クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

BYODとは

個人所有デバイスの持ち込み (BYOD) とは、従業員が個人で所有するデバイスを業務に使用することを許可するビジネスポリシーのことです。BYODはCOVIDの前からすでに広まっていましたが、今では普通のことになり、こうしたポリシーに潜在するセキュリティリスクにこれまで懸念を抱いていた企業の間でも導入が進んでいます。一般的な個人デバイスには、スマートフォン、ラップトップ、タブレット、フラッシュドライブなどがあります。

会社の環境に導入されるBYODには、デバイスの所有者とその用途に応じて数多くのフレーバーがあります。

  • 個人所有デバイスの持ち込み (BYOD) では、デバイスは従業員によって所有され、業務と個人的なタスクの両方に使用されます。
  • Choose Your Own Device (CYOD) では、選択可能なデバイスのリストを組織がユーザーに提示します。デバイスの所有者は会社でも従業員でもかまいせんが、いずれにしてもIT部門がカスタマイズを担当します。
  • Corporate Owned Personally Enabled (COPE) では、デバイスは企業によって所有され、従業員に支給されます。従業員はそのデバイスを個人の活動に使うこともできます。最も制限の厳しいカテゴリです。
  • Company Issues Business Owned (COBO) は最も制限の厳しいカテゴリとなり、会社がデバイスを所有し、従業員は業務にのみデバイスを使用できます。

BYODが重要な理由

ルール違反かどうか、会社から他にデバイスが支給されているかどうかにかかわりなく、効率化を図るため、あるいは過失により、従業員が個人デバイスから機密性が高い会社のデータにアクセスすることがあります。BYODポリシーの導入にあたっては、組織としての利点と従業員のために時間をかけて検討することをお勧めします。主な利点には以下のものがあります。

  • 生産性の向上:ユーザーはすでにテクノロジーとの付き合い方に合わせてデバイスを選び、自分のデバイスに慣れ親しんでいます。そのためのトレーニングは必要なく、テクノロジーの研修も行うことなくすぐに仕事を始めることができます。自分のデバイスの機能は把握しているため、問題なく使用して速やかにタスクを完了できます。よくわからない、または好みでないデバイスを使う苛立ちを誰も感じなくて済むため、士気が上がり、パフォーマンスが高まります。
  • コスト削減Wired誌によると、組織のほとんどがBYODユーザーあたり年間約300ドル節約できたと報告しています。規模の小さい会社にとってはわずかな金額ですが、従業員数が数百や数千に上る中規模以上の企業にとっては意味のある金額です。
  • テクノロジーのアップグレード:ジョブによっては、従業員が自ら最先端のテクノロジーを導入する傾向があります。IT部門にとってはテクノロジーを置き換える必要がなくなり、ハードウェアやソフトウェアライセンスに余分な費用がかからず、デバイスを更新する手間が省けます。

BYODのリスクとは

BYODには多くの利点がありますが、同時にBYODポリシーを採用した場合のリスクについても考慮する必要があります。

脆弱性管理の複雑さの増大

セキュリティ専門家なら周知のとおり、組織の最大の脆弱性は内部ユーザーです。デバイスごとに独自の脆弱性があります。組織によって管理されず、従業員の個人データと会社のデータとが混在している個人デバイスから会社のネットワークへの接続をユーザーに許可するのは危険なことです。また、従業員所有のデバイスが紛失するか盗難された場合にそのデバイスを制御する方法はなく、ログオンしたユーザーが認証された従業員本人なのか、その友人や親戚なのかを確認する方法もありません。各デバイスの安全性を確保するためには、複雑な脆弱性管理プロトコルを作成する必要があります。

サイバーセキュリティリスクの増大

従業員所有のデバイスを組織のネットワークに組み込むと、次の要因により、サイバー攻撃のリスクが高まります。

  • オープンソースコード:アプリケーションは大きな懸念事項です。というのも、どのようなアプリケーションがBYODデバイスにインストールされているのか、IT部門では把握できないからです。ほとんどのアプリケーションでなんらかのオープンソースコードが使用されています。本質的に危険なコードではありませんが、オープンソースコードで新たに見つかった脆弱性に関するニュースにアプリケーション開発者が注意を払わず、アプリケーションを保護するための適切な対策を講じていない場合には、問題があります。そしてオープンソースコードは広く利用されています。開発者は通常、オープンソースコードをいったん組み込んだら他の機能を追加する作業に進み、再び振り返ることはありません。
  • 不要な権限の付与:アプリケーションの中には、不要な権限まで貪欲にリクエストするものが少なくありません。その要因として、開発者が来る四半期に組み込むつもりの機能のことまで前もって考えている、今実際に何を求めているのか開発者自身が理解していない、開発者に悪意がある、といったことが考えられます。知りようがありませんが、いかなる場合でもリスクは変わらず、企業データが侵害されるおそれがあります。ユーザーは、ダウンロードしたアプリケーションに提供しているアクセスレベルを知っておく必要があります。また、個人デバイスを貸与する場合はその相手も同じようにアクセスレベルを知っているか確認する必要があります。ユーザーが自分の子供にデバイスを貸している場合、我が子なら不適切な権限要求を拒否するだろうと信頼しているでしょうが、それを実際に確かめる術はありません。
  • 保護されていないネットワーク:BYODデバイスが使用されているネットワークには、リスクをもたらす可能性があります。家庭のWi-Fiネットワークには、企業のネットワークと同じレベルのセキュリティ管理機能がありません。同じことが、コーヒーショップや店舗といった、リモートワーカーが企業のネットワークにアクセスする可能性がある場所のパブリックネットワークにも言えます。企業は、従業員が安全でないホームネットワークやパブリックネットワークから機密データにアクセスすることを想定し、さまざまな入口からの侵入をハンティングできるよう必要な措置を講じる必要があります。
  • デバイスの盗難:会社所有のデバイスの紛失や盗難が報告された場合は、IT部門がそのデバイスを使用不能にできます。個人のデバイスが紛失するか盗難された場合は、こうしたことができません。IT部門は会社のVPNやアプリケーションへのアクセスをブロックできますが、それだけでは悪意のあるアクターが今後企業のネットワークへの侵害に利用できる情報の獲得手段として安全でないアプリケーションなどデバイスの別の場所で脆弱性を使用できなくなるという保証はありません。また、各ユーザーがオペレーティングシステムの更新を毎回確実にインストールするという保証も、会社のファイルを自分のデバイスに保存しないという保証もありません。従業員が解雇されるか退職した場合、それまでに従業員が自分のデバイスにダウンロードしていた会社のデータを削除する方法はありません。

プライバシーの喪失

BYODポリシーを実装すると、BYODユーザーと組織の両当事者がプライバシーを失います。ユーザーの個人情報がすべて、組織のネットワークですぐに参照できてしまいます。例えば、ソーシャルメディアの認証情報、メッセージ、銀行口座情報などです。その一方で、ユーザーは機密性の高い社内情報にアクセスできるようになり、そうした情報が過失により共有されたり、故意に悪用されたりするおそれがあります。

BYODの使用に関する強固なビジネスケースは数多くありますが、心に留めておきたいのはBYODでイノベーションが阻害されることがないようにすることです。データの損失や相互運用性の低下を招くことなくBYOD環境に適切に対処できるかどうか確信が持てないからといって会社が画期的なテクノロジーを試す機会を回避すれば、発展成長する機会を逃すことになります。

BYODポリシー実装の6つのベストプラクティス

どの企業にも当てはまるBYODポリシーのテンプレートはありません。組織ごとに独自の方法を見出す必要がありますが、次のベストプラクティスを適用することで、常に適切に実装を進めることができます。

1. 部門横断的に意見を求める

まず、数あるユーザーグループがモバイルデバイスでどのように仕事をしているのか、さまざまな部門から意見を求めて理解し、その情報を基にポリシーに盛り込む内容を導き出します。ポリシーは段階的に実装するものであり、柔軟性、セキュリティ、従業員サポートのために必要に応じて継続的に改善を図っていくものと考えてください。

2. エンドポイントに依存しないポリシーを作成する

BYODセキュリティポリシーは、今後新たに登場するデバイスとプラットフォームに対応できるよう、エンドポイントに依存しないものにする必要があります。依存すると、セキュリティチームがポリシーを継続的に見直さざるを得なくなって、ポリシーの適用が難しくなります。ほとんどの場合、正社員、契約社員、臨時社員ごとに異なるBYODポリシーが必要になります。

3. 許可するデバイスのリストを作成する

すべてのデバイスがBYODプログラムに適しているとは限らず、サポート対象外のデバイスや古くなったオペレーティングシステムを使用しているデバイスなどは適していません。何を許可し、会社として何を維持し、ユーザーは何を維持する責任を担うかを指定します。

4. MFA(多要素認証)を奨励する

多要素認証 (MFA) を明示的に奨励します。今日のスマートフォンではこのセキュリティ機能がデフォルトで求められますが、セキュリティポリシーにも盛り込んで、スクリーンロックをオフにしているか他の手段でMFAを回避しているユーザーにMFAの使用がBYODの条件であることが伝わるようにしてください。

5. 承認内容をポリシーに明確に定義する

ポリシーでは、デバイス上のどのデータを誰が所有し、そのデータを誰の電話番号に関連付けるかを明確にします。モバイルデバイスユーザーが退職した場合、データをどのように扱うかを規定します。

6. プライバシーポリシーを採用する

そして最後に、現地と米国のデータプライバシー規制を遵守するように考え抜かれたプライバシーポリシーを策定してください。こうしたポリシーであれば、会社だけでなくBYODユーザーも保護できるはずです。

BYODとクラウドストライク

ITチームが優先すべきことは、BYODポリシーを実装しても可能な限り組織の安全性が維持されるよう、適切なツールとソリューションを採用することです。

クラウドストライクは、ステークホルダーによって持ち込まれた管理対象および管理対象外デバイスの可視性とハイジーンを維持するうえで役立つ多彩なソリューションを提供しています。

アダム・ロックルは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、IoT/OTのセキュリティとリスク管理を担当しています。サイバーセキュリティのキャリアを通じて、セキュリティ運用、脅威インテリジェンス、マネージドセキュリティサービス、ネットワークセキュリティ、AI/MLの専門知識や技術を蓄積してきました。クラウドストライクに入社する前は、Palo Alto NetworksとZscalerでプロダクトマーケティングを担当していました。オハイオ州マイアミ大学で経済学とビジネス法学の学士号を取得し、現在はコロラド州ゴールデン在住です。