「BYOD」で求められる、業務の利便性を損ねないセキュリティーポリシー

「シャドウIT」などを含め、BYODのリスクについて取り上げてきました。こうした問題へ企業はどのように対応すべきでしょうか。

それは企業が主導しつつ、BYOD環境を導入することです。企業側、従業員側が納得し、持ち込んだ私用端末を積極的に活用していくのであれば、双方にメリットがあります。

まず考えねばならないのが、セキュリティーポリシーです。企業にとって効果的で統制や管理がしやすく、なおかつ従業員にとって業務上の利便性を損なわないポリシーを策定するには、工夫が必要です。ここでは、チェックすべき主な項目について簡単に紹介します。

業務データの保存を私物の端末に保存を許可するBYODともなれば、紛失や盗難による内部データの流出が懸念されます。これを防ぐには、リモートワイプ機能（リモートで端末内のデータを削除する機能）の導入をポリシーに定めておきます。

とはいえ、端末全体のデータを削除するとなると、従業員から不満が出る可能性もあります。その場合、同一端末上で業務領域とプライベートな領域を分離し、業務データのみリモートから削除できるソリューションなどを活用すれば、従業員の不満も取り除くことができます。

その他、SDメモリーカードなどの外部ストレージやカメラ機能の制限、社内へのアクセス時は通信の暗号化を義務付ける、公衆Wi-Fiは利用しない、セキュリティー対策ソフトを導入するなど、端末の所有者である従業員の事情も踏まえた上で、ポリシーを策定します。

なおJSSECでは、BYOD導入時に留意すべき点について解説した「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」を公開しています。またコンピュータソフトウェア協会（CSAJ）では、「『BYOD』導入検討企業向けに私有スマートデバイス取扱規程及びスマートデバイス・セキュリティポリシーサンプル」を公開しています。現場の意見に耳を傾けつつ、自社の環境に合ったポリシーを策定するには、これらのサンプルが参考になります。

ポリシーを徹底する技術的な対策を考える

検討を重ね、隅々まで配慮の行き届いたセキュリティーポリシーを策定しても、それが従業員に遵守されなければ宝の持ち腐れです。

そこで重要なのが、MDMやMAM、MCMといった技術的な対策です。MDM（モバイルデバイス管理）とは、業務で使われる複数の端末を、統一したポリシーで一元管理する機能を提供します。機能は各社で差がありますが、主なものを挙げるとリモートロックやワイプ機能、デバイス制御、端末情報の収集、ポリシーの一括配布などです。

また、アプリケーションの管理に特化したMAM（モバイルアプリケーション管理）では、アプリケーションの一括配布のほか、情報漏えいリスクの高いアプリケーションを強制的にアンインストールするなど、アプリケーション単位の制御を可能にします。先に説明したように、業務用アプリケーションと個人使用のアプリケーションを分けて管理し、業務アプリケーションを暗号化して保護したり、業務アプリケーションの領域だけ強制的に初期化できる製品もあります。

業務データを保護するMCM（モバイルコンテンツ管理）も、最近注目されています。顧客情報や業務データなど社内コンテンツへモバイルからアクセスする際のユーザー認証を行ったり、コンテンツの閲覧や編集、保存などの操作をユーザーごとに制御できる機能などが特徴です。業務で使う書類や写真のデータに関して、オンラインストレージへのアップロードを禁止するような機能を設定できる製品もあります。コンテンツ管理のポリシーを技術的に徹底することができます。

さらに最近は、MDM、MAM、MCMの機能を網羅したEMM（エンタープライズモビリティ管理）の製品も登場してきました。

このように用途、利用形態に応じて、適切なモバイルデバイスの管理ツールを選択できるようになっています。

また端末やアプリケーションの管理以外にも、端末上にデータが残らないブラウザーとリモートアクセス製品を組み合わせ、社内のデータをスマートフォンから参照できるソリューションなども登場しています。

このように守るべき対策を踏まえた「現実的なセキュリティーポリシー」と、それを強制的に実施する「技術的な対策」の二本柱が、安全なBYOD体制を支える礎です。利便性とセキュリティーのバランスを考えることで、システム管理者と従業員の双方にストレスのない環境が構築できます。