BYOD、社外持ち出しPCとは。テレワーク時代のセキュリティ

社外持ち出しPCとは

社外持ち出しPCとは、オフィスで普段利用している机上PCや社外に持ち出すことを前提にセットアップされたPCといった会社で用意したPCを社外に持ち出して利用する形態のことです。社外持ち出しPCは、社外で業務を行う「ワークスタイル変革」を実現するにあたって、最もシンプルな方法と言えるでしょう。なお、便宜上PCと呼んでいますが、スマートフォンやタブレットなどのデバイスも含みます。

このような社外へ持ち出すことを前提としたPCの一種に、必要最低限の機能を持ち、かつ低価格が特徴の「シンクライアント」があります。シンクライアントの「シン」は英語の「thin（薄い、細い）」を意味しており、クライアント本体内に必要最低限の機能のみをインストールするというところから名付けられました。サーバー側で主な処理を行い、クライアント側にはデータを残さないという「シンクライアント」の特長が社外持ち出しにおける「データ盗難防止」などのセキュリティリスクに対して効果を発揮します。

BYODとは

BYODとは「Bring your own device」の略で、個人が保有するPCやスマートフォン、タブレットなどのデバイスを職場内に持ち込んだり、職場のネットワークに接続して業務に利用する形態のことです。また、そこから転じて、個人のデバイスから社内ネットワークや社内システム、データベースなどにアクセスすることも広義のBYODと呼ぶこともあります。

テレワークの導入にあたって、全社員分の社外持ち出しPCを一度に整備しようとすると、主に予算や調達期間といった理由から、実現が難しい場合もあるでしょう。そのような場合の打開案として、BYODは非常に有効です。個人所有のデバイスを業務に転用することで、コストを省きつつ即応性を高められます。

BYDOのメリットとデメリット

前述の通り、すでに個人が所有しているデバイスを流用するため、調達期間やコスト面で企業の負担を軽減できるのがBYODのメリットです。その反面、個人所有のデバイス特有のデメリットも存在します。

まず、デバイスやOSの種類、バージョンなどが多岐に渡るため、業務用のアプリが動作しないなどの問題が生じた場合、情報システム部門担当者のサポートは困難を極めるでしょう。

社内の情報セキュリティポリシーなどで「個人デバイス内に業務データを保存しない」というルールがあったとしても、個人デバイスを完全に管理するのは困難ですので、セキュリティ的なリスクも大きくなります。万が一、デバイスが紛失、盗難などにあった際は、速やかに情報流出に対する対策を行わなければなりません。しかし、個人所有のデバイスだからと当事者が黙っていることも考えられます。こうなると会社側ではインシデントの発生を把握できず、対策も行えません。このような事故が起こらないよう、会社側で各デバイスを管理する方法（後述）もあります。しかし、プライベートにも使用しているデバイスが会社の管理下に置かれるのは、プライバシーの侵害といった別の問題を引き起こす可能性もあります。

BYODの導入を妨げる最大の障壁が従来BYODが避けられていた最大の理由でもある「セキュリティ面での懸念」です。そのため、BYODを業務に利用するのであれば、社内情報システム部の管理下にないデバイスを利用することを前提にしたセキュリティポリシーなどのルールを策定する必要があるでしょう。例えば、BYODのデバイスはテレビ会議にのみ限定して使用するなど、利用システムや利用データ範囲、用途を制限するといった対策は有効です。また、既存の社内システムやワークフロー（運用方針）をBYODにあわせて変更するような対応も必要になるでしょう。

BYODのためのソリューション

仮にBYODで業務を行うとしても、個人所有の端末で社内のPCと同様の業務をセキュリティの対策なしに行わせるわけにはいかないでしょう。BYOD最大の懸念点であるセキュリティ上の問題をクリアするためにも、端末を管理するソリューションやセキュアに業務を行えるシステムを導入してサポートすることを検討しましょう。また、モバイルデバイスから業務を行うからといって、業務システムにインターネットから直接アクセスさせるのはセキュリティ上問題です。VPNのような、セキュアな経路の利用を必須とするといった対策も重要です。

BYODで利用する個人所有のデバイスを管理する方法の1つに「MDM」があります。MDMは、Mobile Device Managementの略でスマートフォンなどのモバイルデバイスの一元的な管理を可能にするシステムです。デバイスをMDMの管理下に置くことで、管理者がアプリケーションを一斉に配信したり、一斉にアップデートを適用したりといったことが可能になります。また、MDMの基本的な機能の1つに「リモートワイプ」があります。これはデバイスを遠隔操作して内部のデータを消去する仕組みです。もしも、デバイスを紛失や盗難などで取り戻せない状況になった場合は、情報が流出する前にリモートワイプでデータを消去するのが鉄則です。

なお、個人端末内に業務データが残ってしまうのを防ぐためには「リモートデスクトップ」や「VDI」などを利用し、そもそも最初から端末内にデータを保存しないようにするのも有効です。また、デバイスが第三者に不正利用されないように指紋認証やワンタイムパスワードなどを利用した「多要素認証」の導入を検討しましょう。

MDMとよく似たシステムに「MAM」と「MCM」があります。MAMはMobile Application Managementの略で、MDMとの違いはデバイスそのものを管理するMDMに対して、MAMはアプリケーションとデータを管理する点です。MCMはMobile Contents Managementの略で、こちらは業務に関連するコンテンツ（データ）のみを管理します。どれもデバイスが管理者の管理下に置かれるという点では同じですが、コントロールされるレイヤーが異なると理解しておけばよいでしょう。業務上セキュリティは確保しなければならないが、個人所有のデバイスやアプリケーションのインストールまで会社に管理されたくない、というような場合はMCMが有効です。

BYODとクラウド

このようにBYODを利用すれば、低コストで効率よくテレワーク環境を整え、従来よりも柔軟な働き方を実現できます。しかし、働く側が場所に縛られなくなったとしても、業務システムが従来通り社内に閉じている状態では、十分とは言えないでしょう。本当に場所を選ばない働き方を実現するには、業務システムのクラウド化も必要不可欠です。

例えば、ニフクラのプライベートLAN上に業務システムを構築し、「リモートアクセスVPNゲートウェイ」を経由してモバイルからアクセスすれば、世界中のどこからでもセキュアに業務システムを利用できるようになります。

もちろん、既存の業務フローとの兼ね合いから、いきなりすべてをクラウド化するのは難しいかもしれません。そのような場合はオンプレミスとクラウドを組み合わせる「ハイブリッドクラウド」という選択肢もあります。ニフクラでは、オンプレミスからクラウドへの移行やハイブリッドクラウドの構築をサポートするeBookを公開していますので、クラウド化を検討する際はぜひ参考にしてみてください。