情報セキュリティマネジメント試験 用語辞典
- 分野:
- 情報セキュリティ対策
技術的セキュリティ対策 - 出題歴:
- H28年春期問11
- 重要度:
- ★★★
(Wikipedia BYODより)BYOD (Bring your own device、ビーワィオーディ)は、従業員が個人保有の携帯用機器を職場に持ち込み、それを業務に使用することを示す。日本語では、私的デバイスの活用、私有IT機器の業務利用、自分の所有するデバイスを持ち込むなど、安定した訳語がなく、元の英文の頭文字の略語であるBYODで表記される場合が多い。BYODの語は、海外のレストランで、酒の持ち込みを許可するという意味のレストラン用語(BYO、Bring Your Own)から来ている。
BYODにおいては、単純に機器の持ち込みのみでなく、持ち込んだ携帯機器を用いて、アクセス制限をされた企業保有の情報(電子メール、ファイルサーバ、データベースなど)に、アクセスをすることを考えており、それに伴う方針や考え方も含んで議論される場合が多い。また、一部ではBYODは機器の持ち込みのみではなく、機器上で動作するソフトウェア(例えば、ウェブブラウザ、メディアプレイヤー、アンチウイルスソフトウェア、ワープロなど)で情報を扱うために、BYOT(Bring your own technology)、BYOB(Bring your own behaviour)などの表現を使用する場合もある。
また、類似する用語として、自分の業務に役に立つアプリケーションの持込み(BYOA - Bring Your Own Application)という語も存在する。
普及状況
BYODは国により差はあるものの、ビジネスの場においては大きな潮流となっている。BYODの普及率は後述の様に調査結果により大きく差があるものの、日本において20〜50%、海外においては、40〜90%とされている。
日本
日本での米ヴイエムウェアによる調査結果(2012年1〜2月実施)では、個人機器を業務に使用する比率は22%と、他の国と比較して低い結果となっている。一方、トレンドマイクロが2012年6月に行った調査では、約5割の従業員がBYODを利用している一方で、企業側としては、BYODに許可を与えている企業が約13%、禁止している企業が約29%と制度として追いついていない状況との報告がある。
海外
前述のヴイエムウェア社によるアジア・オセアニア各国における調査では、韓国が96%、中国が94%と、日 本以外は50%以上の結果となっている、ヨーロッパで約5割〜7割の企業がBYODを容認している結果となっている。また、米国政府のITスタッフや一般職員対象の調査では、62%の省庁がBYODを認めており、実際に4割の職員がBYODを使用している結果となっている。
なお、BYODの利用と言っても、全ての情報にアクセスできるとは限らない。企業によってその利用のレベルは様々である。会社の保有している情報までのアクセスを許可する場合もあれば、インターネットアクセスに限定する場合もある。
課題
BYODは個人所有の機器を業務に用いるため、いくつかの課題が存在する。これらの課題は、一度解決して完了するものでは無く、課題解決の計画と実施、改善を繰り返し行うことで生産性の高いBYODが可能となる。
情報管理
管理されない機器を業務に用いた場合、情報漏洩につながる可能性がある。例えば、従業員が会社のネットワークにアクセスしたスマートフォンを紛失した場合、このスマートフォンに残る秘密情報が、外部に流出する潜在的な危険性が存在する。
このため、従業員は自分の機器をパスワード保護するだけでなく、企業がそれらの機器を遠隔操作し、機器に残るデータを消去する手段を保有しなくてはならない。そのためには、電話やタブレットなどのBYOD機器に情報漏洩防止用のアプリケーションをインストールする必要がある。ただし、この遠隔操作でのデータ消去は、データが流出する前で、機器の電池残量があり、機器が通信圏内になければ利用できない。
同時に、従業員が保有するプライベートデータを管理する場合には、企業と従業員間での交渉・合意が必要となる。接続時のセキュリティ
BYODにおいて、ネットワークアクセスの管理と制御は大きな問題である。自由に利用可能なセキュリティなしの無線ネットワークと異なり、BYODが要求する秘密性は、WPA2-Enterpriseの様な安全な無線通信プロトコルを利用する必要がある。このWPA2-Enterpriseは次の3つの形の無線通信のセキュリティを提供するものである。(1)無線暗号化:送信においてトラフィックが守られることを保証する。(2)ユーザー認証:認証されたユーザーのみがネットワークに接続することを保証する。(3)ネットワーク認証:ユーザーが本当に正しいネットワーク(悪魔の双子ではない)に接続することを保証する。
複数の環境
BYODは個人機器の利用であるため、全てのユーザーが同一の環境や機器を利用していない場合が多い。これをどうするかも問題となる。例えば、職場の環境や他の従業員がリナックスを利用している場合に、従業員が持ち込んだOS Xなどの他のOSを利用したラップトップPCに対する対応をどうするのかという問題である。また、同一のOSであっても、利用環境や機器の性能により、組織で利用しているソフトウェアやアプリケーションをそのまま利用できるのかという、互換性などの問題がある。
従業員への負担と機器の損害に対する補償
従業員が個人の機器を仕事に用いる場合、従業員に機器の購入を行わせるために予想外の支出となる課題、その機器が従業員のミス以外の理由により物理的に損害を受けた場合、その責任の所在が課題がある。
ルール制定
前述のトレンドマイクロの調査。
賛否
BYODに関しては賛否両論が存在する。
賛成側の意見としては、BYODの利用は従業員の生産性を向上させ、企業が最新で高額の情報機器を従業員に提供する場合にかかる金額を低減することができるとしている。但し、これは一方で個人に対する負担増とも考えられる。また、個人の機器の利用であるため、従業員は自分で利用したい機器を選択することが可能である
。反対側の意見としてはBYODを「自分で危険性を持ち込む('Bring Your Own Danger')」や「自分で災いを持ち込む('Bring Your Own Disaster')」と表現されるように企業情報の漏洩などを懸念している。また、情報漏洩発生時には対応にかかるコストが多額になるため、コスト削減に否定的な意見もある。
また、情報機器の購入手当・月額コストなどが賃金に特別手当として上乗せされない限り、従業員に対するフリーライドであり、「事実上の賃下げ」ではないのかという意見もある。また、当該機器の個人使用のニーズがない者にとっては、業務上の利用のために購入を強いられることになる。逆BYOD(Inverse-BYOD)
Inverse-BYOD(日本語に訳すと逆BYOD)とは、BYODと逆の形態で、企業が従業員に、業務及び適切な個人利用において使用可能な状態で、ネット接続可能な機器を提供するものである。逆BYODでは、企業内部のネットワークへの接続において、アクセスポリシーなどの規約に基づき制限をかける。例えば、一般的で開放されたインターネット接続(商用ISPや携帯サービスに接続されたWiFiのなど)からの接続を拒否し、機器の脆弱性などに対するセキュリティ保護対策を必須とする。
また、逆BYODでは、インターネットに起因するリスクを低減することにより、企業ネットワークにおけるセキュリティ耐性を向上させる。これは、広帯域を占有するトラフィック(例えば動画)を、管理がほとんどされていないネットワークに置くことにより、ネットワークのパフォーマンスを向上させ、リスクに対するフィルタリングを減らすことにより、ユーザーのインターネット接続環境を向上させる。(企業が電子メールやリモートデスクトップやウェブポータルの様なインターネットを介したサービスを提供していると仮定するなら)、広帯域の接続と待ち時間の短縮は携帯性を向上させる。従業員は最新技術の機器・環境を利用できるため、モラルも向上させる。
それ以外のセキュリティ上の特徴として、ユーザーが自分の機器を仕事に利用する際のリスクを負わなくても良い。ネットワークアクセスに、よく分からない、信用できない個人機器を使用する必要がないためである。
高価値の知的財産を取り扱うネットワークでは、信頼できる逆BYODを使用する方がコスト低減となる。逆BYODは、Business-Owned Internet Device、BOID(訳:企業保有のインターネット機器)や、Government-Owned Internet Device、GOID(訳:政府保有のインターネット機器)とも呼ばれることがある。
出題例
[出典]情報セキュリティマネジメント 平成04年春期 問24[出典]基本情報技術者 平成25年秋期 問40
- 従業員が企業から貸与された情報端末を,客先などへの移動中に業務に利用することであり,ショルダハッキングなどのセキュリティリスクが増大する。
- 従業員が企業から貸与された情報端末を,自宅に持ち帰って私的に利用することであり,機密情報の漏えいなどのセキュリティリスクが増大する。
- 従業員が私的に保有する情報端末を,職場での休憩時間などに私的に利用することであり,社内でのセキュリティ意識の低下などのセキュリティリスクが増大する。
- 従業員が私的に保有する情報端末を業務に利用することであり,セキュリティ設定の不備に起因するウイルス感染などのセキュリティリスクが増大する。
「技術的セキュリティ対策」の用語
「情報セキュリティ対策」の他の分野
「セキュリティ」の他のカテゴリ
このページのWikipediaよりの記事は、ウィキペディアの「BYOD」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。
Pagetop