BYODは「Bring Your Own Device(個人所有デバイスの業務使用)」を意味し、従業員、請負業者、その他の許可されたエンド・ユーザーが企業ネットワーク上で自分のノートPC、スマートフォン、その他の個人用デバイスを使用して企業データにアクセスし、職務を遂行できる時期と方法を規定する、企業のITポリシーを指します。
BYODは、2000年代後半にiOSやAndroidのスマートフォンが登場し、当時の標準的な会社支給の携帯電話よりもこれらのデバイスを好む労働者が増えたことに合わせて出現しました。 リモート・ワークやハイブリッド・ワークの増加、ベンダーや請負業者への企業ネットワークの開放により、BYODポリシーをスマートフォン以外にも拡大する必要性が加速しました。 ごく最近では、新型コロナウイルス感染症のパンデミックと、それに続く半導体チップ不足やサプライチェーンの混乱により、より多くの組織がBYODポリシーを採用し、新入社員が会社支給のデバイスを待っている間にも働けるようにする必要に迫られました。
通常、BYODポリシーは、CIOやその他の上級のIT意思決定者によって作成され、従業員が所有するデバイスを職場で使用するための条件と、エンド・ユーザーがデバイスを使用する際に遵守する必要があるセキュリティー・ポリシーを定義します。
BYODポリシーの詳細は組織のBYOD戦略の目標によって異なりますが、ほとんどのデバイス・ポリシーで以下のいくつかのバリエーションを定義しています。
許容される使用:通常、BYODポリシーでは、従業員が仕事関連の作業に個人用デバイスをいつどのように使用できるかの概要を示します。 例えば、許容される使用のガイドラインには、仮想プライベート・ネットワーク(VPN)を介して企業リソースに安全に接続するための情報や、承認された業務関連アプリケーションのリストが含まれる場合があります。
許容される使用のポリシーでは、多くの場合、企業の機密データを従業員所有のデバイスを使用してどのように処理、保存、送信する必要があるかを規定します。 該当する場合、BYODポリシーには、医療保険の相互運用性と説明責任に関する法律(HIPAA)、サーベンス・オクスリー法、一般データ保護規則(GDPR)などの規制に準拠したデータ・セキュリティーおよび保存のポリシーが含まれる場合もあります。
許可されるデバイス:BYODポリシーには、従業員が仕事で使用できる個人用デバイスの種類や、オペレーティング・システムの最小バージョンなどの関連するデバイス仕様の概要が示されている場合があります。
セキュリティ対策:通常、BYODポリシーでは、従業員のデバイスに対するセキュリティー基準を設定します。 これには、パスワードの最小要件や2要素認証ポリシー、機密情報のバックアップに使用するプロトコル、デバイスの紛失や盗難の際に従うべき手順などが含まれます。 また、セキュリティー対策では、モバイル・デバイス管理(MDM)ツールやモバイル・アプリケーション管理(MAM)ツールなど、従業員がデバイスにインストールする必要があるセキュリティー・ソフトウェアを規定する場合もあります。 これらのBYODセキュリティー・ソリューションについては、以下でさらに詳しく説明します。
プライバシーと許可:通常、BYODポリシーでは、従業員の個人データと企業データの分離を維持する方法など、デバイス上の従業員のプライバシーを尊重するためにIT部門が実行する手順の概要を示しています。 また、このポリシーには、従業員のデバイスに対してIT部門が必要とする特定の許可(インストールする必要がある特定のソフトウェアや、制御する必要があるアプリケーションなど)の詳細も記載される場合があります。
償還:企業が従業員に個人用デバイスの使用にかかる料金を支払う場合(デバイスの購入に対する給付金、インターネットやモバイル・データ・プランに対する助成金の支給など)、BYODポリシーで、償還の処理方法や、従業員が受け取ることができる金額の概要が示されます。
ITサポート:BYODポリシーでは、故障した個人用デバイスや正常に機能していない個人用デバイスのトラブルシューティングを従業員が行う際に、企業のIT部門の支援をどの程度受けられるのか(または受けられないのか)を規定している場合があります。
オフボーディング:最後に、通常、BYODポリシーは、従業員が会社を退職したり、BYODプログラムからデバイスの登録を解除したりする場合に実行する手順の概要を示します。 これらの終了手順には、多くの場合、デバイスからの企業の機密データの削除、ネットワーク・リソースに対するデバイスのアクセス権の取り消し、ユーザーまたはデバイス・アカウントの廃止の計画などが含まれます。
BYODプログラムは、会社支給のデバイスではIT部門がめったに遭遇することのない(あるいは遭遇する程度が低い)デバイス・セキュリティーに関する懸念を引き起こします。 従業員のデバイスにハードウェアやシステムの脆弱性が存在すると、企業の攻撃対象範囲が拡大し、ハッカーが企業のネットワークに侵入して機密データにアクセスする新たな手段を手に入れる可能性が生じます。 従業員は、個人用デバイスでは、会社支給のデバイスの使用時に行うよりもリスクの高いブラウジング、Eメール、またはメッセージングの行為を行う可能性があります。 個人使用が原因で従業員のコンピューターに感染したマルウェアが、企業ネットワークに容易に拡散する可能性もあります。
会社支給のデバイスを使用すると、デバイスの設定、構成、アプリケーション・ソフトウェア、許可をIT部門が直接モニターおよび管理することで、このような問題や類似の問題を回避することができます。 しかし、ITセキュリティ・チームが従業員の個人用デバイスに対して同様の制御を行うことは現実的ではなく、また従業員もそのようなレベルの制御には不満を持つでしょう。 時間の経過とともに、企業はBYODのセキュリティー・リスクを軽減するために、他のさまざまなテクノロジーに目を向けてきました。
仮想デスクトップ
仮想デスクトップは、仮想デスクトップ・インフラストラクチャー(VDI)またはサービスとしてのデスクトップ(DaaS)とも呼ばれ、リモート・サーバーでホストされている仮想マシンで実行される、完全にプロビジョンされたデスクトップ・コンピューティング・インスタンスです。 従業員は、通常は暗号化された接続またはVPNを介してこれらのデスクトップにアクセスし、基本的に個人用デバイスからリモートで実行します。
仮想デスクトップを使用すると、すべての処理が接続先で行われ、個人用デバイスにアプリケーションがインストールされたり、企業データが個人用デバイスで処理または保存されたりすることもありません。これにより、個人用デバイスに関連するセキュリティーの懸念のほとんどが実質的に排除されることになります。 しかし、仮想デスクトップは導入と管理にコストがかかる可能性があります。また、インターネット接続に依存しているため、従業員がオフラインで作業する方法がありません。
クラウド・ベースのSoftware-as-a-Service(SaaS)は、少ない管理オーバーヘッドで同様のセキュリティー上のメリットを提供できますが、エンド・ユーザーの行動に対する制御もわずかに低下します。
デバイス管理ソリューション
BYOD以前は、組織はモバイル・デバイス管理(MDM)ソフトウェアを使用して、会社支給のモバイル・デバイスを管理していました。 MDMツールを使用すると、管理者がデバイスを完全に制御できるようになります。ログオン・ポリシーおよびデータ暗号化ポリシーの適用、エンタープライズ・アプリケーションのインストール、アプリケーション更新のプッシュ、デバイス・ロケーションの追跡、デバイスの紛失、盗難、その他のセキュリティー侵害が発生した場合のデバイスのロックおよび/またはワイプを実行できます。
従業員が仕事で自分のスマートフォンを使い始めるまでは、MDMは許容可能なモバイル管理ソリューションでしたが、ITチームが個人のデバイス、アプリケーション、データをこのレベルで制御できるようにすることにはすぐに反発が起こりました。 それ以来、個人用デバイスのユーザーや従業員の働き方が変化するにつれて、新しいデバイス管理ソリューションが登場してきました。
モバイル・アプリケーション管理(MAM):MAMはデバイス自体を制御するのではなく、アプリケーション管理に重点を置き、IT管理者に企業のアプリケーションとデータのみを制御することを許可します。 MAMは多くの場合、コンテナ化、つまり個人のデバイス上のビジネス・データおよびアプリケーション用の安全なエンクレーブを作成することでこれを実現しています。 コンテナ化により、IT部門はコンテナ内のアプリケーション、データ、およびデバイス機能を完全に制御できるようになりますが、コンテナ外の従業員の個人データやデバイス・アクティビティーに触れることはもちろん、見ることもできなくなります。
エンタープライズ・モビリティー管理(EMM):BYODへの参加が増加し、スマートフォンからタブレットへ、そしてBlackberry OSやApple iOSからAndroidへと拡大するにつれて、企業ネットワークに導入される新しい従業員所有のすべてのデバイスにMAMで対応するのが難しくなってきました。 この問題を解決するために、すぐにエンタープライズ・モビリティー管理(EMM)ツールが登場しました。 EMMツールは、MDM、MAM、およびIAM(IDおよびアクセス管理)の機能を組み合わせたものであり、IT部門は、ネットワーク上のすべての個人所有および会社所有のモバイル・デバイスを単一プラットフォームの単一ペインで表示できるようになります。
統合エンドポイント管理(UEM): EMMの欠点の1つは、Microsoft Windows、Apple macOS、Google Chromebookのコンピューターを管理できないことでした。これは、自分のPCを使用してリモートで作業する従業員やサードパーティーが含まれるようにBYODを拡張する必要があったため、問題でした。 UEMプラットフォームは、このギャップを埋めるために登場し、モバイル、ノートPC、デスクトップのデバイス管理を1つのプラットフォームにまとめました。 UEMを使用すると、IT部門は、あらゆるオペレーティング・システムを実行するあらゆる種類のデバイスのITセキュリティー・ツール、ポリシー、およびワークフローを管理できます。それらがどこから接続されているかは関係ありません。
BYODが組織にもたらすメリットとして最も多く挙げられるのは、以下のようなものです。
BYODがもたらすこれらのメリットおよびその他のメリットは、従業員と雇用者にとっての課題とトレードオフによって相殺される可能性があります。
UEMを使用すると、ITチームとセキュリティー・チームは、1つのツールを使用して、ネットワーク上のすべてのエンド・ユーザー・デバイスを一貫した方法でモニター、管理、保護できます。
IAMを使用すると、IT管理者は、各エンティティーに単一のデジタルIDを割り当て、ログイン時に認証し、指定されたリソースへのアクセスを許可し、ライフサイクルを通じてIDをモニターおよび管理できます。
モバイル・セキュリティーは、モバイル・デバイスと通信ハードウェアをデータや資産の損失から保護します。