コロナ禍に“なし崩し”で広がったBYODをどうする？ インシデント前に着手すべき対策

新型コロナウイルスが11波を迎え、ウィズコロナ時代に突入しました。今回は、コロナ禍でなし崩しで広がったBYODの背景を整理し、残された課題とその対策について考察します。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　新型コロナウイルスが11波を迎え、ウィズコロナ時代に突入しました。コロナ禍で急速に広まったテレワークですが、現在はフルリモートが標準ではなく、多くの企業が出社とリモートを組み合わせたハイブリッドワークを導入しています。東京都産業労働局の「テレワーク実施率調査結果 3月」によると、「テレワーク実施率」は40％台中盤で停滞しており、出社のみやフルリモートに切り替える企業は少ないようです。

　2023年、キーマンズネットで実施されたBYOD（Bring Your Own Device）に関する調査では以下の結果が得られました。

• 勤務先でのBYODの認可状況を尋ねたところ、「全社推奨」または「限定部署で認可」している企業の合計は23.3％
• 一方で、「認められていないが、現場レベルで個人端末の業務利用が起きている」（17.8％）や「推奨されていないが、個人端末の利用を前提に業務フローが構築されている」（12.5％）など、企業としては非認可・非推奨であるにもかかわらず、3割近くが黙認している

　これらのデータを合わせると、半数以上の組織でBYODが実質的に行われていることが分かります。今回は、コロナ禍でなし崩しで広がったBYODの背景を整理し、残された課題とその対策について考察します。

なし崩しでBYODが導入された経緯

　現在でも厳格なセキュリティ方針を維持している企業は存在しますが、なし崩し的にBYODを許可している企業も増えています。なぜそうなったのか、その背景を改めて整理しましょう。

SaaS導入に対する端末予算不足

　大きな要因の一つとして、「Google Workspace」や「Microsoft 365」の進化と普及、それに伴うスマートフォン対応の進展が挙げられます。かつて、文書や表計算のファイルはPCからのみアクセス可能で、携帯電話はテキストメールや簡易なHTMLメール程度しか使えませんでした。

　しかし、事務系ソフトウェアがSaaSになり、スマートフォンやWebブラウザを使ってどこからでもアクセス・編集が可能になったことで、場所にとらわれない働き方が実現しました。この流れでSaaS導入と同時に社用スマートフォンも導入すべきでしたが、SaaSだけが先行して導入され、セキュリティの許可が甘くなってしまう企業が続出しました。

コロナ禍によるテレワークと出社禁止の対応

　2020年3月以降、世界的にテレワークの導入が急速に進みました。情シスの観点から特に大変だったのは、感染者が出た際の「出社禁止対応」ではないでしょうか。

　例えば、オフィスに立ち入れなくなり、やむを得ず持ち帰っていた「iPad」を自宅から使って業務を続けるといったケースがありました。このような緊急対応では、なし崩し的にBYODが進んでいく企業も多かったでしょう。

半導体不足による端末不足

　緊急時にBYODを許可せざるを得なかった企業が追い打ちを受けた要因の一つが半導体不足です。これにより、PCやスマートフォンの調達が困難になり、結果としてBYODを許可する流れが続きました。

会社支給スマートフォンのスペック不足

　会社支給端末を選定する際はコストが大きな課題となります。最新型のスマートフォンは高価であるため、コストを抑えるために型落ちの「iPhone」や、セキュリティサポートが終了している古い「Android」端末を支給する企業もあります。

　そのような端末では、アプリが正しく動作しなかったり業務に支障が出たりすることがあり、従業員が自らの端末を使うことが黙認される流れが生まれます。

人材不足と業務委託契約の増加

　コロナ禍により、スタートアップやSaaS、DX、AIなどの分野でIT人材の需要が急増しました。これにより、エンジニアの確保が重要課題となり、採用競争が激化しました。正社員の採用が難しい中、フリーランスや副業人材などの業務委託契約が増加し、その結果としてBYODの許可が一般化しました。

　セキュリティ対策を講じたPC貸与が原則でしたが、業務委託契約の増加や前述の半導体不足、フルリモート化の影響で、別の誓約書を交わしてBYODを許可する流れが続いています。

セキュリティインシデントとBYOD

　テレワークと共にBYODが急速に広がりましたが、それと同時にセキュリティインシデントも増加しています。

端末の紛失

　企業貸与の端末であれば、棚卸しや退職時に端末の紛失が発覚するため、報告が義務付けられます。しかし、BYODの場合、端末が個人の所有物であるため、紛失しても「私物だから報告義務はない」と勝手に判断するケースが見られます。

データ持ち出しのリスク

　個人端末でのチャットツールや電子メールのやりとり、クラウドファイルサーバから機密情報をダウンロードする行為は、データの持ち出しに該当します。特に問題となるのは、退職時に顧客リストを持ち出し、転職先でそれを使用するケースです。私の耳にも、退職者を対象とした訴訟の話が時折入ってきます。

望まない端末の持ち出し

　貸与端末を社外に持ち出す際、持ち出し先や理由、期間と場所を申請する必要がある企業は少なくありません。特に国外への持ち出しは、紛失時に対応する国の法律が適用されるため、慎重な対応が求められます。

　一方、BYODではあくまで私物の端末であるため、こうした規則を適用することが難しく、社内の機密情報にアクセスできる端末が国外に持ち出されるリスクがあります。

情シスとして実施すべき対策

　最後に、BYODのリスクを軽減するために情シスが実施すべき対策についてお話します。

MDMの導入による情報アクセスの規制

　システム的なアプローチとしては、MDM（モバイルデバイス管理）の導入が有効です。MDMソリューションにはサードパーティー製品もありますし、「Windows 11」には標準で搭載されています。自社で導入しているセキュリティソリューションがBYODの要件を満たしているかどうかを確認し、プライバシー保護方針を明確にして従業員から合意を得た上で適用することが重要です。

従業員教育の徹底

　従業員教育も必須です。「Google フォーム」などを使って簡単な理解度テストを作成し、従業員に提出を求めることで、真剣に取り組んでもらえるでしょう。BYODのリスクを認識させ、個人端末であっても紛失時には迅速な報告が必要であることを徹底しましょう。

　インシデントが発生した際、経営層から「なぜこのような事態が起きたのか」と責任を問われることもあります。平時から注意喚起をしていたことを示す事実が、いざというときに情シス自身を守る手段となるので、ぜひ従業員教育を推進してください。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito