今やビジネスツールとして市民権を得たスマートフォン。従業員が個人で所有するスマートフォンをビジネスで使う「BYOD」も珍しくはありません。しかし適切に管理せず、重要な機密情報や顧客情報などを、各々が勝手に個人所有のスマートフォンに保存していたのではいつ事故が起こるかわかりません。スマートフォンをビジネスに活用するのに、企業が検討するべきセキュリティー対策とは、どのようなものでしょうか。
半数を超える企業はスマートフォンをビジネスに活用
スマートフォンやタブレット型端末などモバイルデバイスの普及にともない、個人所有の端末を業務でも使用するいわゆる「BYOD(Bring Your Own Device)」が注目されるようになりました。業務用の端末を従業員に配布するやり方に比べ、端末導入のコストや通信費などを抑えられるという大きなメリットがあります。
では、実際に、BYODを許可している企業はどのくらいの割合でしょうか。
日本スマートフォンセキュリティ協会(JSSEC)では、2014年1月に企業のスマートフォン利用実態調査を実施しました。企業に勤務し、一般従業員としてスマートフォンを利用する220人にアンケートを行ったところ、BYODが許可されていると答えたのは半数を超える57.8%。また54.7%が、端末に業務情報を「保存している」と回答しています。これらは2年前の調査結果ですから、現在はさらに進んでいると推測されます。
BYODには業務の効率化やコスト抑制という利点がある一方、やはり懸念されるのはセキュリティーリスクです。JSSECの調査でも、BYODにおいて懸念される点として、約6割が「機密情報漏えい」「個人情報流出」を挙げています。
また個人所有の端末は、セキュリティー対策も個人に委ねられるため、甘くなる傾向があります。情報処理推進機構(IPA)による「2015年度セキュリティーに対する意識調査」では、所有するスマートデバイスのセキュリティー対策について聞いていますが、「画面ロック機能を設定している」「セキュリティーソフトを導入している」はいずれも2割前後に過ぎません。
このように、情報資産の徹底管理が求められる企業にとって、BYODは諸刃の剣ともいえます。ではコストメリットをあきらめ、単純に「持ち込み端末を禁止」すれば安全といえるのでしょうか。
勝手に従業員がBYODを始めたら、セキュリティーは従業員任せに
実は、BYODを完全に禁止すれば安心かというと、そうともいえないのです。禁止したとしても、管理者の目の届かないところで勝手に私物の端末を業務利用する「シャドウIT」が行われてしまうかもしれません。
なかには、会社から業務用端末としてスマートフォンを支給されていても、従業員が「会社の端末よりも、自分用に購入した端末のほうが性能もよく、使いやすい」と勝手に個人端末を持ち込んでいるケースもあります。
企業側のコントロールが利かないところでBYODが進めば、端末のセキュリティー対策は、従業員任せになり、セキュリティーのリスクも高まります。いざ問題が判明したら一大事です。
「BYOD」で求められる、業務の利便性を損ねないセキュリティーポリシー