BYODの実施状況（2023年）／後編

後編となる本稿では、BYODのメリットやデメリット、実際に起きたトラブル事例などから、企業がBYOD導入で注意すべき点を考察する。記事の最後では「恐怖のBYOD事故事例集」を紹介する。

[キーマンズネット]

　中小企業を中心に2割を超える企業で推奨・認可されているBYOD。業務効率や生産性の向上といった面ではメリットが大きい半面、セキュリティ面で問題があるケースもあり敬遠されることもある。

　そこでキーマンズネットは「BYOD（私用端末の業務利用）の実態に関する調査」と題してアンケート調査を実施した（実施期間：2023年2月24日〜3月10日、回答件数：353件）。後編となる本稿は、BYODのメリットやデメリット、実際に起きたトラブル事例などから、BYOD導入で注意すべき点を考察する。記事の最後では、「フリーWi-Fiで漏えい、自社が踏み台に……」といった恐怖の事故事例を紹介する。

BYODのメリットとセキュリティのバランスをどう考える

　はじめに全体に対し「企業がBYODを制度として導入することによるメリット」を聞いたところ「企業が端末を調達／支給するコストを削減できる」（50.7％）、「個人で持ち歩く端末が減る」（46.5％）、「従業員が使い慣れた、好みの端末で業務できる」（43.7％）といった回答が続いた（図1）。「メリットはない」（21.8％）は2割にとどまり、全体の8割がBYODの実施有無にかかわらず何かしらメリットを感じている。

図1：企業がBYODを制度として導入することによるメリット

　従業員規模別では、100人以下の中小企業帯の実施割合が特に高く、中でも「いつでも業務に取り掛かれる」「生産性が向上する」に票が集まっていた。一般的に、組織を縦割りして業務を切り分け効率化する大企業に比べて、中小企業はグループ化できていない広範な役割を1人で担うケースが多くある。そのため、複数業務を担当するに当たり使いやすい端末を利用できる点や、場所を問わず業務ができる点で、BYODが従業員の生産性向上に寄与しているのだろう。

　反対に「企業がBYODを制度として導入することによるデメリット」では「セキュリティに懸念がある」（79.6％）、「仕事とプライベートの区別がなくなる」（68.6％）、「従業員の費用負担が増える」（51.8％）が上位に続いた（図2）。

図2：企業がBYODを制度として導入することによるデメリット

　前編で取り上げた「BYODを使いたくない」とした反対派54.7％の理由においても、セキュリティに対する懸念が多く挙げられた。個人所有の端末を利用するため携帯する機会が多く、盗難や紛失などのリスクも高まると予測される。従業員が悪意を持って業務情報を盗み、第三者に漏らす可能性もあるだろう。

　実際、グローバルインフォメーションが2022年に発表した「BYODセキュリティの世界市場：業界動向、シェア、規模、成長、機会、予測（2022〜2027年）」では、世界のBYODセキュリティ市場が2022年から2027年にかけて14.5％のCAGR（年平均成長率)で成長し、2027年には1133億7000万米ドル規模に達すると予想されている。BYODを取り巻くセキュリティニーズは世界的にみても高い傾向にある。

　企業が私物端末を管理し不正利用を防ぐことと、個人のプライベート情報を保護することといった一見相反する課題を、ルールやIT環境の整備でどこまで対応できるのか。また十分な費用対効果を得られるのかといった視点でBYODを考える必要があるだろう。

恐怖のBYOD事故事例集

　最後にBYOD運用で経験した“トラブル事例”をフリーコメントで聞いたので紹介する。まず最も注意しなくてはならない情報漏えいなどのセキュリティトラブルについては以下のような例があった。

• ソフトのインストールに制限をかけていなかった為、海外製のソフトをインストールされた際にマルウェアを仕掛けられて、至急対応が必要になった
• 個人所有の「iPad」を業務の補助として活用していたが、海外出張の際、盗難にあって紛失した
• ウイルスに感染した個人PCから会社にSSL-VPN接続してきて、警告が発せられた
• 個人のスマートフォンからフリーWi-Fi経由で会社のメールを閲覧しており、パスワードが漏えいし踏み台にされた

　サイバー攻撃者によってつくられたサイトやフリーWi-Fi経由で社内にマルウェアを持ち込んでしまうケースや、業務データを扱う端末の盗難や紛失による漏えい事故が少なくない。

　他にも「シャドーITにより管理下でない環境で機密情報が取り扱われていた」や「私用アカウントでSaaS（Software as a Service）を利用しているが制限できない」など、シャドーITが横行している状態が分かる。

　また、従業員が退職後にデータの行方が分からなくなるといった事件も起きていた。「営業が顧客との連絡を自分の携帯電話で行っており、やり取りのメッセージなどを引き継がずに退職してしまい、満足な対応ができず顧客との関係が悪化した」や「退職した従業員のPCに情報が残ってしまった（データやVPN情報など）」などのケースだ。

　このような事例からも、BYODのセキュリティは、エンドポイントへの侵入を防ぐ入口対策はもちろんマルウェア侵入後に社内での感染拡大を防ぐ内部対策、感染による外部攻撃を抑止する出口対策と多層防御の必要性が増していることが分かる。

　他には、「回線やPCに問題が発生すると仕事ができない」や「モバイルルーターの通信品質によっては音声が聞き取りにくく打ち合わせに時間がかかる」などのネットワーク不調、「光回線が遅くて使えないので自費で100Mbpsを1Gにした」「メモリカード、モバイルルーターなど、仕事で必要にもかかわらず会社になかったため自分のものを使わなければならなかった」といった費用の個人負担に関する意見が多かった。

　また「個人の時間を業務から心理的に切り離し難くなり、休日がリフレッシュにならない」や「時間外も情報が入るのは人によっては公私の管理が難しくなる」など、端末に業務情報が入ってくることで”公私混同”になりがちでストレスになっているとのケースもあった。

　今回は企業におけるBYOD導入のメリットやデメリット、実際に直面したトラブル事例を紹介した。業務効率や生産性の向上といった面ではメリットが大きい半面、マルウェア感染や情報持ち出しによる漏えい事故、BYOD費用負担や公私の線引きが曖昧なことによる不満など、懸念点が多いことも分かった。BYODに対する要望や課題をしっかり把握した上で導入メリットやデメリットを整理し、自社に必要かどうかを判断することが重要だろう。