トレンド情報

副業解禁にも影響?新しいBYODのリスクとは?

多くの企業で、副業の解禁や業務委託の活用、外部パートナーとの密接な関係構築と自社の社員だけでなく、企業に関わる人口は、増え続けています。社内だけでセキュリティがコントロール出来ない中でも、企業のセキュリティ担当者は、リスクに備えなければなりません。今回は、BYODについて、学んでいきたいと思います。
※本記事は、2018年5月31日に公開された記事を一部再編集しております。

BYOD知ってますか?新しいリスクの登場

BYODとは、bring your own deviceの頭文字を取った言葉です。
会社から支給されたデバイスではなく、個人所有のデバイスをビジネスの現場で活用することを指します。
具体的には、社用メールやスケジュールのチェック、顧客への提案資料の確認等を使用デバイスで行う行為です。ビジネス用のコミュニケーションツールも普及し、PCを起動して確認するほどでもない時に、活用されるケースもあるのではないでしょうか。

正社員以外のセキュリティマネジメントはどうするのか

また、先日みずほ銀行で副業の解禁があったように、外部の人材を正社員以外の方法で活用するケースは、社会のトレンドです、
同じものを大量に生産することで富を生み出す時代から、専門的な知識をかけ合わせて、新しいイノベーションを生み出すが求められる時代とでは、人材に求められるスキルも異なってきています。職能で切り分けられる時代を迎えています。
職能を生かして、複数の企業で活躍出来る副業という制度は、一つの生き方として、有効な選択肢になっています。

一方で、職能が高い人材を活用する企業も増えてくると想定されますが、そのような外部の人材、全てに社用のデバイスを貸出することは、企業としては、現実的ではありません。
また、個人としても同時に複数のデバイスを持ち続けることは、負担になる行為です。

このようなケースで網羅的に対策を行うことは、非現実的です。BYODが起きることを防ぐのではなく、BYODの状況下でリスクを低減させることを考えたほうが得策かと思います。

BYODが増えた時に注意が必要なのは?

必要になるのは、端末毎のセキュリティ対策です。
スマートデバイスで利用されるOSは、Apple社が提供するiOSと、Google社が提供するAndroidのどちらかです。今回は、スマートフォンに絞って話を掘り下げます。

当たり前のことですが、この2つのOSで注意すべき点は異なります。

iOSの場合

iOSの場合、このOSを搭載するスマートデバイスはApple社のみですから、Apple製品であれば、現時点で販売開始から4,5年の機種もiOSのアップデート対象に含まれているので、最新機種を選べば数年はセキュリティ的にも安心することが期待できます。
これはiOSのメリットといっていいでしょう。OSに脆弱性が見つかったときのApple社の対応としては、不定期にiOSのアップデートを提供しています。

Androidの場合

一方、Androidの場合は、少し様子が異なります。OSを開発するのはGoogle社ですが、Android端末を販売するメーカー各社が、自社で製造する端末向けにAndroidをカスタマイズしています。ここがセキュリティを考える上での留意点になります。

Google社は基本的に毎月、セキュリティ対策を強化するためのアップデートを提供しています。
ただ、Google社が迅速に脆弱性に対してセキュリティパッチを提供しても、端末メーカー側で自社のカスタマイズ版Android向けにセキュリティパッチを作り直す必要があるため、迅速にセキュリティ対策としてアップデートを提供できるかは、メーカーの開発体制に依存しています。

あるドイツのセキュリティ企業に所属する研究者たちによると、大手メーカーであっても、Google社が提供したセキュリティパッチの全てを実装して提供していないという報告もあります。実際にはOS以外のカスタマイズ部分や使用しているハードウェアなどの複数の要素でセキュリティを確保できている場合もあります。

つまり、Androidでは脆弱性が存在しても、カスタマイズ版Androidでは脆弱性が存在しない場合もあるため、全て実装されていないこと自体が一概に問題があるとはいえません。
しかし、セキュリティ対策の方法が提供されていても、メーカー側から提供されていなければ利用者がその恩恵に与れない現状はAndroid端末を選ぶ場合には考慮すべきでしょう。

2018年5月8日から10日に開催されたGoogle社の年次開発者会議「Google I/O」で各社から発売されているAndroidスマートフォンに対して、最新のセキュリティパッチ適用を定期的に提供するようにGoogle社から要求していることが発表の中で触れられました。そのため、上記で触れた現状は今後徐々に改善されていくだろうと期待されています。

BYODが増えた時に注意が必要なのは?

2つのOSの状況を踏まえた上で、どのようなメーカーの製品を選べばセキュリティ的に安心できるのでしょうか。
メーカーを選ぶ上でのポイントは『セキュリティのアップデートがタイムリーに提供されていること』『タイムリーなアップデート提供が継続される期間』の2つです。

Android端末では、NTTドコモやau、ソフトバンクの提供端末のサポート状況を確認したところ、販売開始から2年程度でタイムリーにアップデートが提供されない端末が増えているのが現状です。

ちなみに、高機能を求めなければAndroid Oneブランドを冠する端末という選択肢があります。Android Oneは各メーカーから提供されていますが、カスタマイズなしの素のAndroidが搭載されており、OSアップデートが最大2年間(最低1回分)、セキュリティパッチ提供が3年間保証されています。

また、普及価格帯で提供されており、業務利用においては十分な機能や性能を持った端末が提供されているため、コストパフォーマンスに優れています。したがって、2つのポイントを考慮してAndroid端末を選ぶ場合は、Android One端末から選択すべきといえます。

スマートデバイスを業務で活用するのが当たり前になって、セキュリティ製品を導入したり、業務に不要なアプリの導入を禁止したり、セキュリティ管理の重要性が増しています。しかし、端末そのもののセキュリティが担保されていなければ意味がありません。
スマートデバイスを選ぶ場合は、端末の利用期間を定めた上で、その利用期間中のサポート提供が可能なメーカーを選ぶというのも一考です。

シャドウITと意識されないブックマーク機能、潜むリスクと対応方法企業などの組織活動において、会社が用意したITシステム、機器とは異なる、私物の端末やデバイス、サービスを業務に利用することを「シャドウIT」と呼びます。DropboxやGoogle ドライブのようにクラウド・サービスが当たり前になった今、無意識のうちのこうしたサービスを会社業務の中でも使ってしまいがちですが、デバイスに限らず、企業が許可してないサービスを利用することをシャドウITといい、今、そのリスクに注目が集まっています。...
Powerd by Eltes

デジタルリスクラボ編集部

デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら