BYOD
あらまし †
Bring Your Own Deviceの略で、個人(従業員)が所有するデバイスを業務に持ち込むこと。
米国など海外ではスマートフォンやタブレット端末などのモバイルデバイスが登場する以前から採用されていたが、日本ではあまり馴染みのない考え方で、最近ようやく日の目をみてきた。
(私物の持ち込み自体を禁止するどころか、業務端末の外部持ち出しすら禁じている企業もある)
採用のメリットは言うまでもなく調達費用が安いことで、いくらボリュームディスカウントを利かせたからといってもスマホやタブレットは一台数万円はするため数百台〜数千台規模となると相当な投資が必要となるが、これを採用することで調達費用を抑えることができる。
また、単純にスマホを2台持ち歩くという非合理を避けられるし、1台にまとまっていた方が便利なのは間違いない。
更に言えば、いくら軽くて小さいといっても2台も持ち歩いていれば邪魔であるし、紛失リスクも高まる。(私見だが、人は複数のモノがあったとき、重要でないと判断した方の扱いが雑になりがち)
導入の課題 †
Jailbreakやroot化をどう防ぐ? †
Jailbreakやroot化された端末は、OSやデバイス自体に対して通常は行うことのできない設定変更、更に言えば非正規の改修を行うことができるようになる。
一般的なセキュリティ対策ソフトなどはいちアプリとして動作するため、OSやデバイスの仕様に立脚しているが、Jailbreakを行った端末やそれに侵入したマルウエアの動きを検知できなくなってしまう。
画面のレイアウト変更など悪意のない変更をするためにJailbreakされることも多く、その方法はカスタマイズの一方法としてWebで公開されていたりもする。
せっかくセキュリティ製品やMDM製品を導入しても、これでは意味を成さなくなってしまう。
これを検知する仕組みの導入は必須かと思う。
持ち主と会社は、どちらが強い? †
上記にも関わる部分だが、業務利用を前提とするからには様々な制約は必要であるが、持ち主と会社はどちらが強いのか?
「どんな使い方をしようとも、私が買ったのだから私の勝手だ」という人もいるだろうが、そうはいかない。
Jailbreak/root化はしてはならないし、データ管理の方針にも従ってもらわなければならない。また、紛失や盗難の際に行うリモートワイプで思い出の写真が消えてしまっても諦めてもらわなければならない。
こういったことを相互に同意した上でBYODを採用しなければならないし、それに強制力を持たせるための書面の取り交わしは欠かせないと考える。
データについてはプロファイル等で切り分ける方法もあるが、それにしても、何をもって個人と会社とを切り分けるかというテーマもある。
費用の負担 †
そんな面倒くさい思いをしたり、色々な制約を課せられてまで私物を利用する従業員側のメリットはなんだろうか?
ひとつは、複数台持ち歩きたくない・統合したいという利便性、もう一つは費用負担だ。
しかし、会社側が端末費用や通信費の一部を補助してくれるならばそれは大きなベネフィットと言えるが、公平感のあるガイドラインを定めることは簡単ではなく、実際に測定するのも手間だ。
小規模事業者など「常識の範囲内で、会社が負担する」という紳士協定が通用するならば良いが、大企業であれば明確な仕切りが求められる。
一方、BYODに対し「推進しないが、許可はする」という方針を掲げるならば、そのメリットは従業員の個人的なものだとして企業側で費用負担しないという場合もあるようだ。
労務と法律 †
採用事例自体も多くなく、またその歴史も浅い日本では、判例が充分に挙がっていない。
必ずしも私物か否かに関わらないが、オフィスにいない間も仕事ができるようになるモバイルデバイスの利用は、その使用時間をそれは労働時間として看做すか?という問題がある。
海外はわからないが、過保護に守られている労働者からは「お給料も発生しなければならない」「労災の対象だ」と言う人も出てくるのではないだろうか?
これも紳士協定でやっていくことができる規模であったり、裁量労働制の管理職であればよいのだが、一般従業員が利用するとなると、こういったリスクもあるかと思う。
事例から見る採用のポイント †
?C社 †
・BYOD端末のセキュリティレベルを、会社が用意している端末と同等レベルで管理
・BYOD用にセキュリティポリシーを刷新
・セキュリティリスクから、BYODを許可する端末をiPhoneのみに(Androidは不可)
・端末を絞ることで管理工数も集約
・その他システムとの接続は今後の課題として、モバイルデバイスからの利用する業務情報はメールとスケジュール管理に集約
?F社 †
・リスクの種類とその対応およびサポート内容や費用負担について明確に取り決め、従業員に責任と役割を正しく理解してもらう
・その内容を合意書として書面に残す
個別トピック †
iCloudについて †
Apple社は、基本的に企業や管理ニーズよりも個人の利便性を優先する。
その最たるものがiCouldだと言われており、これからは端末内のファイルもメールもアプリも何もかもがiCloudによって同期されるらしい。
EvernoteやDropboxを使用している人にはわかるかと思うが、これは相当便利だと思われる。データ同期はバックアップという意味もあるので、買い替えや代替機への復元の際も使い勝手が上がるかと思う。
これはモバイルデバイスの利便性を向上させるのだが、情報セキュリティの観点からは企業の機密情報が複数の場所にバラ撒かれることにもなるため、ノーケアではいられない。
もしiCloudからデータが流出したり、所有者以外の端末にバックアップ情報をリストアできてしまったら。
それはiCloudでなくとも何にだって言えることだ、という人もいるだろうが、仮にそういったことが発生した時にApple社は何ら責任を負わないことは確かだと思われ、無策ではいられない。
それを考れば、最も簡単な対応は「あれもダメ」「これもダメ」形式の思考停止なのだが、iPhone/iPad以外の製品がシェアの奪回に乗り出してくるとしたら、こういったところがポイントになるのかもしれない。
参考URL †
【5分でわかる最新キーワード解説】企業ITの運用思想を変えるBYOXのXとは?
MDMで私用/業務データの分離も可能に、「BYOD」支援製品の最新動向
シマンテック、Nukona を買収し、BYOD (個人デバイスの持ち込み) への対応を強化
会社のポリシーに違反する「BYOD社員」が深刻な問題に
BYOD解禁で個人情報が丸見えに――原因と対策は?
【事例】DeNAがBYODをやめた理由
コメントはありません。 コメント/BYOD?