セキュリティコラムvol.1～テレワークで注意すべきセキュリティ対策（BYODについて）

システム・セキュリティ部　Yonemori

キーワード：テレワーク、セキュリティ、課題、BYOD

新型コロナウイルス感染症の拡大により、多くの企業で急速にテレワークが広まりました。しかし、テレワーク環境の情報漏えいリスクを危惧されている企業も多いのではないでしょうか。アフターコロナを見据え、テレワークを標準的な働き方として定着させていくために、あらためてチェックしておきたいポイントをご紹介いたします。

シリーズ第１回目は、「BYOD(*)の運用ルール」です。

 (*)BYODとはBring Your Own Deviceの略。社員が私有のスマートフォンやパソコンを仕事で使うことを意味します。

新型コロナウイルスの混乱に乗じたサイバー攻撃

社会不安・混乱は攻撃者にとって格好のタイミングとなります。ある調査によると、2019年と比較し、２０２０年は大幅にインシデント件数が増加しており、特に「BYOD」が発端となるセキュリティインシデントが増加傾向にあります。ではなぜ、「BYOD」が攻撃の標的になってしまうのでしょうか？

以下の調査によると、BYODは導入のしやすい反面、セキュリティ対策が個人任せになり、十分な対策が取られていないことがわかりました。「疑わしいクラウドサービスは利用しない」や、「BYOD(PC)にパスワードを設定する」などの対策は比較的なされていますが、反面、家族間でBYOD(PC)を共有したり、業務データを暗号化せずにBYOD(PC)にダウンロードするなど、情報漏えいのリスクが潜んでいることがうかがえます。このようなセキュリティ対策の緩和な状態が、攻撃者の標的となっていると言えます。

【グラフ：BYODに関する個人によるセキュリティ対策の実施状況】

（引用：独立行政法人情報処理推進機構　ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査　2021年4月発行）

BYODを活用したテレワークのセキュリティ対策は、運用ルールづくりから

上のグラフからもわかるように、会社側が運用ルールを示している例はまだ少ないようです。リスクを認識するためにも、BYODの運用について「明確なルール」が作成することをお勧めします。最も重要なポイントは、会社が認めた業務のみでBYODを利用することです。　予め利用目的と業務範囲を明確にし、申請と承認のしくみを作っておくことが重要です。他にも、以下のガイドラインを参考に、自社の状況に合わせた社内規定・ルールの整備を検討されてはいかがでしょうか。

【表：関連ガイドライン・ホームページ概要】

（引用：独立行政法人情報処理推進機構　ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査　2021年4月発行）