情報セキュリティを考え「会社支給のPCやスマホ以外は絶対使用禁止」は、やむを得ない方法なのでしょうか。安全でIT機器のコストを抑えつつ、業務の効率を上げる秘策はないのでしょうか。ルールとツールである程度は可能で、実施には「BYOD」についての理解が大切と考えます。働き方とIT技術が激変している2023年時点で、あらためて「BYOD」についてまとめました。
目次
BYODのおさらい
BYODという言葉自体は決して最新のものではありません。それでは、なぜ今も話題になっているのでしょうか。それは条件次第では、企業と社員双方にとってお得になるからと考えます。この章ではBYODの由来と、注目され続けている理由を振り返りました。
BYOD とは?
Bring Your Own Device の略です。社員が業務で、私物のデバイス(スマートフォンやタブレット、ノートパソコンなど)を利用する意味があります。決してデバイスをオフィスに持ち込むばかりではありません。公共の場や社員の自宅などでの利用も含まれます。
なお「BODY」(ボディー)のスペルミスではありません。もちろんサーバーやPCなどの筐体(ケース)を指している訳ではありません。実は2011年頃より話題になっている言葉です。そもそも、米国では「BYOB」(Bring Your Own Beverage)という言葉をもじって、BYODが生まれたという情報があります。このBYOBには、パーティーなどで自分が飲むアルコール類は自分で持参することの意味があったようです。
余談ですがほんの今から20年ほど前の2000年頃までは、会社に1人1台のPCも、また関連する社内ルールもないのが一般的でした。良し悪しはありますが、多くの社員が普通に「BYOD」の状態でした。
当時と比べ、現在は企業経営の考え方と各種デバイスの普及が大きく変わっています。特に「安全」に利用することが、企業にとって重要な課題になりました。それが情報セキュリティです。いつも安全な状態で利用するために、国や企業、従業員などそれぞれの段階で、ルールづくりと実際の運用が見直されています。
BYODが必要になってきた事情
通信技術
- 固定通信でもモバイル通信でも、高速・低コストになるなどインターネット回線の整備が続いている
個人
- 個人利用の情報端末(PC、スマホ、タブレットなど)が増大している
企業
- 働き方改革推進や新型コロナウイルス対策で、リモートワーク(テレワーク)の対応を進めなければならない
- 雇用形態が変化している(例として、フリーランスや副業者が自身の保有する機器で開発作業を行うなど)
- IT関連機器の資産を管理する業務が増加している
その結果、情報セキュリティのルールづくりと、業務に負担が少ないルールの運用が急務になっています。またBYODを促進するアプリやサービスなどが、次々に誕生することになりました。
BYOD は「普及」しているのか?
最新で全国的に網羅した統計がなく、断片的な情報からの推測になります。ある程度は普及していますが、以下のように100%の普及を妨げている要因もあります。
- メリットとデメリットの両方がある
- 企業や部署、担当により業務の手順が異なる
- デバイスや情報セキュリティなどIT全般の知識が、社員によってまちまち
- 急激な環境変化に対して、一部の企業や社員に心理的な抵抗がある
- そもそも普及率を高くすることが優先課題かどうか疑問
なお統計データの一例として、以下の情報が公開されています。(2021年5月末時点)
(1)「ICT によるイノベーションと新たなエコノミー形成に関する調査研究」(総務省、2018年)
https://www.soumu.go.jp/johotsusintokei/linkdata/h30_02_houkoku.pdf
以下のように米国や英国、ドイツと比較すると、「BYODの許可」割合では日本は最下位です。
引用元 「ICT によるイノベーションと新たなエコノミー形成に関する調査研究」(60ページ)
(2)「在宅で私用端末」4割許可 制度導入の金融機関でセキュリティー強化急務(日本経済新聞、2020年)
https://www.nikkei.com/article/DGKKZO64947030T11C20A0EE9000/
個人情報や経営に関する機密情報を多く取り扱うなど、特殊な業界の事情があるためか、多くの課題が残っています。その理由として、BYODの推進にはメリットとデメリットの両方があるからと考えます。次章ではこれらを整理していきます。
BYODを推進するメリットとデメリット
推進するメリット
各種コストを下げることができる
- (企業)社員に配布する業務用途向けデバイスの購入と管理のためのコストが不要
- (企業と社員)上記の使い方を習得する時間が不要
社会環境に変化に対応して柔軟な働き方ができる
- (企業)安全で無理のない労働環境の提供に役立つ
- (社員)無理に出社や出張をしなくても良くなる
推進するデメリット
情報セキュリティを維持することが難しくコストがかかる
- (企業)就業規則の更新や教育と同時に、管理業務を軽減するシステム購入などが必要になる
- (社員)個人で使用していたデバイスが企業側の管理(監視)対象になる
「仕事と生活の調和(ワーク・ライフ・バランス)」を維持することが難しく、あらたなストレスになりかねない
- (企業)就業規則以前に、社員をどこまで信用し管理したらいいか判断が難しい
- (社員)自宅で個人用にデバイスを利用する時でも、落ち着いて休めない
慎重かつ迅速にBYODを導入するポイントとは?
企業や業務により、BYODの必要な理由と実施方法は異なります。
導入を検討するときの注意点
無駄な投資と時間を避けるため、なぜBYODを推進するか(またはしないか)を明確にすれば、何を重点にどのように準備すればいいか(またはしないか)判断しやすくなります。
特に情報セキュリティへの不安です。自社にとり、具体的で効き目のある進め方がわからないことも原因の一つと考えます。そのため事業やシステムの規模が大きく、影響する範囲が大きければ大きいほど、社外の情報セキュリティの専門家のアドバイスを参考に、計画を立て実行に移す必要があります。
まずは自社のルールづくりから
大まかな手順は「調査→ルール作成→運用・見直し→社内浸透」です。
ルール作成前の調査
- 自社が取り扱う重要なデータは何か(個人情報や機密情報など)
- 取り扱う際のリスクは何か
- 解決すべき優先順位は高いか低いか
- 自社で解決できそうか(できなかったら外部のコンサルティングを受ける)
社内規程を作成
既存の就業規則や他のITに関連する規則と整合させます。
運用
実際に運用して、ルールに不具合を発見したら随時見直しをします。
社内での浸透
一例として情報セキュリティの認証を取得する活動をすれば、総合的な対策につながり効果的です。代表的な認証制度には、ISMS(情報セキュリティマネジメントシステム)やプライバシーマークなどがあります。
管理ツールの導入
ルールを守るだけでは限界があり、ツールを導入して管理業務の負担を減らしましょう。
モバイル端末管理(MDM)
Mobile Device Managementの頭文字をとっています。社員が業務で利用するモバイル端末を、管理する方法またはソフトウェアのことです。BYODのメリットを生かして、安全性と利便性を保つことができます。一方MDMにより、社員が個人で所有する端末を、企業が部分的に管理することになります。そのためMDM導入前に、社員と企業は実施目的の合意が必要です。
リモートデスクトップ(Windows RDS)
作業データがデバイスに残らない方法です。社員が別々の場所にいても、「リモートデスクトップ」機能が利用できるサーバーにアクセスして、共同作業などに利用できます。リモートデスクトップについて、カゴヤのサーバー研究室では以下の連載記事で詳しく解説しています。
Windows RDS 環境を構築しよう【第1回: Windows RDS とは何か?何がいいのか?】
オフィスに通勤することなく、自宅などでの仕事を可能にする働き方として「テレワーク」という言葉を見かける機会が多くなりました。働き方の多様性、育児・介護と仕事の両立が一般的になったことや、自然災害時の事業継続、また近年大きな問題となっている、未知の感染症からの自衛手段としても、テレワークという働き方がこれまで以上に注目されるようになりました。 この連載について 本連載は、全4回のシリーズを通してでき…
シンクライアント(Thin client)
こちらも、作業データがデバイスに残らない方法です。シンクライアントのデバイスには最小限の機能しかないため、接続するサーバー上の機能を使用します。コンピューターが誕生してから改良されてきた、歴史のある技術です。「USBシンクライアント」のように、社員が自宅で使用するPCに差し込めば利用できる製品も発売されています。
カゴヤのサーバー研究室では、以下の記事で基本をわかりやすく解説しています。
シンクライアントとは?何をするもの? シンクライアントとは、クライアント側の端末(PC等)では限られた処理しか行わず、アプリケーションの実行やデータの管理などほとんどの処理をサーバー側に任せる仕組みのことです。 シンクライアント環境において、クライアント端末に求められるのは、サーバーに接続しサーバーの処理結果を画面表示するのに必要な最小限の性能にとどまります。そのため、「薄い・少ない(=Thin/…
今こそ情報セキュリティ教育を始める機会!
一般的に、「セキュリティ」は弱い(ぜい弱な)ところから破られます。どんなに強固な対策をしていても、たとえわずかな弱点でも、ひとつでもあればそこが命取りになります。
情報セキュリティ教育が欠かせない理由がここにあります。ルールをつくり普及しツールを導入しても、データの取り扱いで「セキュリティ」を維持し続けることは困難です。ただでさえ忙しい仕事中に、教育時間を捻出するのは容易ではありません。そこで、それぞれの企業に合うような効率的な教育計画と、教育効果が確認できる工夫や目標を用意することが大切ではないでしょうか。既述の情報セキュリティの認証取得も有効と考えます。
今後の動向について(私見)
BYODが進めば進むほど、これまでにない方法で企業の重要なデータを扱う頻度が増します。社員による悪意の有無に関わらず、その分リスクが増大します。情報の漏洩だけでなく、あやまってデータを消失するリスクなどもあるからです。また悪意をもった者の攻撃から防御目的に、ツールが次々に発表されています。
この先ずっと完璧な対策はありません。そこで企業はルールとツール、そして情報セキュリティ教育の継続が基本になると予想しています。
まとめ
BYODの導入には魅力がありますが、単に導入すれば全てが解決という訳ではありません。企業活動で安全に効率良く利用するには、それぞれの企業に合うやり方の導入だけでなく、継続した取り組みが前提になります。
企業経営が直面する情報セキュリティ環境の変化に、柔軟に対応することは容易ではありません。BYODの考え方を見習い、ぜひ御社(Your)ならではの独自(Own)の秘策(Device)を、社内に導入(Bring)し問題解決をしていきましょう。
KAGOYA FLEX
カゴヤ・ジャパンは、自社国内データセンターを基盤に、月額4,400円の低価格からクラウド導入を強力サポート。
VMware ベースの仮想サーバーと物理サーバーの組み合わせで最適なコストバランスをご提案いたします。
回線引き込みや、ライセンスの持ち込みなど柔軟な対応も可能です。
