サイバー攻撃対策

テレワークによって活用が進むBYODとは?
メリット/デメリットとセキュリティ対策

  • TOP
  • 課題から探す
  • テレワークによって活用が進むBYODとは?メリット/デメリットとセキュリティ対策

法人のお客さまに起こりがちな状況

コロナ禍でテレワークを実施する企業が大幅に増えました。その中で、中小企業では自宅で仕事をするにあたって「自身が利用している端末を使って業務を行ってほしい」と言われるケースが出てきています。

このプライベート端末を利用して業務を行うことをBYODと呼びます。BYODの正しい意味やメリット/デメリット、情報セキュリティの観点で注意すべき内容などについてご紹介します。

BYODとは?

BYODは「Bring your own device」の略称で、プライベート端末を業務用としても利用することを意味します。「デバイス」とある通り、本来はプライベートの端末を使用する場合すべてBYODと言えるので、出張時などに個人携帯で会社や取引先とのやりとりを行ったりするケースもBYODのひとつです。

しかし、現在一般的に呼ばれているBYODは、大体の場合、プライベート端末を利用してPC作業をすることを指しているケースが多いようです。

今回は、PCでのBYODについて、その意義やメリットをご説明します。

なぜBYODが利用されるのか?

従来はBYODを実施しているのは限られたごく少数の企業のみでしたが、コロナ禍によって状況が変わり、実施する企業が増えてきています。

IPA(情報処理推進機構)が実施した「テレワークにおける実施およびルール策定の状況、実施に伴う業務委託に関する不安に関する調査結果」によると、テレワークで利用するPCは8割以上が会社支給となっています。ですが、この結果を裏返すと約2割はプライベート端末を利用してテレワークを実施しているのも現状です。

参考:テレワークにおける実施およびルール策定の状況、実施に伴う業務委託に関する不安に関する調査結果(情報処理推進機構)

もちろん、もともと会社の方針としてBYODを推進しており、テレワークの実施においてはそれをそのまま継続しているケースも存在します。しかし、同時に企業の財務的な観点での課題が隠されているケースもあるのです。

多くの企業ではバックオフィス(いわゆる事務方)でデスクトップ端末を利用しています。これはデスクトップ端末の方が同一スペックで比較したときに安価なケースが多いこと、原則社内での業務が想定されていたことにより持ち運びを考慮する必要がなかったことなどが要因です。

しかし、コロナ禍によってテレワークが実施される場合、デスクトップ端末は非常に厄介な存在となります。テレワークをするために自宅にデスクトップ端末を持ち運ぶのは、非常に労力がかかるためです。

さらに中小企業の体力では新たにノートPCを必要数分買い足すだけの財務的な余裕がないケースも想定されます。

結果、BYODは苦肉の策として、導入されるケースが出てくるのです。

BYODのメリットとデメリットは?

BYODのメリットを整理すると、大きくは以下の3つに集約されます。

  • 追加投資が必要ない
    BYODはその名の通り個人端末を業務として利用することを指します。会社が購入した端末を個人に貸与するのであれば、当然1台当たりのコスト×人数分の費用が発生します。しかし、BYODを実施すると個人がすでに持っている端末をそのまま業務に転用してもらえるため、企業として追加投資の必要がなくコストや維持費を節約することができます。
  • 個人個人で使い勝手の良い端末を利用できる
    人にもよりますが、個人端末の方が会社のものよりもハイスペックであるケースがあります。また、ルールが定められている会社端末の場合どうしても業務効率化のためのカスタマイズが行えないため個人端末の方が使いやすいという人もいるはずです。
  • ヘルプデスク工数の削減
    使い慣れている端末を利用するため「よくわからないけどエラーが出た」等のケースが発生する確率が相対的にさがります。結果として、情シス担当者のヘルプデスク工数が削減できる場合があります。

逆にBYODのデメリットは以下の通りです。

  • ソフトウエアのライセンスが追加コストとして発生する
    各自が自身の持つ端末を使用するBYODですが、表計算ソフトや会計ソフト等、業務に必要なソフトウエアが入ってないケースは当然想定されます。そうなると当然その部分については、追加コストが必要となってしまうのです。
  • 仕事とプライベートの境目があいまいになる
    BYODになると、プライベートで使用しているときでも「そういえばあの案件、そろそろ返信来ているかな?」「今思いついたアイデアをまとめておこう」などと思ったときに、目の前の端末をそのまま活用できてしまいます。結果として、仕事とプライベートが混ざった状態になってしまい、労務管理が非常に煩雑になってしまいます。
  • 情報セキュリティレベルの統一が困難
    貸与端末の場合事前に定められたスペックの端末に決められたセキュリティソフトを入れ、会社として定めているセキュリティレベルに達していることを確認のうえ渡しているはずです。しかし、BYODの場合、個人個人が好きな端末を使用しているため端末の状態はまちまちで、中にはサポートが切れているOSを使用していたり、セキュリティソフトを入れていなかったりするケースもあるのです。

上記の通り、お金がかからないと思いきや、ソフトウエアのコストが思いのほかかかってしまったり、セキュリティレベルにリスクを抱えたままテレワークを行わないといけなくなってしまったりするケースが出てきてしまうのがBYODの実情です。

ですが、例えばソフトウエアのライセンスについては、使用ソフトをクラウドサービスにすることで端末に依存せずどこでもアクセスが可能になります。

さらには、業務と切り分けるために端末内に業務用のユーザーアカウントを別に作成してもらうことで、労務管理を適正化することも考えられます。

今後導入予定の企業については、こうしたメリットとデメリットをてんびんにかけ、どちらの方が大きいのかを判断したうえで検討を進めるのが失敗しない方法と言えます。

BYODでセキュリティレベルを高めるためには?

企業としてセキュリティレベルの低下は大きなリスクを抱えることになります。特に個人情報漏えいや機密情報の漏えいが発生することは企業存続に直結する重大な問題です。

こうした問題に対処するためには、総務省が出しているテレワークセキュリティガイドラインが参考になります。

参考:テレワークセキュリティガイドライン 第4版(総務省)

テレワーク環境下においては、「ルールの整備」「人の教育」「技術の導入のバランス」をきちんと取って、セキュリティレベル全体の底上げが重要となります。ルールがなければ何が正解かがわからず、ルールがあっても守ってもらえなければ意味がなく、ルールを守っても人間には判別(対応)できない攻撃があれば防ぐことができません。

牛乳パックの1つの面に穴をあけてしまうと、他の面に穴が開いていなくても穴の位置まで中身がこぼれ続けてしまいます。どれかひとつでもかけてしまうと、そこがセキュリティリスクとなりインシデントが発生してしまう可能性が出てきてしまうため、自社の方針も含めてきちんと整備しなければなりません。

また、テレワークにはさまざまな方法での業務遂行の方法があり、ガイドライン内では6つに分類されています。

  1. リモートデスクトップ方式
  2. 仮想デスクトップ方式
  3. クラウド型アプリ方式
  4. セキュアブラウザ方式
  5. アプリケーションラッピング方式
  6. 会社PCの持ち帰り方式

自社の方式がどれにあたるか(複数の方式が存在するケースもあります)によっても対処方法が異なるため、現状をしっかりと把握しておく必要もあります。

詳しくは以下のページで解説しているので参考にしていただければと思います。

総務省「テレワークセキュリティガイドライン」の解説

なお、上記の中でも「2.仮想デスクトップ方式」はリモートデスクトップ方式のように端末自体を会社で準備しておく必要もない(端末の設置だけではなく、電源を自動でONにすることなどを含めます)ことから中小企業でもセキュリティを担保しつつ比較的取り組みやすい組み合わせと言えます。近年クラウド型のサービス提供も行われており、サーバの運用管理もベンダーに委託できるため、保守性も非常に高いのが魅力です。

また、法人向けのソリューションにおいては一部個人向け端末へのライセンス導入がNGのケースがあります。この場合も、仮想デスクトップであれば管理主体が法人のため、導入を滞りなく進めることができるなどセキュリティレベルの維持においてもメリットが大きいことが挙げられます。

自社の状況次第ではありますが、可能な選択肢が複数ある場合は参考にしていただければと思います。

BYODは金銭コストと運用コストのバランスを考えセキュリティレベルの維持を最優先に

BYODはうまく活用できればコストの増加を抑えつつES(従業員満足度)も上げられる施策と言えます。しかし、そのためにはデメリットに対する対応、中でもセキュリティレベルの維持のための体制整備は重要項目です。

方針の策定、現状の把握、リスクの洗い出し、対応方法の検討、検討案の実行と、情シス担当者は経営者と一体となり、業務効率最大化に向けた提案を検討し実行していく必要があります。

当然情シス担当者ひとりでの対応には限界があるので、ツールやソリューションによる解決もひとつの方法です。うまく活用し、リスクの低減とリソースの開放を実現しながらBYODを稼働させましょう。

トレンドマイクロからのアドバイス

BYODは、うまく運用できれば投資額を抑えつつ業務効率を上げられるテレワークの選択肢のひとつです。

トレンドマイクロでは、テレワーク時のセキュリティリスクに対応できるソリューションを数多く持っています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

※VBBSSのBYOD端末への導入はライセンス上認められておりません

事前予防と事後対処を実現するエンドポイントセキュリティ

Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。

管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。

※Trend Micro Apex One SaaSのBYOD端末への導入はライセンス上認められておりません

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Trend Micro Security Assessment Service

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り