BYODポリシーって何?必要なものは?効率的に制作するには?
オックスフォードエコノミクスによる調査によれば、雇用主は呼び出しにすぐに応じることができることを高く評価しており、8割の従業員がモバイル端末なしでは効率的に動くことができないと語っています。加えて、企業はいまや、従業員自身の使い慣れた端末を使えるようにすれば生産性の向上という利益がうまれることを認識しています。結果として、39%の組織が端末持ち込み(BYOD)ポリシーを施行しています。
BYOD戦略は企業にとって必要不可欠です。というのも、とりわけサイバーセキュリティの面で、すべての従業員の端末を企業のポリシーに合致させることができるからです。この記事をさらに読み進めて、ベストプラクティスのための便利なtipsを学びましょう。
1BYODポリシーとは? どんな端末に適用される?
現代的な企業は従業員が自分が個人的に所有している端末を用いることを許可しています。企業にとっては資本コストの節約になりますし、ユーザーにとっては使い慣れた端末で安心できることになります。
スマートフォン、ラップトップ、PC、タブレット、USB、そしてスマートウォッチでさえがいまや職場にかかせません。
しかしながら、適切な個人端末ポリシーを設けて安全な使用を促さない限り、こうした端末は繊細な情報の喪失や、ネットワークのマルウェア感染、コンプライアンス上の問題を生み出し、企業のIT部門に過剰な負担をかけてしまいます。
それでは、BYODポリシーとはなんなのでしょうか?
BYODポリシーは業務中のモバイル端末の使用に関するガイドライン、プライバシーポリシー、免責事項、規則を組み合わせたものです。従業員は対面でポリシーに署名し、端末に言及し、業務で個人端末を使うリスクとコストを確認しなければなりません。BYOD端末ポリシーは企業と従業員の権利を双方向で保護します。
2企業がBYODポリシーを施行するにあたっての利点とリスク
他のポリシー作成と同じく、利点とリスクが伴います。以下に、BYODポリシーの長所と短所をまとめました。様々な側面から検討しましょう。:
利点
- コスト削減:
シスコによれば、BYODストラテジーを採用することで、企業は従業員ひとりあたり341ドルを節約します。 - 生産性の向上:
端末への慣れ、業務の柔軟化、より素早いアクセスといった要因が直接的に生産性に影響します。Intelによれば、1日あたり57分もの従業員の時間がBYODによって節約でき、年間の生産性にして700ドルに換算できるといいます。 - 社員満足度:
組織におけるBYODポリシーの施行によって、管理職と従業員のあいだの溝が大きく少なくなるといいます。53%の雇用主が、個人端末を職場で使用可能にしたことで満足度が挙がったと報告しています。
リスク
- 個人端末の使用に伴うデータ漏えい:
従業員が自分の端末を業務に用いることを許可することで、企業のネットワークに接続された端末からのセキュリティの抜け穴が生じることがあります。さらに、安全でないアプリをダウンロードしたり、端末の紛失、マルウェア、脆弱性の悪用によって企業への防諜行為が行われる可能性があります。BitglassによりBYODセキュリティ報告によれば、サイバーセキュリティの専門家の62%が、BYODの施行に伴う主な懸念としてデータの喪失を挙げています。 - 退職した従業員に対して効力がない
すべての従業員が退職の際にBYODポリシーに従うとは限りません。IT部門が従業員の退職後に個人端末上のデータを消去するにあたって困難が生じることがあります。 - 法的リスク:
組織は場合によって端末データにアクセスし、また従業員の活動を監視する必要があります。個人端末を業務使用するポリシーを従業員の端末について施行する場合、プライバシーの侵害につながることがあります。具体的には、位置情報の追跡などです。
3企業によるBYODポリシーの施行手順
さて、いよいよ実践編です。BYODポリシーのベストプラクティスに向けた三つの段階を要約してみましょう。
準備段階
- BYODポリシーの使用ガイドを準備する: 端末の範囲、従業員の端末に対する企業からのアクセス、プライバシー保護、法的基盤、償還、セキュリティ規準について明記する必要があります。
- ITチームを立ち上げ:
ITチームはBYOD管理と端末セキュリティに関するタスクの対応を行います。 - MDMソフトウェアの選択:
BYODポリシーの施行を確実にするための安全なソリューション
施行段階
- 従業員への告知:
従業員に企業のBYODポリシーを通知し、業務に個人端末を使う際の適切な方法を特に周知します。 - 同意をリクエスト:
プライバシーの争議を避けるためには、同意を得ることが重要です。 - BYOD端末を組織に登録する:
MDMツールを使って、ITチームはそれらの端末を配置し、管理コンソールで管理できるようにするべきです。 - 予期しない事案に対応する:
従業員の退職や端末の紛失の場合にそなえ、MDMツールを使って遠隔消去できるようにします。 - 研修:
従業員はBYODの潜在的なリスクと利点をよく理解していなければなりません。
改善段階
- 従業員からの意見を集める:
従業員がポリシーについてどう考えているか、その実施に満足しているかどうかを確認します。 - 端末管理戦略を調査する:
CYODもしくはCOPEといった企業のモビリティ管理の選択肢を検討し、さまざまなニーズに対応します。 - BYODポリシーのアップデート: ポリシーの効果を分析し、従業員のフィードバックを総合し、セキュリティ対策をレビューし、改善を行います。
4BYODポリシーに必要な項目(ガイドライン)
ガイドラインの雛形は存在しますが、それぞれの企業は独自の要素を持っているため、BYODポリシーも企業ごとに大きく違っていることに留意しましょう。
ただ、大抵の場合、以下のような要素を含んでいるものです。これらのBYODポリシーの要件を、組織に適したオリジナルのガイドラインのための雛形として検討してください。
| BYODポリシーを用いる目的 | この文書は業務に個人的に所有する端末を安全に用いることを同意してもらうためのガイドとしてつくられたものです。重点は企業と従業員の責任と権利をよりよい協働のためにおかれるべきです。 |
| 適用範囲 | このセクションでは、組織はどんな端末とどんな人びとが対象となっているかを定義します。ポリシーは下請けやコンサルタントなど、組織のデータとシステムに個人端末からアクセスすることになる人材派遣業者からの第三者にも適用されることを明記しておくべきです(範囲は企業の規模や業界、あるいは特殊な要件を考慮して変化します)。 |
| 企業のアクセスと従業員のプライバシー保護 | 企業向けBYODポリシーは企業が端末にアクセスすること、また従業員のプライバシーを保護することの両方を明記するべきです。たとえば、Eメールやアプリなど業務関連のデータやサービスへのアクセスと削除などです。IT業界の人間であれば、セキュリティもしくは法的な目的のためにBYODポリシーが適用されない端末を所有することがあります。しかしながら、BYODポリシーはITチームを含めた他者が個人的なデータに触れられないように保ちます。 |
| 端末の使用と制限 | このセクションでは、業務中に個人端末をどこまで利用できるかについて言及するべきです。たとえば、アプリのセーフリストと拒否リスト、ファイルへのアクセスと許可、外部ストレージの無効化などです。MDM、EMMまたはUEMソフトウェアを使って制御と監視を行うこともできます。 |
| セキュリティ規準 | BYODを許可するにあたっての潜在的なリスクをふまえて、組織は従業員に以下のような端末管理に関するポリシー規準に同意することをもとめることがあります。
|
| 事故の報告 | 従業員が自分の端末を紛失した場合、従業員はなるべく早くIT部門に報告するべきです。MDMソフトウェアが遠隔でデータを除去し、端末をロックすることで、攻撃者から端末を保護します。 ポリシーは従業員が退職する場合についても明確に記す必要があります。BYODポリシーは従業員の義務やデータ削除手順、退職面接、また業務終了にあたっての企業データ・セキュリティに関する法的合意の概略を示すべきです。 |
| 償還 | オックスフォードエコノミクスとサムスンの共同調査によれば、BYODポリシーを実施している98%の企業が個人端末の使用に伴う手当を月ごとに支給しているといいます。したがって、BYODに伴う明確な償還ポリシーの必要性はあきらかです。 償還に関するセクションは、従業員に対する企業からの支払いを定義する規則を含むでしょう。たとえば、端末費用の一定の割合であったり、固定額の支給であったり、データ/通話料の全額もしくは部分的な保証、その他生じる可能性がある追加の費用などです。 |
| 規約違反 | 規約違反が起こった場合に備え、BYODポリシーのなかには、企業が懲罰を行う適切な規準の施行の権利を持つことを明記するべきです。たとえば、文書化された警告、端末の制限、あるいは消去などです。極端な場合は、解雇もありえます。 |
5BYODポリシーのベストプラクティス
組織のなかでBYODポリシーを施行するにはどうすればよいでしょうか? 通常、6つのステップがあります。
1. 従業員向けのBYODポリシーガイドをつくる
具体的なガイドがあれば、従業員は企業のBYODポリシーの仕組みをよく理解できますし、ポリシーの施行にあたって組織によりよく協力することができるようになります。
組織は紙幅を割いてセキュリティに関連する企業のアクセスについて解説するべきです。場合によっては、たとえば端末が紛失もしくは盗難したばあい、Itチームは端末のデータを消去しデータの損失を避けるべきです。
しかしながら、遠隔除去はプライバシーや労働法に違反する可能性があります。というのも、従業員が所有する端末は個人的な、あるいは機密の情報が含まれることがあるからです。雇用主は不法な行動に対して調査をする権利を持ちますが、個人情報へのアクセスや削除は制限される可能性があります。特に法的に保護された交渉や違法な活動の報告を含む場合です。
BYODポリシーのベストプラクティスの一環として、そうした権限を行使したりポリシーの施行を行う前に、雇用法の専門家に相談することをおすすめします。
2. ポリシーを告知し、合意を得る
組織は必ず、公式な通知を通じてBYODポリシーを効率的に伝える必要があります。従業員とプライバシー上の懸念を話し合いましょう。たとえば特定のアプリ、文書、位置情報の追跡などへのアクセスについてです。組織は必ず一部のアプリケーションのみが職場やオンラインでのファイル共有のユーザーの権限で許可されることを明記する必要があります。
BYODポリシーの実行にあたっては、企業は月額の固定費を支払うことを検討しましょう。BYODを使う従業員への補償を行うためです。平均すると、組織は年間で$482 をすべての従業員に支払います。
告知を行った後は、従業員から同意を確約することが必要です。というのも、企業のポリシーを全員が遵守するようにしなければならないためです。加えて、そうすることで潜在的なリスクを軽減し、安全で生産的な職場を維持することができます。
3. MDMないしEMMソリューションを使ってBYOD端末を管理する
高度な端末ポリシーを施行することは、MDMやEMMといったソリューションのおかげで容易になっています。堅牢なMDMのBYODポリシーを、端末やアプリの設定、キオスクモードの使用、監視などの機能を用いて実行することができます。。
適切な端末管理ソリューションを選ぶ方法
端末管理ソリューション、注意すべき重要な機能、チェックリストなど、さまざまな段階で役に立つ知っておくべき知識をご紹介します。
MDMのもっとも大きな利点は、IT管理者が堅牢なパスワードポリシーやその他の認証方式を端末で行い、セキュリティを確保できることです。くわえて、MDMソリューションは次のような場合に役立ちます。:
MDMの主な機能
- ポリシー: 義務的なストレージ暗号化、USBアクセス、ネットワークとローミングといった端末の機能を設定できます。
- アプリ管理: アプリのホワイトリストとブラックリスト、アプリのインストールやアップデート、削除などを行えます。
- 企業アプリの公開: 端末種別、割合、場所に応じたアプリをリリースします。
- ファイル管理: 双方向の通信と一括配信が可能です。
- ユーザー管理: ロールの割当と許可の付与が可能。端末グループに配信。
- 監視、警告、ワークフロー
- ジオフェンシングと位置情報追跡
- シングル/マルチアプリのキオスクモードおよびキオスクブラウザ.
AirDroid Businessは企業所有のAndroid端末に向けたMDMソリューションであり、Android
Enterpriseに対応しています。
4. BYOD管理チームを組織する
すべてのBYOD端末を定期的に監視する専門チームを用意することで、企業ポリシーの実施がうまく行きやすくなります。端末の監視にとどまらず、チームは次のようなタスクを担います。
- 端末(アプリとシステムを含む)のアップデートとアップグレードを行い、セキュリティパッチをインストールする
- パスワードポリシーを設定し、二段階/複数段階認証を施行して許可されていないアクセスを制限する
- 企業データベースや端末、その他企業のアセットに対する従業員からのアクセス許可を設定・制御する。
- データのバックアップを管理・維持する
- データの喪失やシステムの不具合に備えてデータ復旧を担当する
- 外部からのサイバー攻撃を防ぐためのネットワークセキュリティのプロトコルを設ける。
- 事故に対する対処計画を練る。
5. 職場でのBYODの利用方法について従業員に教育する
従業員を教育して、適切な使用やBYOD関連のセキュリティプロトコルについて理解してもらうことは、サイバー攻撃のない安全な職場環境を確保するために必須です。研修はパスワード管理、公共Wi-Fiの使用、認可されていないアプリケーションのダウンロード、クラウドサーバーへの出た格納、業務時間外における繊細な企業データへのアクセスに重きをおきます。
ITチームは従業員を教育し、端末が最新のセキュリティパッチをあてたものになっているよう促したうえで、端末泣いで不審な活動や抜け穴を発見した場合には報告するようにしてもらいましょう。加えて、IT担当者はHRや金融を扱う担当者に特別な研修を行い、最新の脅威に関するより高度な知識を共有するべきです。
6. BYODポリシーを継続的にアップデートし、不備に対処する
ポリシーと手続きを定期的に検討しアップデートすることは重要です。それによってBYODポリシーをベストプラクティスに保つことができるからです。サイバーセキュリティに関する産業カンファレンスにITチームを出席させ、研修することも、彼らにBYODポリシーを改善する価値ある洞察を得る機会になるでしょう。
定期的なヒアリングを行い、従業員からのフィードバックを集め、最新のトレンドとベストプラクティスを把握していくことで、よりよいセキュリティが期待できます。
6職場でのBYODポリシーに関する主な懸念点は?
職場への私的端末持ち込みは、ユーザーが保護されていないネットワークに接続し、マルウェアやウイルスに感染している可能性のある個人の端末の持ち込みを許可することになります。同じ端末が企業ネットワークに接続されると、セキュリティの抜け穴になる可能性があります。私的なデータに伴う法的な問題も雇用者にとっても懸念点です。
AirDroid Business - BYODセキュリティを強化する最良のMDM
包括的なMDMソリューションの採用は、BYODセキュリティを増強する最良の方法です。AirDroid Businessは、Android搭載の端末すべてに対応する素晴らしいワンストップのソリューションです。登録プロセスは簡単で、グループ単位のポリシー適用、企業そしてGoogle Playのアプリ管理、位置情報追跡、ジオフェンスに基づく追跡、監視、警告、遠隔操作機能などを備え、どのような企業にも最適なアプリケーションになっています。
よくあるご質問
返信を残してください。