私物機器の業務利用「BYOD」のリスクとセキュリティ対策 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > コンサルティング > 私物機器の業務利用「BYOD」のリスクとセキュリティ対策

私物機器の業務利用「BYOD」のリスクとセキュリティ対策

BYODのリスクとセキュリティ対策

コロナ禍を機に、日本を含め、世界中でテレワークやハイブリッド勤務(テレワークと出社を組み合わせたもの)の普及が進みました。オフィス外で仕事をしてもらうにあたって、従業員の個人所有機器を業務にも利用してもらう「BYOD」という仕組みを採用している企業は少なくありません。企業にとっては、社用機器を調達・支給する費用を削減できるといったメリットがある一方で、BYODにはセキュリティ上のリスクも伴います。では、安全にBYODを運用するためにはどんな対策が必要なのでしょうか?今回の記事では主にテレワーク環境を想定し、BYOD制度を導入している企業がやるべき事柄をまとめました。

 

目次

1, そもそもBYODとは?

2, BYOD導入企業のやるべきこと

使用機器の把握とリスクの洗い出し

使用機器の把握

リスクの洗い出し

運用方式と対策の確認

運用方式の確認(VPN/リモートデスクトップ方式、クラウドサービス方式、スタンドアロン方式、セキュアブラウザ方式)

各方式に応じた対策の確認すべての方式に共通する対策、各方式ごとに必要な対策、MDMの導入)

BYODルールの整備

・BYODルールに盛り込むべき事項

3, まとめ

4, 情報源

 

そもそもBYODとは?

まず、BYODとは「Bring Your Own Device」の略で、従業員が個人的に所有するPCやスマートフォンなどの機器を業務に使用することをいいます。また、機器自体を指してBYODと呼ぶ場合もあります。

 

BYODには以下のようなメリットがあります。オフィスを持たずに完全テレワーク体制で業務を行っているスタートアップ企業などにとっては特に、導入しやすい制度だと言えるでしょう。

 

・従業員は使い慣れた機器で業務を行うことができる

・企業は社用機器を調達・支給する費用を削減できる

・テレワークなどの柔軟な働き方が可能になる

 

BYOD導入企業のやるべきこと

上記のようなメリットがある一方で、リスクも多数存在します。データ漏洩などのセキュリティインシデント(事案)を防ぐために重要なのは、以下の3つの項目を実施することです。

 

使用機器の把握とリスクの洗い出し

運用方式と対策の確認

BYODルールの整備

 

①使用機器の把握とリスクの洗い出し

使用機器の把握

BYODの導入にあたって、企業は以下のような項目について把握しておく必要があります。これができていないと、機器の設定に不備が生じたり、監視の目が行き届かなくなったり、セキュリティインシデント発生時に適切な対応が取れなくなったりする恐れがあります。

 

・誰がどの機器を使用しているのか

・機器の種類(デスクトップPCかノートPCか、スマートフォンかタブレットか、など)

・使用OS(Windows、MacOS、Android、iOSなど)、導入アプリケーション(アンチウイルスソフトの有無、オフィス製品、その他)、利用しているバージョン

・機器の使用目的(すべての業務に使用するのか、または一部の業務のみに使用するのか、など)

・使用期間(短期か長期かで対策の仕方が変わってくるため)

・家族など本人以外と共用されている機器かどうか

 

リスクの洗い出し

BYODのルールを整備したりセキュリティ対策を実施するためにはまず、どのようなリスクがあるのかを知っておく必要があります。以下にいくつか例を挙げていますが、これらは多数あるリスクの一部に過ぎません。また、従業員数や機器の台数、BYODの導入目的などによって異なるリスクが生じる場合があります。以下の表を参考にして一般的なリスクを把握するとともに、自企業特有のリスクについても洗い出しておきましょう。

 

(表1)BYODならではのリスク
リスク起こり得る事象原因
従業員による故意のデータ消失・漏洩従業員が業務関連のデータを個人的に使用しているアプリにコピーしてしまう・テレワーク環境などで他の従業員の目がない
・企業の監視が十分に行き届いていない
偶発的なデータ消失・漏洩業務関連データのバックアップが保存された機器を紛失してしまう・機器を私生活でも使用しており、持ち運ぶ機会が多い
有害アプリによるデータ抜き取り従業員がダウンロードしてしまった有害アプリがデータを抜き取る・アプリに関するルールが存在せず、従業員が自己判断で勝手にダウンロードできる
退職者の機器から業務関連データが適切に削除されない企業データや認証情報が漏洩する・個人所有機器のため、退職者は退職後も同じ機器を使い続ける
・退職時のデータ削除に関するルールが定められていない
サポート期限が終了した機器や古い機器の使用マルウェアによって機器内の脆弱性が悪用される・従業員がどの機器を使用しているのか、企業が把握できていない
機器やパスワードの共用機器を共用している家族に業務関連データを見られてしまう・共用を禁じることを定めたルールが存在しない
セキュリティインシデントが発生した際に従業員が報告を怠る迅速な対応ができず、被害が拡大する・企業に個人的なデータを閲覧されるのでは、という懸念を従業員が抱いている
・セキュリティインシデント発生時の報告・連絡手順などが定められていない
・企業の監視が十分に行き届いていない

 

(表2)企業支給機器を使用していても生じ得るものの、BYODの導入でさらに危険性が高まるリスク
リスク起こり得る事象原因
セキュリティ設定の不備により、機器が悪用されるデータが抜き取られたり、閲覧される・保存データが暗号化されない設定になっている
・パスワード設定や指紋認証設定などの物理的セキュリティ対策が設定されていない
上記のような悪用が発見されずに放置されるスクリーンスクレイピング(表示されている画面からのデータ抜き取り)やキーボードの入力操作の記録を行うマルウェアが拡散し、認証情報や企業データが抜き取られる・企業の監視が十分に行き届いていない
機器の盗難、紛失、破損機器が破損した際に従業員が悪質な業者に修理を依頼してしまい、データが漏洩する・機器を私生活でも使用しており、持ち運ぶ機会が多い
・インシデント発生時の対応などに関し、ルールが定められていない(修理代や保険に関する取り決めなどを含む)
通信内容の盗聴・改ざん・企業データが窃取される
・情報が不正に改ざんされて顧客や取引先などの信頼を損ねる
・公共Wi-Fiなどの安全でないネットワークの使用
・カフェや電車など、公共の場での機器の使用

(表1、2とも英国国家サイバーセキュリティセンターのサイトを参考に作成)

 

②運用方式と対策の確認

運用方式の確認

BYOD機器での業務実施方式は、大きく分けて4つあります。各運用方式により異なるセキュリティ対策が必要になることがあるため、どの運用方式を導入する(している)のかを確認しておくことが重要です。各従業員ごと、あるいは各機器ごとに運用方式が異なる場合も考えられます。

 

(表3)BYODの運用方式
方式オフィスネットワークへの接続方式機器へのデータ保存概要
VPN/リモートデスクトップ方式VPN、リモートデスクトップ等保存する
※リモートデスクトップ接続の場合は保存しない場合もある
BYOD機器からオフィスネットワークへVPN接続して業務を行う方式。または、個人所有の機器からオフィスネットワークにある機器(PC)へリモートデスクトップ接続して業務を行う方式。いずれの場合も、ダウンロードしたデータを用いてBYOD機器上で業務を実施するケースも含む。
クラウドサービス方式接続しない保存する/保存しないどちらも含むBYOD機器からインターネット上のクラウドサービスに接続して業務を行う方式。クラウドサービスからダウンロードしたデータを用いて、BYOD機器上で業務を行う場合も含む。
スタンドアロン方式接続しない保存するBYOD機器に外部記録媒体等でデータを持ち運び、保存しておいたデータを処理することで業務を行う方式。
セキュアブラウザ方式セキュアブラウザ保存しないBYOD機器からセキュアブラウザを利用し、オフィスネットワーク内のシステムやクラウドサービスで提供されるアプリケーションに接続して業務を行う方式。

(総務省資料「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」をもとに作成)

 

各運用方式に応じた対策の確認

以下に、最優先で実施すべき主な対策をまとめています。これを参考に、ご自身の環境にはどのような対策が必要なのか確認しましょう。

 

(表4)すべての運用方式に共通する対策
分類対策内容想定脅威
資産・構成管理許可したBYOD機器のみが利用される状態にし、利用される機器とその利用者を把握する。マルウェア感染
不正アクセス
盗難・紛失
資産・構成管理BYOD機器で利用されているシステムや取り扱われている重要情報(※)を把握する。

※重要情報:営業秘密等の事業に必要で組織にとって価値のある情報や、顧客や従業員の個人情報等の管理責任を伴う情報。

不正アクセス
情報の盗聴
マルウェア対策BYOD機器にウイルス対策ソフトをインストールし、リアルタイムスキャンが有効になる設定にする。またウイルス対策ソフトの定義ファイルを自動更新する設定にするか、手動で最新に更新するルールを作成する。マルウェア感染
アクセス制御・認可システムによるアクセス制御や重要情報そのものに対するパスワード設定等により、重要情報は許可された人のみが利用できるようにする。不正アクセス
物理セキュリティBYOD機器に対してのぞき見防止フィルタを貼付させ、離席時にはスクリーンロックをかけるようルール化する。情報の盗聴
脆弱性管理BYOD機器にはメーカーサポート切れとなるバージョンのOSやアプリケーションを利用させない。不正アクセス
脆弱性管理BYOD機器のOSやアプリケーションに対して最新のセキュリティアップデートを適用させる。不正アクセス
インシデント対応・ログ管理情報セキュリティインシデントの発生時に備えて、インシデントが発生した場合や、そのおそれがある状況(不審なメールを開封した場合等)における対応手順を決定し、関係者への各種連絡体制を定める。マルウェア感染
不正アクセス
盗難・紛失
情報の盗聴
データ保護BYOD機器の紛失時に機器の位置情報を検出できるようにしておく。盗難・紛失
アカウント・認証管理BYOD機器のログインアカウントや、業務で利用する各システムのアカウントのパスワードは破られにくい「長く」「複雑な」パスワードを設定させる。またパスワード強度を強制することが可能である場合は強制するように設定しておく。不正アクセス
アカウント・認証管理BYOD機器へログインするためのパスワードや、業務で利用する各システムのアカウントの初期パスワードは変更させる。不正アクセス

(総務省資料「中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)」をもとに作成)

 

各運用方式ごとに必要な対策

💡VPN/リモートデスクトップ方式利用時の対策例

・BYOD機器から社内にリモートアクセスする際に利用するVPN機器等について、メーカーサポート切れの製品は利用させず、最新のセキュリティアップデートを適用させる。

・BYOD機器からオフィスネットワークに接続する際のアクセスログを収集しておく。

 

💡クラウドサービス方式利用時の対策例

・クラウドサービス(Webメール、チャット、オンライン会議、クラウドストレージ等)を利用させる場合(特にID・パスワード等を入力するとき)は、通信が暗号化されている(HTTPS通信である)ことと、接続先のURLが正しいことを確認させる。

・BYOD機器とクラウドサービスのそれぞれに、どのような情報が保存されているかを把握・管理する。

・クラウドサービスへのアクセスログや操作ログを取得し、それらのログに異常がないか定期的に確認する。

 

クラウドサービス利用時のセキュリティ対策に関しては、こちらの記事もご参照ください:「クラウドサービスを利用する企業が取るべきセキュリティ対策とは?」

 

💡スタンドアロン方式利用時の対策例

・機器の盗難・紛失時に情報が漏洩しないように、ハードディスクやフラッシュメモリ(※1)等の内蔵された記録媒体の暗号化を実施する(※2)。

・データの持ち出しは、業務に必要な最低限のものだけにさせる。

・オフィスへデータを持ち帰る際には、利用した外部記録媒体(USBメモリ等)のマルウェアスキャンを実施する

・機器に重要情報を保管しなければならない場合には、ファイルの暗号化(パスワード設定等)を実施する。

 

※1 ハードディスクとは異なる記録媒体の一つで、「不揮発性の半導体メモリ」。電源をおとしてもデータを保持することが可能な記録媒体。

※2 iOS製品については初期状態で暗号化されているため対応不要

 

💡セキュアブラウザ方式利用時の対策例

・社内ネットワークとインターネットの境界に設置されているファイアウォールやルーター等において、不要なポートへの通信や必要なIPアドレス以外からの通信を遮断する。

・導入するセキュアブラウザ製品の仕様に十分留意する(セキュアブラウザ方式を実現する製品によってデータが削除されるタイミングが異なり、従業員の利用の仕方によっては、意図せずデータが機器に残るおそれがあるため)。

 

MDMの導入

MDMとは、Mobile Device Managementの略称で、モバイル機器(ノートPC、タブレット、スマートフォン等)を一元的に管理・運用すること、またはその機能を提供するソフトウェアのことをいいます。

 

MDMソフトウェアには以下のような機能があるため、導入することでBYOD運用時のセキュリティ対策を強化することができます。

 

・内蔵記録装置(SSD、HDD等)暗号化

この機能により、紛失・盗難等でBYOD機器が第三者に渡ってしまった場合でも、HDD等からのデータ漏洩を防ぐことができます。

 

・遠隔操作によるデータ消去

紛失・盗難等があった場合に、遠隔操作で機器のデータを消去することができるため、データ漏洩を防ぐことができます。

 

・認証ポリシーの強制

端末にログインする際の認証について、ルール/ポリシー(パスワード設定方法等)を定めて適用(強制)することができます。これにより、第三者による機器の不正利用を防止できます。

③BYODルールの整備

リスクの洗い出しとアクセス方式や必要な対策の確認ができたら、次は以下の内容を参考にBYODのルールを整備しましょう。

 

BYODルールに盛り込むべき事項

使用を許可する機器一覧

・業務での使用を許可する機器を定めましょう(PC、スマートフォン、タブレットなど)

・また、ハードウェア(機器本体や機器を構成する物理的な装置・パーツの総称)と機器で使用されるソフトウェアのバージョンについて、最低基準を定めましょう。

例)最新バージョンのみ使用を許可する、または最新のセキュリティパッチが適用されているバージョンのみ使用を許可する、など

 

使用機器の申請・登録手順

・従業員に機器の業務利用を申請・登録してもらう際の手順を定めましょう。

・手順がしっかりと決まっていれば、企業側は誰がどの機器を使用しているのかを正確に把握することができます。

 

アクセスを許可するデータと許可しないデータの分類

・BYOD機器からのアクセスを許可するデータと許可しないデータの分類について、ルールに明記しておきましょう。

・BYOD機器と企業支給機器とを併用する場合、機密性の高いデータ(知的財産や従業員の給与情報など)へのアクセスは企業支給機器からのみに限定するのが望ましいです。

 

アプリに関するルール

・企業にとって脅威となり得るアプリの一覧(ブラックリスト)を作り、それらのアプリのインストールを禁じましょう。例えばアプリの中には、機器のマイクやカメラにアクセスするものがあります。こういったアプリが、知らない間にWeb会議を盗聴している恐れがあります。

・インストールを許可するアプリの一覧(ホワイトリスト)を作り、これに含まれないアプリのインストールを禁じるという方法もあります。

 

禁止事項

例えば、以下のような行為を禁じておく必要があります。

 

🚫企業データをBYOD機器にダウンロードまたは転送すること

🚫他人とBYOD機器を共同で利用すること

🚫申請・登録の済んでいない機器を業務目的で使用すること

🚫BYOD機器でのアクセスが許可されていないデータにアクセスすること

🚫公共Wi-Fiなどの安全でないネットワークを使用すること

🚫インストールを許可されていないアプリをインストールすること

🚫公共の場、施錠されていない家屋、自動車内などに機器を放置すること

 

遵守事項

例えば以下のような事柄を遵守するよう、ルール内に明記しましょう。

 

🖋カフェなど、公共の場で作業する際は覗き見防止のためスクリーンフィルターを使用し、離席時にはスクリーンロックをかける

🖋指紋認証やパスワード(長く、複雑なもの)の設定を行い、第三者による機器の利用を防止する

🖋OSやソフトウェア、アプリ等を常に最新に保つ

🖋ウイルス対策ソフトをインストールし、リアルタイムスキャンが有効になる設定にする

🖋不審なメールを開封したり、メール本文内に記載されたURLをクリックしたり、添付ファイルを開いたりしないようにする

🖋機器の紛失・盗難・破損が生じた際は速やかに報告する

🖋その他のセキュリティインシデント(マルウェア感染など)が生じた際も速やかに報告する

セキュリティインシデントが発生した際の対応

・まず、セキュリティインシデント発生時の従業員から企業側への連絡体制について、以下を定めておきましょう。

💡連絡先(特定の部署や、システム・セキュリティ担当者など)

💡連絡時の報告内容(発生事象、直前に実施した作業内容、使用機器等)

 

・発生した事象の種類に応じて、どのような対応を取るのか決めておきましょう。例えば、紛失・盗難の発生時には機器内のデータを遠隔操作で消去する(※)、マルウェア感染時は速やかにネットワークから切断してウイルス対策ソフトで駆除を行うなど、細かく手順を定めておくと冷静に対応することができます。

 

※機器内のデータを消去すると、従業員の個人データまで削除されることになります。そのため、この点に関しては事前に従業員の同意を得ておく必要があります。

 

・関係者(経営陣、システムベンダー、監督官庁など)への報告も遅滞なく行えるよう、報告が必要な内容をあらかじめ整理しておきましょう。

 

❗️2022年4月1日より改正個人情報保護法が全面施行されます。これにより、個人データの漏洩等が発生し、個人の権利利益を害するおそれがある際(※)の個人情報保護委員会への報告及び本人への通知が義務化されます。個人情報を扱う企業は、この点にも留意しておきましょう。

 

※一定数以上の個人データの漏洩、一定の類型に該当する場合に限ります。詳しくは個人情報保護委員会の資料「令和2年改正個⼈情報保護法について」(PDFファイル)をご参照ください(資料出典:独立行政法人中小企業基盤整備機構サイト「J-Net21」『改正個人情報保護法、22年4月から全面施行:個人情報保護委員会』)。

 

従業員の使用機器変更時または退職時の取り決め

使用機器の変更や退職などの理由により機器が業務で使われなくなる場合に、保存されているデータなどをどう処理するかについて決めておきましょう。

 

例)機器内のデータをすべて削除し、従業員の個人的なデータについては、事前に取っておいたバックアップから復元する、等。

 

ルール違反時の罰則

ルールに違反した従業員に対し、どのような処分を与えるのかを決めておきましょう。BYOD機器は多くの場合、テレワークなどの同僚や上司の監視の目がない状況で使用されます。そのため、抑止効果として罰則規定を設けることが有効です。

 

例)機器の没収、解雇等。

 

まとめ

新型コロナパンデミックがなかなか収束せず、多くの企業が引き続きテレワークやハイブリッド勤務体制での業務を強いられています。コロナ前と比べてセキュリティ対策を講じるのが難しくなってはいますが、今回ご紹介したような対策・ルール整備を実践し、安全なBYOD運用を目指しましょう。

 

もし対策やルール整備の実践が難しく、安全なBYOD運用が行えないと判断した場合は今一度、会社で機器の支給ができないかや、レンタル/リースなど、他の方法を再検討してみるのも良いでしょう。

 

💡関連記事

「改正個人情報保護法のポイントとやるべきこと(前半)」

 

情報源

BYOD導入企業のやるべきこと

①使用機器の把握とリスクの洗い出し

https://www.ncsc.gov.uk/collection/device-security-guidance/bring-your-own-device/action-1-determine-your-objectives

 

②運用方式と対策の確認

https://www.soumu.go.jp/main_content/000753141.pdf

https://www.soumu.go.jp/main_content/000752925.pdf

 

③BYODルールの整備

https://www.ncsc.gov.uk/collection/device-security-guidance/bring-your-own-device/action-2-develop-the-policy

https://business.vic.gov.au/business-information/protect-your-business/it-policies-and-procedures

https://business.gov.nl/running-your-business/business-management/cyber-security/bring-your-own-device-byod/

https://business.gov.nl/running-your-business/business-management/cyber-security/incident-response-plan/

https://j-net21.smrj.go.jp/news/tsdlje0000012r9h-att/211109_reiwa2kaiseikojinjouhouhogohou.pdf