テレワークやクラウドサービスの利用が広がる中で、従業員の私物スマホや私物PCを業務に使うケースが増えています。メールの確認、チャットの返信、資料の閲覧、オンライン会議への参加など、「少しだけなら」と私物端末を使っている企業も少なくないでしょう。
このように、従業員が個人所有のスマートフォン、タブレット、パソコンなどを業務に利用することを BYOD といいます。BYODは「Bring Your Own Device」の略で、日本語では「私物端末の業務利用」と訳されます。
中小企業にとってBYODは、端末購入コストを抑えられる、外出先でも対応しやすい、従業員が使い慣れた端末で業務できる、といったメリットがあります。一方で、管理されていない端末から会社の情報にアクセスすることは、情報漏えいやマルウェア感染、退職時のデータ回収漏れなど、大きなリスクにもつながります。
重要なのは、BYODを「全面禁止するか、自由に認めるか」の二択で考えないことです。どの業務に、どの端末を、どの条件で認めるのかを決めることが、中小企業の現実的なBYOD対策になります。
BYODとは、従業員が個人で所有しているスマートフォンやパソコンを、会社の業務に利用することです。たとえば、私物スマホで会社のメールを見る、チャットツールにログインする、オンライン会議に参加する、私物PCでクラウド上の資料を編集する、といった使い方が該当します。
中小企業では、会社支給端末を全員に用意するのが難しい場合もあります。そのため、明確に制度化していなくても、実態としてBYODが発生していることがあります。特に、営業担当者が外出先からスマホでメールを確認する、管理職が休日に私物PCからクラウドサービスにアクセスする、といったケースは珍しくありません。
しかし、会社が把握していない私物端末の業務利用は、いわば「見えない入口」になります。どの端末が会社情報にアクセスしているのか、OSは更新されているのか、ウイルス対策は有効なのか、家族と共用していないか、退職時にデータを削除できるのか。こうした点が不明なままでは、セキュリティ対策の前提が崩れてしまいます。
IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」では、テレワークにおいて企業の管理下にない環境で業務を行うことや、個人所有端末を業務利用することには、従来と異なるリスクがあり、セキュリティ対策の見直しが必要だとされています。また、個人所有端末を業務で使う場合は、利用可否やルールを定めることも求められています。
出典:IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」第2部 4(6)テレワークの情報セキュリティ、付録3「5分でできる!情報セキュリティ自社診断」No.21
BYOD対策が必要な理由は、会社の情報が「会社の外」に出やすくなるからです。
従来のセキュリティ対策は、会社のネットワークや会社支給PCを守ることが中心でした。しかし、クラウドサービスの利用が増え、社外から業務システムへアクセスする機会が増えると、会社の情報は社内だけにとどまりません。Microsoft 365、Google Workspace、SlackやChatworkなどのチャットツール、オンラインストレージなどに、私物スマホや私物PCからアクセスできてしまう環境では、端末そのものの管理が重要になります。
たとえば、私物スマホを紛失した場合、その端末に会社のメールやチャット履歴が残っていれば、情報漏えいにつながる可能性があります。私物PCがマルウェアに感染していれば、クラウドサービスのID・パスワードが盗まれるおそれもあります。家族と共用しているPCで業務資料を開いていれば、意図せず第三者が会社情報を見てしまうことも考えられます。
また、BYODは「退職時」の管理も難しくします。会社支給PCであれば返却を求められますが、私物端末の場合、端末そのものを回収することはできません。端末内に保存されたファイル、メール、チャット、スクリーンショット、ブラウザのログイン情報などを、どこまで削除できるのかが問題になります。
つまり、BYOD対策とは単なる端末管理ではなく、「会社の情報をどこまで持ち出してよいか」を決める経営ルールでもあります。
BYODには、いくつかの代表的なセキュリティリスクがあります。
| 1つ目 | 紛失・盗難による情報漏えい |
スマートフォンは持ち歩く機会が多く、電車や飲食店、出張先などで紛失する可能性があります。画面ロックが弱い、業務アプリに自動ログインできる、端末内に資料を保存している、といった状態では、第三者に会社情報を見られるリスクが高まります。
| 2つ目 | マルウェア感染 |
私物PCは、会社支給PCと比べて利用目的が幅広くなりがちです。個人利用でさまざまなWebサイトにアクセスしたり、フリーソフトをインストールしたりする中で、マルウェアに感染する可能性があります。その端末で会社のクラウドサービスにログインしていれば、認証情報の窃取や不正アクセスにつながるおそれがあります。
| 3つ目 | 業務データの保存・持ち出し |
私物端末に業務資料をダウンロードする、個人のクラウドストレージに一時保存する、個人メールに送る、といった行為は、本人に悪意がなくても情報管理上の問題になります。どこに会社情報が保存されているのか分からなくなると、事故発生時の調査や削除対応も難しくなります。
| 4つ目 | シャドーIT |
シャドーITとは、会社が許可・把握していないITツールや端末が業務に使われている状態を指します。BYODを明確に禁止・許可していない企業では、従業員が便利さを優先して、私物端末や個人向けクラウドを使ってしまうことがあります。
このようなリスクを放置すると、EDRやUTM、SASEなどのセキュリティ対策を導入していても、管理外の端末が抜け道になってしまいます。また、把握できないところで企業の情報が漏洩し、万が一の際にもログ(記録)が追えないという最悪の事態を招きます。
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
(参考)UTMとは?中小企業に必要か|メリット・デメリットと「古い」と言われる理由
(参考)SASEとは?VPNやUTMと何が違う?中小企業が知っておきたい次世代のセキュリティ対策
BYOD対策を考える際に重要なのは、私物スマホと私物PCを同じ扱いにしないことです。
|
私物スマホは、 メール確認、チャット、予定表、二要素認証、オンライン会議など、比較的限定された用途で使われることが多い端末です。 MDMやMAM※といった管理ツールを使えば、業務アプリだけを管理したり、紛失時に業務データだけを削除したりできる場合があります。 そのため、一定の条件を満たせば、私物スマホの業務利用を限定的に認める選択肢はあります。 |
※MDMやMAM: MDM:Mobile Device Management(モバイルデバイス管理)。会社が遠隔で端末の設定を管理するツールです。万が一スマホを失くしても、会社側からリモートでロックをかけたり、データを消去(ワイプ)したりできます。最近では1台月額数百円から導入できる中小企業向けのサービスも増えています。MAM:Mobile Application Management(モバイルアプリケーション管理)には、「業務用のアプリ内だけを保護する」もので、端末全体を管理されることに抵抗がある社員向けの手法です。私生活の写真は見られず、業務用のメールやファイルだけを暗号化・管理できるため、プライバシーに配慮した運用が可能です。
一方、
|
私物PCは、 リスクが大きくなりやすい端末です。 ファイルのダウンロード、USBメモリの利用、個人ソフトのインストール、家族との共用、ローカル保存など、管理すべき範囲が広がります。 会社支給PCと同等の管理ができない私物PCから、顧客情報や機密資料にアクセスさせることは慎重に考えるべきです。 |
先ほどのIPAのガイドラインでも、個人所有のPCやスマートフォンを利用する場合は、会社PCと同様にウイルス対策ソフトの導入・更新を行うこと、許可された端末だけを接続できるようにする端末認証、他者との共有や業務データ保存の制限・禁止などが示されています。難しい場合には、業務用アカウントの分離、業務データの暗号化、遠隔消去などの対策が必要です。
中小企業では、まず「私物スマホは条件付きで認める」「私物PCは原則禁止、または閲覧専用に限定する」といった現実的な線引きから始めるのがよいでしょう。
BYODを完全に禁止できない場合は、最低限のルールと技術的対策を組み合わせる必要があります。
| 1 | まず必要なのは、利用申請と端末登録です。 |
|
|
誰のどの端末が、どの業務システムにアクセスしているのかを把握します。会社が把握していない端末からのアクセスを認めてしまうと、事故発生時に原因を追えません。 |
| 2 | 次に、認証の強化です。 |
|
|
IDとパスワードだけでなく、多要素認証を必須にします。特にクラウドサービスへのアクセスは、パスワードが漏えいしただけで不正ログインされる危険があります。パスキーやMFA※を活用し、本人確認を強化することが重要です。 |
※MFA:Multi-Factor Authentication;多要素認証
| 3 | 3つ目は、端末のセキュリティ条件です。 |
|
|
画面ロック、OSの最新化、ウイルス対策、端末の暗号化に加え、スマートフォンの本来の制限を外して改造した端末、いわゆる「脱獄」や「root化」※された端末の利用は禁止します。こうした端末は、通常のセキュリティ機能が弱まり、業務データが抜き取られるリスクが高くなるためです。 |
※脱獄;主にiPhoneで使われる言葉です。Appleが設定している制限を外し、通常は入れられないアプリを入れたり、システム内部を変更できるようにする行為を指します。
root化;主にAndroidで使われる言葉です。Android端末の管理者権限、つまり「root権限」を取得し、通常の利用者では変更できないシステム領域まで操作できるようにすることです。どちらも、利用者の自由度は上がりますが、その分、スマホ本来のセキュリティ機能が弱くなる可能性があります。
| 4 | 4つ目は、データの保存・コピー制限です。 |
|
|
といった対策が必要です。クラウドサービスを使っている企業ほど、「クラウド上にあるから安全」ではなく、「誰が、どの端末から、何を持ち出せるか」を管理する必要があります。 |
| 5 | 5つ目は、紛失・退職時の対応です。 |
|
|
を事前に決めておきます。IPAも、事故が疑われる場合に迅速に相談・報告を受けられる連絡先や対応体制を整備し、手順書を作成することを求めています。 |
| 6 | 6つ目は、セキュリティ教育の実施です。 |
|
|
ツールをいくら導入しても、最後は「人」です。フリーWi-Fiの危険性や、フィッシングメールの見分け方など、定期的な教育を行いましょう。 |
(参考)パスキーって何? もう“パスワードいらない認証”をやさしく解説
中小企業がBYODを考える際は、「便利だから認める」のではなく、「管理できる範囲だけ認める」という考え方が重要です。
現実的には、次のような段階的な整理が考えられます。
まず、私物スマホについては、メール・チャット・予定表・オンライン会議など、用途を限定したうえで条件付きで認める方法があります。ただし、多要素認証、画面ロック、紛失時の報告、業務データ保存の禁止は必須です。可能であれば、MDMやMAMを導入し、業務アプリや業務データだけを管理できる状態にします。
次に、私物PCについては、原則禁止または例外許可制が望ましいです。やむを得ず利用する場合でも、ファイルのダウンロードやローカル保存を禁止し、リモートデスクトップや仮想デスクトップ、ブラウザ経由の閲覧に限定するなど、端末内に業務データを残さない設計を検討します。
さらに、顧客情報、個人情報、営業秘密、契約書、見積書、財務情報などを扱う業務では、私物端末の利用を避けるべきです。これらの情報は、漏えいした際の影響が大きく、取引先からの信頼にも関わります。
BYODは、コスト削減策として見られがちですが、管理しないまま認めると、かえって事故対応や調査、信頼回復に大きなコストがかかります。中小企業にとって大切なのは、業務効率とセキュリティのバランスを取りながら、「許可する端末」「許可する業務」「禁止する行為」を明文化することです。
BYOD対策とは、私物スマホや私物PCの業務利用を単に禁止することではありません。会社の情報にアクセスする端末を把握し、利用範囲を決め、必要なセキュリティ条件を満たした端末だけを認める取り組みです。
特に中小企業では、実態として私物端末が使われているにもかかわらず、ルールがない、管理していない、退職時の確認もしていない、というケースが起こりがちです。この状態は、セキュリティ上の大きな抜け道になります。
まずは、現在どのような私物端末が業務に使われているのかを棚卸ししましょう。そのうえで、私物スマホはどこまで認めるのか、私物PCは原則禁止にするのか、クラウドサービスへのアクセス条件をどうするのかを整理します。
BYODは、クラウド利用、ゼロトラスト、SASE、EDR、UTMといったセキュリティ対策とも深く関係します。どれだけ高度なツールを導入しても、管理外の私物端末から会社情報にアクセスできる状態では、十分な対策とはいえません。
「誰が、どの端末から、どの情報にアクセスしているのか」を見える化すること。これが、中小企業におけるBYOD対策の第一歩です。
最後に、BYOD対策で最も苦労するのは、社員の「自分のスマホを会社に監視されたくない」という心理的抵抗です。ここを突破するには、管理側が「何を見ることができて、何を見ることができないのか」を誠実に説明し、透明性を確保することが欠かせません。セキュリティは、信頼の上に成り立つものなのです。
(参考)クラウド利用が増えた企業が見落とすリスクとは?|CASB・CSPM入門
(参考)ゼロトラスト──“信頼しない”設計が企業を守る
(参考)SASEとは?VPNやUTMと何が違う?中小企業が知っておきたい次世代のセキュリティ対策
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
(参考)UTMとは?中小企業に必要か|メリット・デメリットと「古い」と言われる理由
LYSTでは、貴社の業務形態に合わせた最適なBYODガイドラインの策定や、セキュリティツールの選定をサポートしています。お気軽にご相談ください。