BYOD ポリシーの採用を先送りし続けようとしても、もうそろそろ限界なのではないでしょうか?ここ数年だけをとっても、技術は急進展し、会社での働き方にも顕著な変化が見られます。BYODをスタンダードと考えざるを得なくなってきていますが、それはとりもなおさず、新たなセキュリティリスクが発生することを意味します。このリスクには、どのように対処するべきでしょうか?
クラウドコンピューティングの急激な進展、個人用スマートデバイスの普及、そして在宅勤務を容認する会社の増加などに伴い、BYOD(Bring Your Own Device)は禁止事項ではなくなりつつあります。企業はBYODポリシーを策定して、個人所有デバイスを会社に持ち込む場合の規定を設ける方向にシフトしています。BYODポリシーにより、社員はプロビジョニングされた会社支給のデバイスに限定されることなく、個人の好みのモバイルデバイス(ラップトップ、スマートフォンなど)を仕事で使用できるようになります。BYODポリシーの採用には多くのメリットがあります。社員は気持ちよく仕事ができ、新しいデバイス(特に携帯電話)を会社で購入しプロビジョニングする必要がなくなります。ですが、何にでも良い面もあれば悪い面もあるものです。BYODを容認すれば、セキュリティの問題は避けて通れません。このブログでは、セキュリティに関する懸案事項を確認し、BYODのセキュリティ問題にどう対処できるかについて考察します。
BYODとは何か、どのように運用されるのか?
BYODは、社員に、業務で個人所有デバイスを使用するのを容認する比較的新しい企業施策です。デバイスとして典型的なものはスマートフォンですが、ラップトップ、タブレット、ウェアラブルなどが含まれる場合もあります。 BYODは、消費者向けソフトウェアとハードウェアがエンタープライズ環境で使用される「ITコンシューマライゼーション」として知られる大きなトレンドの一部です。社員所有のデバイスを、会社所有のプロビジョニングされたデバイスともに、会社が認可するBYODポリシーが採用される場合が多いですが、「シャドーIT」のアプローチで運用している会社もあります。「シャドーIT」では、ハードウェアとソフトウェアは社内で使用されますが、会社のIT部門はそれらをサポートしません。
BYODのメリットは何か?
BYODユーザーは、自分で選んだ好みのデバイスで仕事ができる上、どこからでもいつでも作業が可能という自由を得られることになります。一方、会社のメリットは、従業員にモバイルデバイスを提供する必要がなく、それでも個人用デバイスを会社の通信システムに接続できることです。大きな節約になります。
BYODのリスクは何か?
BYODポリシーの採用にはメリットがある反面、セキュリティ上の懸案事項が広範化し、深化するという大きな問題があります。IT部門では、セキュリティ問題に対処できるよう、自らを鍛錬する必要があります。BYODに関連する喫緊の懸案事項と、リスクからどう守ることができるかを考察します。
紛失または盗難されたデバイスの管理
携帯電話をレストランに置き忘れてしまったとしましょう。時間をかけてレストランに戻っても、見つからないかもしれません。盗まれてしまったとすると、いろいろな心配や不安で心がかき乱されるでしょう。さらに、その携帯電話に機密性の高い業務データが保存されていたとしたら、心配や不安はさらに倍増します。モバイルデバイスはデバイス本体のものとしての価値のために盗まれることも多いですが、盗難後に個人データをアクセスして販売または使用するというケースがよく見受けられるようになりました。1つのデバイスに個人データと企業の業務データが混在していれば、情報漏洩のリスクは極めて現実的なものになります。
BYODデバイスの紛失に関連するリスクに対処するには、ユーザーは “Find My Device” アプリやリモートワイプサービスに登録する必要があります。これらのサービスを使用すると、紛失したデバイスを追跡でき、最後の手段としてデバイスのデータを抹消することができます。ということは、会社の業務で自分のデバイスを使用するユーザーは定期的にデータをバックアップする必要があるということです。バックアップと復元の手段を準備し、確実にバックアップをとるようにすることで、デバイスが紛失したり盗難されたりした場合のダメージを大幅に削減することができます。
パスワード保護
スマートデバイスを使用するとき、デバイスの安全な使用に関して基本的な常識を適用しないユーザーは、たくさんいます。社内外のすべてのデバイスは、強いパスワードを使って保護する必要があります。
個人のデバイスをパスワード保護しない人は多く、パスワードを使う場合も便利なように簡単なパスワードを設定することがよくあります。これではベストプラクティスを満たしません。数字の「1-2-3-4」のパスワードは推測するのが難しくなく、泥棒が最初に試してみる4桁数字かもしれません。デバイスに強いパスワード/アクセスコードを設定することは、企業にとって攻撃を阻止するための最初の重要なステップです。指紋やフェイシャルIDなどのバイオメトリック・アクセスコントロールができれば、さらに安全です。
ネットワーク監視とBYOD
BYODは、十分慎重に配慮して準備すれば、社員が効果的・効率的に活用できます。一方、しっかりした配慮を行わないまま実装されると、BYODポリシーの採用はIT部門にとって重荷になりかねません。容量要件の変化や、アプリケーション・ネットワークの使用状況の変化などへの対応に奔走しなければなりません。容量やアプリケーション・ネットワークの使用状況、BYODのロケーションなどの情報は、ネットワーク監視ツールを使用すると簡単にアクセスできます。IT部門は、これらの測定値をチェックして、より良いセキュリティを実装し、Wi-Fiの改善などを計画することができます。
モバイルデバイス管理ツールによるデバイスの保護
BYODポリシーを採用する組織は、ユーザーデバイスを保護するために堅牢なモバイルデバイス管理(MDM)ソリューションを導入するべきです。企業向けモバイルデバイス管理ソフトウェアは、企業のセキュリティ・ポリシーを実施し、承認されたデバイスだけが企業ネットワークにアクセスできることを保証することができます。
MDMソフトウェアは、デバイスが悪意のあるモバイル・アプリケーションをダウンロードするのを防ぐこともできます。デバイスのソフトウェアを破壊し、デバイスに格納されている個人情報にアクセスする目的をもった、危険なモバイル・アプリケーションアプリケーションは数多くあります。BYODポリシーを採用している会社では、社内で使用されるデバイスに企業と個人両方のデータが保存されているので、これは大きな懸念事項となります。MDMソリューションを使用すると、信頼できるアプリケーションのみをデバイスにダウンロードできるようになります。社内で開発されたアプリケーションも、攻撃に対して脆弱である可能性があります。データ漏洩を防止するためには、モバイル・アプリケーションがセキュリティ基準を満たしていることを確認する必要があります。
暗号化の重要性
デバイスのセキュリティには暗号化が不可欠です。暗号化が行われなければ、通信中または保管中にデータが容易に傍受される可能性があります。暗号化は、攻撃者がモバイルデバイス上の個人情報にアクセスするのを防ぐ以上のことができます。パスワードは攻撃者がデバイスにアクセスするのを防ぐ障壁の1つですが、パスワードが破られる可能性がないとは言えないので、暗号化技術で次の障壁を作ります。「多層防御(defense in depth)」として知られる、セキュリティを複数のレベルで保護する方策は、BYODデバイスの強化を保証します。データは、転送中に最も脆弱になります。堅牢な暗号化ツールを使用すると、ネットワークのインフラストラクチャと、パブリックWi-Fiネットワークを通過するすべての企業データを保護することができます。
DDoS攻撃への対策
モバイルデバイスのAPIは、レート制限が十分ではないことが多く、DDoS攻撃に対して脆弱になりがちです。DDoS攻撃で生成されるリクエストはネットワーク内から発信されるため、検出するのは困難です。将来のDDoS攻撃は、モバイルデバイスを使用してアプリケーション層のリソースにボトルネックを発生させる可能性があります。一般的なクエリとよく似ているため「外部からのDDoS攻撃」よりも検出が難しく、セキュリティ部門は、このアプローチに注意を払う必要があります。