私たちはみんなガジェットが大好きですが、お気に入りのデバイスの中には、どんなに無害に見えても、世界中の IT 部門を圧倒する可能性のあるものもあります。
好むと好まざるとにかかわらず、「Bring Your Own Device(BYOD)」のトレンドは、今や大小を問わず企業の間で定着しています。確かに、従業員が個人のノートパソコン、タブレット、スマートフォンを社内のITインフラに持ち込むことを依然として禁止している企業もありますが、その数は急速に減少しています。BYODは「いつ」導入されるかではなく、「いつ導入されるか」の問題です。そのため、企業とIT管理者は、BYODに伴うリスクを理解し、これらの未知のガジェットを最も効果的かつ安全に活用する方法を見極める必要があります。
ガートナーの副社長兼セキュリティアナリストであるポール プロクター氏は、今週サンフランシスコで開催された RSA セキュリティ カンファレンスで BYOD に関するパネル ディスカッションの司会を務め、BYOD に対する 4 つの異なるアプローチをコンテナ化、採用、ブロック、無視に分類しました。
「コンテナ化」はBYODを可能にしますが、業務関連のデータと通信のための別のスペースを確保します。一方、BYODを「積極的に受け入れる」企業は、ハードウェアとセキュリティ管理に関しては、一切の妥協を許さない積極性を持っています。「ブロック」はBYODを積極的に禁止する企業を特徴づけ、「無視」は問題が存在しないかのように装う組織を表します。
Flickr: アン・ダブニープロクター氏は、BYODがいかに普及しているかを示すガートナー社の調査結果も共有しました。ガートナー社のデータによると、現在、企業の47%がコンテナ化を採用し、30%がBYODを積極的に導入し、15%がBYODをブロックし、8%がBYODを無視しています。しかし、さらに興味深いのは、ガートナー社が今後3年間でどのように変化するかを予測している点です。BYODを積極的に導入する企業は倍増して60%に達し、コンテナ化は約38%に低下し、ブロックする企業は3%を下回り、無視する選択肢は完全になくなると予測されています。
IT-Harvestのセキュリティアナリスト、リチャード・スティエノン氏は、もっと率直にこう言います。「抵抗しても無駄です」と彼は言います。「IT部門は常に消費者主導の変化に抵抗してきました。メール、ウェブブラウジング、Wi-Fiなどは、当初は阻まれていたイノベーションです。すべての組織はBYODを受け入れるべきです。それが未来なのです。」
ガートナーの予測をもう一度見てみましょう。BYODを完全に禁止する企業は全体の3%未満で、これらの組織はおそらく政府機関や銀行など、規制が厳しくセキュリティ意識の高い分野に属するでしょう。一方、BYODを無視する傾向は永久に消え去るでしょう。これは、重大なセキュリティ問題を引き起こすトレンドに対する賢明な対応と言えるでしょう。つまり、企業のハードウェアやネットワークインフラに何らかの利害関係があるなら、今こそBYODのリスクとメリットを検討し、社内におけるBYOD管理計画を策定する良い機会と言えるでしょう。
難しいのは、BYODに対する唯一の正解がないことです。BYODを完璧に機能させる万能のプラットフォームやアプリケーションは存在しません。多くの企業にとって、全社的に適用できる単一のBYODアプローチさえ存在しません。役割や個人によってリスクのレベルは異なり、BYODの適用と管理も異なる必要がある場合があります。
これを念頭に置いて、常に変化し続ける BYOD の世界を進む際に考慮すべき 4 つの重要な事項を以下に示します。
1. 選択肢を検討する
Flickr: miniyo73BYODは、優秀な人材の獲得と維持に効果的かつ価値あるツールとして台頭しています。若い社員は、自分のスマートフォンやタブレットを使って仕事をすることを期待しています。しかし、BYODを導入するからといって、必ずしも自由に使えるようにするわけではありません。
Enderle Groupの主席アナリスト、ロブ・エンダール氏は次のように説明しています。「極めて安全性の低いプラットフォームは、効果的にロックダウンされるまでは、依然として利用を避けるべきです。IT部門は、デバイスがポリシーに基づいて保護されていること、企業情報が個人情報から分離され、保護されていること、そしてその使用がポリシーによって管理されていることを、引き続き確実にする必要があります。」
「安全でないプラットフォーム」の定義については、BYOD 革命における大きなセキュリティ リスクのいくつかは Android に直接起因すると考えられますが、パッチが適用されていない Java や Flash のインストールもセキュリティ侵害の原因となります。
従業員が使用するハードウェアプラットフォームを定義または制限することは、ある程度、BYODの基本原則に反します。つまり、Windows Phoneであれば従業員が個人所有のデバイスを持ち込んでもよいとすることと、会社支給のWindows Phoneを使用しなければならないとすることは、それほど変わりません。それでも、様々なプラットフォームに伴うリスクを検討し、組織が会社のデータと通信を保護するためにどの程度のコントロール権を持つか(あるいは持たないか)を理解する必要があります。デバイスによっては、BYODの要件を満たさないものもあります。
次のページ: BYOD エンゲージメントのルールを設定する…
2. 綴る
Flickr: ajleonどのようなBYODポリシーであっても、書面で定義する必要があります。従業員は、業務目的で個人デバイスを使用する許可を得る前に、BYODポリシーの条項を読み、同意する必要があります。
BYODはまだ初期段階の概念であり、企業はIT部門と従業員がBYODのルールを誤解していることから生じる影響に対処し始めたばかりです。アマンダ・スタントンさんの苦境を例に挙げましょう。彼女は2010年、自分で購入し管理していたiPhoneを会社が遠隔で消去・リセットする権限を持っていることを痛感しました。
賢明なBYODポリシーは、従業員所有のデバイスに対して組織がどの程度のアクセスや制御権を持つことを期待しているかなど、重要な詳細を明記する必要があります。デバイスにポリシーを適用・管理するために、アプリ、エージェント、またはプロファイルは必要でしょうか?デバイスをロックまたはデータ消去する権限はどの程度でしょうか?どのような状況でデバイスは消去されるのでしょうか?
これらすべての質問を検討して解決する必要があり、BYOD ハードウェアが職場に導入される前にその答えを従業員と共有する必要があります。
3. データの所有者は誰ですか?
Flickr: ghindoBYODが変数として加わると、データの所有権をめぐる問題は複雑になります。デバイスの所有者がそこに保存されているデータに対する権限を持つべきだと主張するのは簡単です。しかし、企業が従業員に個人のスマートフォンやタブレットでデータにアクセスしたり保存したりすることを許可したからといって、企業が所有するデータの所有権を放棄することはできません。
ラリー・シットン氏の事例を例に挙げましょう。彼は2011年、ジョージア州で元勤務先のCEOがオフィスに侵入し、BYOD(個人所有のオフィス・デバイス)で使用していた私用ノートパソコンの個人メールアカウントにアクセスしていたことを知り、元勤務先を提訴しました。シットン氏は、従業員約120名を擁する印刷会社だった元勤務先の行為は度を越しており、プライバシーの侵害に当たると主張しました。しかし裁判所は、BYODで使用されていたため、会社にはコンピューターにアクセスする権限があるとの判決を下しました。
このような事態を防ぐための一つの方法は、データを別々のサイロに分離することです。個人データは個人ディレクトリに隔離し、企業データは会社管理のコンテナに保管します。個人データと企業データが混在しないようにし、従業員所有のデバイスから企業データに管理者がアクセスするためのBYODポリシーを定義します。
このアプローチはうまくいくかもしれないが、世界経済フォーラムのインターネットの未来に関するグローバル・アジェンダ・カウンシル副議長、ロッド・ベックストロム氏は、RSAカンファレンスのBYODパネルディスカッションにおいて、より悲観的な見解を示した。ベックストロム氏は、様々な法的およびコンプライアンス上の義務により、組織はデータを法的に分離したり、個人データの保護を保証したりできない可能性があると示唆している。結果として、企業が法的証拠開示によってデータの提出を求められた場合、雇用主と従業員の間で正式なBYOD契約が締結されているかどうかにかかわらず、BYODデバイス上の個人データが強制的に利用される可能性がある。
もう一つの問題は、現代のBYODデバイスに会社のデータが一度保存されると、その保存先を制御することが非常に困難になることです。例えば、従業員が個人所有のiPhoneに会社のデータを保存し、そのデータがiCloudにバックアップされている場合、デバイスを消去するだけではもはやデータを保護できません。どのサーバーやデバイスに会社のデータが保存されているかを把握することは、不可能ではないにしても困難です。そのため、データセキュリティの責任者であれば、実際に管理しているサーバーからデータが保存された後、どのような場所に送られるかをすべて考慮する必要があります。また、従業員がアクセス(つまり保存)できるデータは、自由に公開しても問題ない情報に限定する必要があります。
4. 壊れたらどうなるのでしょうか?
FLICKR: キャメロンパーキンス最後に考慮すべき点は、従業員所有デバイスのトラブルシューティングとサポートを誰が担当するかです。企業にとってBYODのメリットの一つは、ハードウェアとソフトウェアのサポート負担を軽減し、従業員がデバイスベンダーやワイヤレスプロバイダーと直接連携して問題を解決できることです。
一見すると良いように聞こえますが、従業員の生産性が個人のスマートフォンやタブレットの機能に左右され、それらのデバイスに問題が生じた場合、ビジネスに直接的な悪影響を及ぼします。確かに、デバイスベンダーやワイヤレスプロバイダーはトラブルシューティングやサポートの最適な選択肢であり、第一線で対応すべきです。しかし、それでもプランBは必要です。
BYODサポートの問題への対応について、従業員と協力し、期待される対応を明確にする必要があります。デバイスが操作不能な状態はどのくらいの期間まで許容されますか?会社はサポートプロセスの促進や管理に何らかの役割を果たしますか?デバイスの保証期間が切れた場合、従業員は修理費用を自己負担することになりますか?それとも会社が必要な修理費用を補助しますか?デバイスが修理不能で、従業員が交換費用を負担できない場合、あるいは交換しないことを選択した場合はどうなりますか?
BYODに関して一つ確かなことがあります。それは、物事が本当に明確であるということはあり得ないということです。BYODは人によって意味が異なります。新入社員がスマートフォンから会社のメールにアクセスすることを許可することと、経営幹部が個人のノートパソコンに知的財産を保存することを許可することとでは、リスクのレベルが異なります。
しかし、結局のところ、BYODは今後も存在し続けるでしょう。問題はBYODの有無ではありません。組織が検討すべき問題は、BYODを戦略的機会として受け入れるのか、それとも十分な管理計画なしにBYODを放置するのか、ということです。
