体における情報セキュリティポリシ
Bring Your Own Device(私的デバイスを持ち込む)とは、略してBYODと呼び、従業員が会社のネットワークで個人的なデバイスを使って作業を完了できることを意味します。
アメリカだけではなく、日本でもリモートワークなどをはじめとした、幅広い働き方が増えている中、BYODを推進している企業も見受けられます。
これは技術とリソースを提供することでコストを削減するためです。 このように金銭的な利益はあるものの、企業はBYODが従業員や組織にもたらすセキュリティリスクを認識する必要があります。
BYODのベストプラクティスには、セキュリティポリシーの作成、従業員にパスワードマネージャーを使用させる、個人情報とビジネス情報を分けておくなどがあります。
BYODのセキュリティリスクと、企業がBYODを安全に執行するためのベストプラクティスについて詳しく説明します。
企業内のログイン情報管理を業務効率化!
Keeperの14日間の無料体験でその安全性・利便性をお試しください。
BYODのセキュリティリスク
従業員に自分のデバイスを使用させることには多くのメリットがありますが、その結果として、あなたの会社はいくつかのセキュリティリスクに直面する可能性があります。
従業員がデバイスを紛失する可能性がある
個人的なデバイスを仕事で使用する従業員は、オフィスの外にデバイスを持ち出すため、デバイスを紛失したり、盗難に遭ったりする可能性があります。 BYODデバイスを許可するということは、従業員がどこかにデバイスを置き忘れた場合に機密情報が紛失したり盗まれたりする可能性があることを意味します。
企業データが紛失したり盗まれたりする可能性がある
紛失や盗まれたデバイスから漏洩した機密情報が、競合他社やサイバー犯罪者の手に渡る可能性があります。 デバイスの紛失や盗難はデータ漏洩の可能性を高め、顧客やその他の従業員からの不信感につながります。
マルウェア感染が発生する可能性が高い
また、従業員が慎重ではなかったり、会社提供のデバイスと比較して個人デバイスにダウンロードする内容に制限が少なかったりすることから、BYODデバイスへのマルウェア感染の可能性も高まります。 従業員がサードパーティ製のアプリをダウンロードしたり、自宅の個人デバイスで安全でないウェブサイトをクリックしたりした場合、同じデバイスを職場で使用すると、マルウェアは従業員のデバイス、さらには企業ネットワークに感染する可能性があります。
シャドーITが原因でデータが漏洩する可能性がある
シャドーITとは、企業のIT部門の承認なく従業員が使用するソフトウェアです。 BYOD環境の職場は、従業員が家庭でも仕事でもデバイスを使用していることを知っているため、従業員は会社のITの安全基準に反するかもしれないアプリやソフトウェアを使用する可能性があります。 シャドーITは、サードパーティー製のソフトウェアが原因で従業員の認証情報が侵害された場合に会社のIT部門をバイパスしてデータ漏洩につながる可能性が高いため、サイバー攻撃に対する企業の脆弱性を高める可能性があります。
BYOD向けのセキュリティのベストプラクティス
BYODの職場環境のセキュリティリスクを考慮すると、安全性を確保できないように聞こえるかもしれません。 しかし、会社や従業員が自分のデバイスを職場に安全に持ち込む方法があります。 BYOD環境で最良のセキュリティ慣行10種類を以下に示します。
BYODのセキュリティポリシーを作成する
BYODを許可する前に企業が最初にすべきことは、セキュリティポリシーを確立することです。 BYODのセキュリティポリシーでは、従業員が勤務中に個人デバイスで使用できるアプリやソフトウェアを明確にすべきです。 このポリシーには、従業員のデバイスが紛失したり盗まれたりした場合にすべてのデータをリモートで消去したり、仕事に必要なソフトウェアをインストールしたりするなど、会社が責任を持つ内容も盛り込む必要があります。 会社のポリシーにおいては、サードパーティーのソースからアプリやソフトウェアをダウンロードすることの危険性と、従業員の慣行を期待するセキュリティ対策について議論することも必要でしょう。 このポリシーはまた、許可されたデバイスの更新記録を従業員が保持できるように、IT部門にデバイスの登録を要求する必要があります。
従業員のデバイスを定期的に監査する
従業員のデバイスを定期的に監査する習慣をつけ、全員がBYODのセキュリティポリシーに従っていることを確認しましょう。 これらの監査中に、各デバイスの最新のオペレーティングシステム(OS)にアップデートがないか確認し、許可されたアプリのみがインストールされているか、セキュリティソフトウェアが正常に動作しているかを確認する必要があります。
従業員に法人向けパスワードマネージャーを使用させる
すべての企業は従業員に法人向けパスワードマネージャーを提供し、ログイン認証情報を保護して保存し、あらゆるデバイスからアクセスできるようにする必要があります。 Keeper® のような法人向けパスワードマネージャーは強力で固有なパスワードを作成し、従業員ごとに安全なボルトに保管するほか、管理者に対してはオンボーディングとオフボーディングを簡単なプロセスにすることができます。 BYOD環境をサポートする組織がパスワードマネージャーを強制することは特に重要です。なぜなら、従業員は個人とビジネスのログイン認証情報を分離する必要があるためです。
次のシナリオを想像してみてください。不満を抱いたソーシャルメディア担当のマネージャーが仕事を辞めたにもかかわらず、同社のソーシャルメディアプラットフォームにいまだにアクセスできてしまうという状況です。 会社で法人向けパスワードマネージャーを使用していれば、ソーシャルメディアすべてのパスワードを更新し、元従業員のアクセスをすぐに削除して、役割に応じたアクセス制御(RBAC)で現在の従業員のアクセスを制限することができます。
強制的な認証措置を導入する
会社がパスワードマネージャーを使用している場合は、パスワードのセキュリティポリシーを適用して従業員の個人情報を認証できます。 会社のパスワードに最小文字数を義務付け、会社関連のアカウントに多要素認証(MFA)を要求することでこれを効果的に行うことができます。 MFAは、PIN、認証アプリからのコード、指紋スキャンなどの形式をとり、アカウントにアクセスする前に追加の認証を求めます。 職場環境で従業員にMFAの使用を義務付けることは、オンラインアカウントや従業員の個人情報を保護する上での基本事項です。
従業員にセキュリティに対する意識について教育する
従業員は、BYODやサイバー攻撃全般に関連するセキュリティリスクを理解する必要があります。 フィッシングといったオンラインの危険性について従業員を教育しましょう。 さらに一歩進んでシミュレーション形式のフィッシングテストを実行し、従業員の反応を確認しましょう。 従業員が潜在的なサイバーセキュリティのリスクを理解すれば、サイバー犯罪者から自分の情報や企業情報を保護する設備が整うようになります。 KnowBe4といった、サイバーセキュリティについて従業員を教育する多くのツールが役立ちます。
最小特権アクセスを採用する
最小特権アクセスは従業員が役割に必要な内容にアクセスできるようにしながら、従業員の不要な特権を制限します。 これは組織が採用すべき強力なセキュリティ慣行です。というのも、データ漏洩が発生した場合、サイバー犯罪者が企業のリソースや情報にアクセスできる量が限定できるためです。 例えばマーケティング担当の従業員は、同じ社内のエンジニアリング担当者と同じパスワードやスプレッドシートにアクセスする必要はありません。 業務遂行に必要な最小限のアクセスを従業員に提供することで社内資産を保護し、漏洩の影響を軽減できます。
個人とビジネスデータを分離する
BYOD環境では全体的に従業員が個人的なデバイスを仕事で使用するため、個人と仕事関連のデータを分離することが必須不可欠です。 従業員にデータ分離方法を使用して個人ファイルからビジネスデータを分離させるようアドバイスすれば、両者の間でデータ漏洩のリスクが制限されます。
VPNやリモートアクセスソリューションの使用を要求する
個人とビジネスデータを分離する他の優れた方法は、従業員に仮想プライベートネットワーク(VPN)やリモートアクセスソリューションの使用を強制することです。 従業員がVPNを使用して作業すると、インターネット接続を暗号化してプライバシーを保護します。 組織がリモート勤務を許可している場合、従業員はVPNを使用する必要があります。これは1つのネットワークに複数のデバイスが存在したり、従業員が公共Wi-Fiで作業していたりする可能性があるためです。
しかしVPNは高価かつ複雑で、継続的なメンテナンスも必要です。 VPNの強力な代替手段はリモートブラウザ分離(RBI)です。 RBIはKeeperコネクションマネージャーのアドオン機能で、VPNを必要とせずにプライベートネットワーク体験を保証します。 これはウェブブラウジング活動を隔離し、リモートで制御された環境で作業することでサイバーセキュリティの脅威を最小限に抑える、クラウドベースのサービスです。
従業員に未承認アプリのダウンロードを禁止する
従業員に対して、個人デバイスに未承認アプリをダウンロードするのを禁止することは難しいかもしれません。 しかし、過去実行されていないアプリや企業のIT部門が承認していないアプリは、会社のネットワーク上の他のデバイスに感染することのあるマルウェアを含むリスクがあります。 従業員は絶対にデバイスをジェイルブレイク(脱獄)すべきではありません。これは、誰かがデバイス(Appleでは iOS など)のオペレーティングシステム(OS)をバイパスし、デバイスの承認ストア以外からアプリケーションやソフトウェアをダウンロードしようとすることです。 従業員のデバイスでサードパーティー製のアプリを許可してしまうと、たとえ個人のデバイスであっても、それが従業員の個人情報や会社の機密データを盗む可能性があります。
デバイスのオペレーティングシステム(OS)を最新の状態に保つ
従業員には、必ずデバイスのOSを最新状態に維持させるようにしましょう。 デバイスに最新版のソフトウェアがあれば、最新のバグ修正、新しいセキュリティパッチ、全体的なパフォーマンス向上が保証されます。
まとめ:BYODのリスクから組織を保護しましょう
BYODのベストセキュリティ慣行を実施して、従業員に向けて安全な環境を維持しましょう。 会社で従業員が仕事中に個人デバイスを使用できるようにする場合、必ず生産的なセキュリティポリシーを適用し、従業員に個人やビジネスデータを保護する方法を教えるようにしてください。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
