情報セキュリティ

クラウド

中小企業

私物機器の業務利用「BYOD」のリスクとセキュリティ対策

佐々山 Tacos

2022.02.16

コロナ禍を機に、日本を含め、世界中でテレワークやハイブリッド勤務（テレワークと出社を組み合わせたもの）の普及が進みました。オフィス外で仕事をしてもらうにあたって、従業員の個人所有機器を業務にも利用してもらう「BYOD」という仕組みを採用している企業は少なくありません。企業にとっては、社用機器を調達・支給する費用を削減できるといったメリットがある一方で、BYODにはセキュリティ上のリスクも伴います。では、安全にBYODを運用するためにはどんな対策が必要なのでしょうか？今回の記事では主にテレワーク環境を想定し、BYOD制度を導入している企業がやるべき事柄をまとめました。

BYODとは？読み方と概要

まず、BYOD（ビーワイオーディー）とは「Bring Your Own Device」の略で、従業員が個人的に所有するPCやスマートフォンなどの機器を業務に使用することをいいます。また、機器自体を指してBYODと呼ぶ場合もあります。

BYODには以下のようなメリットがあります。オフィスを持たずに完全テレワーク体制で業務を行っているスタートアップ企業などにとっては特に、導入しやすい制度だと言えるでしょう。

・従業員は使い慣れた機器で業務を行うことができる

・企業は社用機器を調達・支給する費用を削減できる

・テレワークなどの柔軟な働き方が可能になる

BYOD導入企業のやるべきこと

上記のようなメリットがある一方で、リスクも多数存在します。データ漏洩などのセキュリティインシデント（事案）を防ぐために重要なのは、以下の3つの項目を実施することです。

①使用機器の把握とリスクの洗い出し

②運用方式と対策の確認

③BYODルールの整備

①使用機器の把握とリスクの洗い出し

使用機器の把握

BYODの導入にあたって、企業は以下のような項目について把握しておく必要があります。これができていないと、機器の設定に不備が生じたり、監視の目が行き届かなくなったり、セキュリティインシデント発生時に適切な対応が取れなくなったりする恐れがあります。

・誰がどの機器を使用しているのか

・機器の種類（デスクトップPCかノートPCか、スマートフォンかタブレットか、など）

・使用OS（Windows、MacOS、Android、iOSなど）、導入アプリケーション（アンチウイルスソフトの有無、オフィス製品、その他）、利用しているバージョン

・機器の使用目的（すべての業務に使用するのか、または一部の業務のみに使用するのか、など）

・使用期間（短期か長期かで対策の仕方が変わってくるため）

・家族など本人以外と共用されている機器かどうか

関連記事：ゼロトラストセキュリティとは？5つの構成要素と対策の具体例

リスクの洗い出し

BYODのルールを整備したりセキュリティ対策を実施するためにはまず、どのようなリスクがあるのかを知っておく必要があります。以下にいくつか例を挙げていますが、これらは多数あるリスクの一部に過ぎません。また、従業員数や機器の台数、BYODの導入目的などによって異なるリスクが生じる場合があります。以下の表を参考にして一般的なリスクを把握するとともに、自企業特有のリスクについても洗い出しておきましょう。

（表1）BYODならではのリスク

リスク	起こり得る事象	原因
従業員による故意のデータ消失・漏洩	従業員が業務関連のデータを個人的に使用しているアプリにコピーしてしまう	・テレワーク環境などで他の従業員の目がない・企業の監視が十分に行き届いていない
偶発的なデータ消失・漏洩	業務関連データのバックアップが保存された機器を紛失してしまう	・機器を私生活でも使用しており、持ち運ぶ機会が多い
有害アプリによるデータ抜き取り	従業員がダウンロードしてしまった有害アプリがデータを抜き取る	・アプリに関するルールが存在せず、従業員が自己判断で勝手にダウンロードできる
退職者の機器から業務関連データが適切に削除されない	企業データや認証情報が漏洩する	・個人所有機器のため、退職者は退職後も同じ機器を使い続ける・退職時のデータ削除に関するルールが定められていない
サポート期限が終了した機器や古い機器の使用	マルウェアによって機器内の脆弱性が悪用される	・従業員がどの機器を使用しているのか、企業が把握できていない
機器やパスワードの共用	機器を共用している家族に業務関連データを見られてしまう	・共用を禁じることを定めたルールが存在しない
セキュリティインシデントが発生した際に従業員が報告を怠る	迅速な対応ができず、被害が拡大する	・企業に個人的なデータを閲覧されるのでは、という懸念を従業員が抱いている・セキュリティインシデント発生時の報告・連絡手順などが定められていない・企業の監視が十分に行き届いていない

（表2）企業支給機器を使用していても生じ得るものの、BYODの導入でさらに危険性が高まるリスク

リスク	起こり得る事象	原因
セキュリティ設定の不備により、機器が悪用される	データが抜き取られたり、閲覧される	・保存データが暗号化されない設定になっている・パスワード設定や指紋認証設定などの物理的セキュリティ対策が設定されていない
上記のような悪用が発見されずに放置される	スクリーンスクレイピング（表示されている画面からのデータ抜き取り）やキーボードの入力操作の記録を行うマルウェアが拡散し、認証情報や企業データが抜き取られる	・企業の監視が十分に行き届いていない
機器の盗難、紛失、破損	機器が破損した際に従業員が悪質な業者に修理を依頼してしまい、データが漏洩する	・機器を私生活でも使用しており、持ち運ぶ機会が多い・インシデント発生時の対応などに関し、ルールが定められていない（修理代や保険に関する取り決めなどを含む）
通信内容の盗聴・改ざん	・企業データが窃取される・情報が不正に改ざんされて顧客や取引先などの信頼を損ねる	・公共Wi-Fiなどの安全でないネットワークの使用・カフェや電車など、公共の場での機器の使用

（表1、2とも英国国家サイバーセキュリティセンターのサイトを参考に作成）

②運用方式と対策の確認

運用方式の確認

BYOD機器での業務実施方式は、大きく分けて4つあります。各運用方式により異なるセキュリティ対策が必要になることがあるため、どの運用方式を導入する（している）のかを確認しておくことが重要です。各従業員ごと、あるいは各機器ごとに運用方式が異なる場合も考えられます。

（表3）BYODの運用方式

方式	オフィスネットワークへの接続方式	機器へのデータ保存	概要
VPN/リモートデスクトップ方式	VPN、リモートデスクトップ等	保存する ※リモートデスクトップ接続の場合は保存しない場合もある	BYOD機器からオフィスネットワークへVPN接続して業務を行う方式。または、個人所有の機器からオフィスネットワークにある機器（PC）へリモートデスクトップ接続して業務を行う方式。いずれの場合も、ダウンロードしたデータを用いてBYOD機器上で業務を実施するケースも含む。
クラウドサービス方式	接続しない	保存する/保存しないどちらも含む	BYOD機器からインターネット上のクラウドサービスに接続して業務を行う方式。クラウドサービスからダウンロードしたデータを用いて、BYOD機器上で業務を行う場合も含む。
スタンドアロン方式	接続しない	保存する	BYOD機器に外部記録媒体等でデータを持ち運び、保存しておいたデータを処理することで業務を行う方式。
セキュアブラウザ方式	セキュアブラウザ	保存しない	BYOD機器からセキュアブラウザを利用し、オフィスネットワーク内のシステムやクラウドサービスで提供されるアプリケーションに接続して業務を行う方式。

（総務省資料「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）」をもとに作成）

各運用方式に応じた対策の確認

以下に、最優先で実施すべき主な対策をまとめています。これを参考に、ご自身の環境にはどのような対策が必要なのか確認しましょう。

（表4）すべての運用方式に共通する対策

分類	対策内容	想定脅威
資産・構成管理	許可したBYOD機器のみが利用される状態にし、利用される機器とその利用者を把握する。	マルウェア感染不正アクセス盗難・紛失
資産・構成管理	BYOD機器で利用されているシステムや取り扱われている重要情報（※）を把握する。 ※重要情報：営業秘密等の事業に必要で組織にとって価値のある情報や、顧客や従業員の個人情報等の管理責任を伴う情報。	不正アクセス情報の盗聴
マルウェア対策	BYOD機器にウイルス対策ソフトをインストールし、リアルタイムスキャンが有効になる設定にする。またウイルス対策ソフトの定義ファイルを自動更新する設定にするか、手動で最新に更新するルールを作成する。	マルウェア感染
アクセス制御・認可	システムによるアクセス制御や重要情報そのものに対するパスワード設定等により、重要情報は許可された人のみが利用できるようにする。	不正アクセス
物理セキュリティ	BYOD機器に対してのぞき見防止フィルタを貼付させ、離席時にはスクリーンロックをかけるようルール化する。	情報の盗聴
脆弱性管理	BYOD機器にはメーカーサポート切れとなるバージョンのOSやアプリケーションを利用させない。	不正アクセス
脆弱性管理	BYOD機器のOSやアプリケーションに対して最新のセキュリティアップデートを適用させる。	不正アクセス
インシデント対応・ログ管理	情報セキュリティインシデントの発生時に備えて、インシデントが発生した場合や、そのおそれがある状況（不審なメールを開封した場合等）における対応手順を決定し、関係者への各種連絡体制を定める。	マルウェア感染不正アクセス盗難・紛失情報の盗聴
データ保護	BYOD機器の紛失時に機器の位置情報を検出できるようにしておく。	盗難・紛失
アカウント・認証管理	BYOD機器のログインアカウントや、業務で利用する各システムのアカウントのパスワードは破られにくい「長く」「複雑な」パスワードを設定させる。またパスワード強度を強制することが可能である場合は強制するように設定しておく。	不正アクセス
アカウント・認証管理	BYOD機器へログインするためのパスワードや、業務で利用する各システムのアカウントの初期パスワードは変更させる。	不正アクセス

（総務省資料「中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）」をもとに作成）

各運用方式ごとに必要な対策

VPN/リモートデスクトップ方式利用時の対策例

・BYOD機器から社内にリモートアクセスする際に利用するVPN機器等について、メーカーサポート切れの製品は利用させず、最新のセキュリティアップデートを適用させる。

・BYOD機器からオフィスネットワークに接続する際のアクセスログを収集しておく。

VPN接続を利用するテレワーカー

クラウドサービス方式利用時の対策例

・クラウドサービス（Webメール、チャット、オンライン会議、クラウドストレージ等）を利用させる場合（特にID・パスワード等を入力するとき）は、通信が暗号化されている（HTTPS通信である）ことと、接続先のURLが正しいことを確認させる。

・BYOD機器とクラウドサービスのそれぞれに、どのような情報が保存されているかを把握・管理する。

・クラウドサービスへのアクセスログや操作ログを取得し、それらのログに異常がないか定期的に確認する。

クラウドサービス利用時のセキュリティ対策に関しては、こちらの記事もご参照ください：「クラウドサービスを利用する企業が取るべきセキュリティ対策とは？」

関連記事：ISMSクラウドセキュリティ認証とは？認証基準や要求事項について解説

スタンドアロン方式利用時の対策例

・機器の盗難・紛失時に情報が漏洩しないように、ハードディスクやフラッシュメモリ（※1）等の内蔵された記録媒体の暗号化を実施する（※2）。

・データの持ち出しは、業務に必要な最低限のものだけにさせる。

・オフィスへデータを持ち帰る際には、利用した外部記録媒体（USBメモリ等）のマルウェアスキャンを実施する

・機器に重要情報を保管しなければならない場合には、ファイルの暗号化（パスワード設定等）を実施する。

※1 ハードディスクとは異なる記録媒体の一つで、「不揮発性の半導体メモリ」。電源をおとしてもデータを保持することが可能な記録媒体。

※2 iOS製品については初期状態で暗号化されているため対応不要

セキュアブラウザ方式利用時の対策例

・社内ネットワークとインターネットの境界に設置されているファイアウォールやルーター等において、不要なポートへの通信や必要なIPアドレス以外からの通信を遮断する。

・導入するセキュアブラウザ製品の仕様に十分留意する（セキュアブラウザ方式を実現する製品によってデータが削除されるタイミングが異なり、従業員の利用の仕方によっては、意図せずデータが機器に残るおそれがあるため）。

MDMの導入

MDMとは、Mobile Device Managementの略称で、モバイル機器（ノートPC、タブレット、スマートフォン等）を一元的に管理・運用すること、またはその機能を提供するソフトウェアのことをいいます。

MDMソフトウェアには以下のような機能があるため、導入することでBYOD運用時のセキュリティ対策を強化することができます。

・内蔵記録装置（SSD、HDD等）暗号化

この機能により、紛失・盗難等でBYOD機器が第三者に渡ってしまった場合でも、HDD等からのデータ漏洩を防ぐことができます。

・遠隔操作によるデータ消去

紛失・盗難等があった場合に、遠隔操作で機器のデータを消去することができるため、データ漏洩を防ぐことができます。

・認証ポリシーの強制

端末にログインする際の認証について、ルール/ポリシー（パスワード設定方法等）を定めて適用（強制）することができます。これにより、第三者による機器の不正利用を防止できます。

タブレットやスマホなどのBYOD機器

③BYODルールの整備

リスクの洗い出しとアクセス方式や必要な対策の確認ができたら、次は以下の内容を参考にBYODのルールを整備しましょう。

BYODルールに盛り込むべき事項

使用を許可する機器一覧

・業務での使用を許可する機器を定めましょう（PC、スマートフォン、タブレットなど）

・また、ハードウェア（機器本体や機器を構成する物理的な装置・パーツの総称）と機器で使用されるソフトウェアのバージョンについて、最低基準を定めましょう。

例）最新バージョンのみ使用を許可する、または最新のセキュリティパッチが適用されているバージョンのみ使用を許可する、など

使用機器の申請・登録手順

・従業員に機器の業務利用を申請・登録してもらう際の手順を定めましょう。

・手順がしっかりと決まっていれば、企業側は誰がどの機器を使用しているのかを正確に把握することができます。

アクセスを許可するデータと許可しないデータの分類

・BYOD機器からのアクセスを許可するデータと許可しないデータの分類について、ルールに明記しておきましょう。

・BYOD機器と企業支給機器とを併用する場合、機密性の高いデータ（知的財産や従業員の給与情報など）へのアクセスは企業支給機器からのみに限定するのが望ましいです。

アプリに関するルール

・企業にとって脅威となり得るアプリの一覧（ブラックリスト）を作り、それらのアプリのインストールを禁じましょう。例えばアプリの中には、機器のマイクやカメラにアクセスするものがあります。こういったアプリが、知らない間にWeb会議を盗聴している恐れがあります。

・インストールを許可するアプリの一覧（ホワイトリスト）を作り、これに含まれないアプリのインストールを禁じるという方法もあります。

禁止事項

例えば、以下のような行為を禁じておく必要があります。

企業データをBYOD機器にダウンロードまたは転送すること

他人とBYOD機器を共同で利用すること

申請・登録の済んでいない機器を業務目的で使用すること

BYOD機器でのアクセスが許可されていないデータにアクセスすること

公共Wi-Fiなどの安全でないネットワークを使用すること

インストールを許可されていないアプリをインストールすること

公共の場、施錠されていない家屋、自動車内などに機器を放置すること

遵守事項

例えば以下のような事柄を遵守するよう、ルール内に明記しましょう。

カフェなど、公共の場で作業する際は覗き見防止のためスクリーンフィルターを使用し、離席時にはスクリーンロックをかける

指紋認証やパスワード（長く、複雑なもの）の設定を行い、第三者による機器の利用を防止する

OSやソフトウェア、アプリ等を常に最新に保つ

ウイルス対策ソフトをインストールし、リアルタイムスキャンが有効になる設定にする

不審なメールを開封したり、メール本文内に記載されたURLをクリックしたり、添付ファイルを開いたりしないようにする

機器の紛失・盗難・破損が生じた際は速やかに報告する

その他のセキュリティインシデント（マルウェア感染など）が生じた際も速やかに報告する

認証情報を盗もうとするサイバー犯罪者

セキュリティインシデントが発生した際の対応

・まず、セキュリティインシデント発生時の従業員から企業側への連絡体制について、以下を定めておきましょう。

連絡先（特定の部署や、システム・セキュリティ担当者など）

連絡時の報告内容（発生事象、直前に実施した作業内容、使用機器等）

・発生した事象の種類に応じて、どのような対応を取るのか決めておきましょう。例えば、紛失・盗難の発生時には機器内のデータを遠隔操作で消去する（※）、マルウェア感染時は速やかにネットワークから切断してウイルス対策ソフトで駆除を行うなど、細かく手順を定めておくと冷静に対応することができます。

※機器内のデータを消去すると、従業員の個人データまで削除されることになります。そのため、この点に関しては事前に従業員の同意を得ておく必要があります。

・関係者（経営陣、システムベンダー、監督官庁など）への報告も遅滞なく行えるよう、報告が必要な内容をあらかじめ整理しておきましょう。

2022年4月1日より改正個人情報保護法が全面施行されます。これにより、個人データの漏洩等が発生し、個人の権利利益を害するおそれがある際（※）の個人情報保護委員会への報告及び本人への通知が義務化されます。個人情報を扱う企業は、この点にも留意しておきましょう。

※一定数以上の個人データの漏洩、一定の類型に該当する場合に限ります。詳しくは個人情報保護委員会の資料「令和２年改正個⼈情報保護法について」（PDFファイル）をご参照ください（資料出典：独立行政法人中小企業基盤整備機構サイト「J-Net21」『改正個人情報保護法、22年4月から全面施行：個人情報保護委員会』）。