「BYODとシャドーIT」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。

これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは、「BYODとシャドーIT」です。

近年の企業活動や働き方改革において注目を集める概念のひとつに「BYOD（Bring Your Own Device）」があります。これと表裏一体で課題となるのが「シャドーIT」です。

企業の許可を得た「BYOD」に対し、無許可で利用される「シャドーIT」は、企業にとって大きなリスクとなります。

今回は、利便性や生産性向上を期待して導入される「BYOD」と、その導入が引き起こすリスクである「シャドーIT」について説明します。

１．BYODとは

BYODとは、「自分のデバイスを持ち込む」という意味で、従業員が私物のパソコンやスマートフォン、タブレット端末など（以下、「デバイス」と記載）を業務用として利用する仕組みを指します。

２．BYODの利点とリスク

BYODの運用は、従業員側・企業側の双方にメリットをもたらします。しかし、その裏にはいくつかの課題も隠れています。

（１）BYODの利点

BYODには、以下の利点があります。

• 生産性の向上
  従業員が使い慣れた自身のデバイスを使用することで、熟知した操作性や機能性を活用でき、生産性や業務効率が向上する。
• コスト削減
  企業が全従業員分のPCやスマートフォンを購入・貸与するには多額のコストがかかるが、BYODを活用することで購入や維持に関する投資を抑えることができる。

さらに、企業には特別な投資を抑えながら柔軟な働き方を提供できるメリットもあります。一見、良さそうな施策ですが、最大の課題はセキュリティリスクになります。

（２）BYODのリスク

私物デバイスはセキュリティ上の統制（使用禁止アプリ・サイトの規制など）が個人任せになります。そのため、企業のポリシーやセキュリティ基準に沿っていない場合が多く、BYODを採用すると、従業員が自己管理するデバイスを企業のネットワークに接続することになり、以下のようなリスクが生じます。

• マルウェア感染のリスク
  危険なアプリや不正なソフトウェアのインストール、個人のメールなどからマルウェアに感染し、企業のシステム全体へ感染が広がる。
• データ漏えいのリスク
  従業員が個人のメールアドレスで業務データを扱った場合や、フィッシングメールに遭遇した場合、企業の重要な情報が外部に流出する危険性が高まる。
  セキュリティパッチの未実施や、OSやソフトウェアの脆弱性が放置されることも重大なリスクとなる。
  
  

３．BYODを安全に使うには

安全性を考えると、デバイスはBYODを避け、企業が用意する方が望ましいです。

しかし、やむを得ずBYODを許可する場合は、次のような対策を実施してください。

（１）明確な利用ルールの策定と従業員教育

BYODを利用するときに守るべきこと、注意すべきことを取り決め、セキュリティポリシーを文書化し、従業員に明確に共有します。

たとえば、「危険なアプリを入れない」「データ取り扱い範囲を制限する」などです。

BYODを利用する従業員には、ルールとその理由を分かりやすく説明し、決められたルールを守れるよう支援します。

（２）デバイス管理ツールの導入

BYOD端末も企業側で適切に管理する必要があります。デバイス管理ツールをBYOD端末に導入し、従業員の私用デバイスも管理できるようにします。

企業はBYOD端末の状態を遠隔で確認し、必要に応じてリモートでデータ消去を行うことが可能になります。データ漏えいやウイルス感染対策が効果的に行えます。

（３）ネットワークセキュリティの強化

BYODによるウイルス感染やハッキング被害を防ぐため、VPN（仮想専用ネットワーク）を使用してネットワークにアクセスさせることで、外部からの不正アクセスを防ぐことができます。

（４）データの確実な消去

BYODで利用したデバイスの会社情報は、利用終了時に完全に削除します。

データは利用者が意図しない場所にも残ることがあり、データ漏えいを防ぐため、BYOD終了時にデバイスを初期化し、データを確実に消去してください。

そのほか、デバイスの紛失・盗難にも注意を払うことを徹底しましょう。また、退職者のデバイスに、顧客データや業務の機密情報が残るリスクにも注意しましょう。

BYOD導入のメリットは、会社が定めた適切なルールのもとで利用した場合に限ります。デメリットもあるので、導入する際はリスクコントロールをしっかりした上で運用するようにしましょう。

４．シャドーITとは

BYODにおけるセキュリティリスクの一つにシャドーITがあります。

シャドーITとは、会社が正式に許可していないデバイスや機器、アプリケーションを従業員が個人的に使用することを指します。従業員が独自に導入したツールやサービスの使用は、企業のセキュリティポリシー外で運用されるため、リスク管理が非常に難しくなります。BYODの利用が進むと、このシャドーITのリスクが高まります。

よくあるシャドーITの事例とリスクには以下のようなものがあります

５．シャドーITに対する具体的な対策

シャドーITは、それぞれの事例ごとに対応することが可能です。

しかし、継続的にかつ網羅的に実施するためには、仕組み（ハードウェア/ソフトウェアの導入と継続的な監視）の構築が必要です。

シャドーITのリスク認識も含めた従業員向けセキュリティ教育を継続して実施すること、ITに関して相談できる部門や人を設置することなども有効です。

シャドーITのリスクを減らすためには、以下のような対策を講じることが重要です。

（１）シャドーITの可視化と監視

企業ネットワークに接続される全てのデバイスやアプリケーションを管理し、従業員が使用する非公式なツールを監視します。これにはネットワーク監視ツールの導入が有効です。

（２）セキュリティ教育と啓発活動

シャドーITのリスクを従業員にしっかりと伝え、セキュリティに関する意識を高める教育を行います。また、従業員が新しいツールの導入を希望する場合は、会社の許可を得るよう促すことが重要です。

（３）公式のITツールやサービスの導入

企業が公式に認めたツールやサービスを導入し、従業員がそれを使用するよう、ガイドラインを設けます。

６．最後に

BYODは、従業員の利便性や業務効率化など、柔軟な働き方を促進し、生産性を向上させるメリットがあります。しかし、企業が正式に認めていないハードウェアやソフトウェアを従業員が無断で使用するシャドーITの存在は、重大なセキュリティリスクをもたらします。

BYODは適切な管理体制を整えることでリスクを抑えて運用することが可能ですが、シャドーITは安全性の問題が大きいため、企業として根絶すべきものです。

もしシャドーITが見つかったら、従業員に「なぜ使っているのか」「何に困っているのか」を聞いてみましょう。

その答えから、仕事をもっと効率よく進めるためのヒントが見つかることもあります。

従業員と企業が協力し合い、情報セキュリティに対する意識を共有することが成功の鍵となります。

参考文献

1. WeWork（ウィーワーク）公式サイト｜シャドーITとは？BYODとの違いや、セキュリティリスクへの対策を解説
   https://wework.co.jp/contents/knowledge/case200 

2. シャドーITとBYODとの違いは？具体例からリスク、原因・対策まで分かりやすく解説
   https://product.sct.co.jp/blog/security/the-difference-between-shadow-it-and-byod