パンフレット
パンフレット

自分のデバイスを持参する

BYODとは、従業員が個人のモバイルデバイスを使用して会社のネットワークやシステムにアクセスできるようにするポリシーを指します。従業員の中には、個人のモバイルデバイスの使用を好む人もいますが、これは組織の評判を損なったり、訴訟のリスクにさらされたりする可能性があります。

企業は職場での個人用デバイスの使用に関して正式なポリシーを定める必要があります。

BYOD (個人所有デバイスの持ち込み) とは、従業員が会社のネットワーク/システムにアクセスするために使用できるモバイル デバイス (ある場合) を定義するこのタイプのポリシーを指します。

BYOD ポリシーでは何をカバーする必要がありますか?

企業は、自社のネットワークに接続できるデバイスと接続できないデバイスを規定するポリシーを策定する必要があります。また、承認されていないデバイスが「誤って」接続されることがないよう、適切な手順を整備する必要があります。さらに、モバイルデバイスに保存される可能性のある個人データのセキュリティを維持するための適切なメカニズムを導入する必要があります。

既存のデバイスとアクセス権の監査

最初のステップは、現状を監査することです。どのデバイスがネットワークを何のために使用しているのでしょうか?

法律では何と書いてあるのですか?

雇用主(データ管理者)には、GDPR に基づき、個人データの不正または違法な処理、および個人データの偶発的な紛失、破壊、または損傷に対して適切な技術的および組織的措置を講じる義務があります。

企業や顧客の機密データが個人のデバイスに保存されるリスクは高いです。個人のデバイスは通常、安全性が低く、簡単に紛失したり、置き忘れたり、盗難にあったりする可能性があります。

評判の失墜のリスク

こんなシナリオを想像してみてください。従業員が、全顧客のメーリングリストと連絡先情報が添付されたメールを受け取り、それをモバイルデバイスに保存します。その後、そのデバイスを紛失した場合、そこに保存されているデータは公開されたり、悪用されたり、競合他社に売却されたりする可能性があります。さらに悪いことに、データ紛失について情報コミッショナー事務局(ICO)に通知する必要があり、メーリングリストに登録されている各個人にも通知する必要があります。これは、企業イメージの大きな毀損と多額の罰金につながる可能性があります。

どのデバイスが許容されますか?

監査を実行した後、第 2 段階では BYOD ポリシーに何を含めるか、何を除外するかを決定します。これは通常、デバイス レベルで行われます。

レベル1 – ゼロトレランス
これは最も迅速で、最も簡単で、最もシンプルな解決策かもしれませんが、必ずしも最も実用的または実践的であるとは限りません。
また、一部の従業員が特定のタスクを実行するのを助けるどころか妨げる可能性があり、仕事への不満や士気の低下につながる可能性があります。
したがって、全面的な禁止は逆効果となる可能性がある。
また、強力なネットワーク セキュリティ制御がなければ、ゼロ トレランス ポリシーを制御および監視することは非常に困難 (したがってコストもかかる) になります。
レベル2 – 承認されたデバイス
これにより、デバイスのリスト、または特定のオペレーティング ソフトウェアを搭載したデバイス (iOS デバイスのみ、または Android と Windows デバイスのみなど) を設定できます。
承認済みデバイスを利用するアプローチは、アクセスの管理と制御を容易にしますが、デバイスが承認されていない場合、一部の従業員が不利な立場に置かれる可能性があります。また、新モデルや新デバイスが日々登場するため、管理が困難になる場合もあります。
レベル3 – あらゆるデバイス
これにより、あらゆるデバイスを「接続」できるようになります。
このアプローチはゼロトレランスとは正反対で、あらゆるデバイスをいつでも「接続」することを許可します。そのメリットは、a) 従業員にとってデバイスによる制限がなく、b) 企業にとって承認済みデバイスのリストを常に更新する必要がないことです。

ただし、このタイプのアプローチでは、モバイル デバイス管理システムなどの強力な制御を採用する必要があります。

代替オプション!

増加傾向にある傾向として、一部の企業は BYOD を放棄し、ゼロ トレランス ポリシーを採用して、従業員にデバイスを提供することを決定しています。

どのようなアプリケーションが受け入れられますか?

企業によっては、特定のアプリケーションへのアクセスを制限したい場合があります。多くの場合、メールとインターネットへのアクセスのみに制限されます。ネットワークやアプリケーションへの本格的なアクセスは、PCやノートパソコン以外からであれば可能な限り避け、信頼できるネットワークまたは安全なリモートアクセスツールを介してのみアクセスするようにしてください。

ビジネスと個人使用

従業員が所有する BYOD デバイスは、業務とプライベートの両方の目的で使用される可能性があります。

一方で、従業員は会社がデバイスに保存されている個人的な資料にアクセスしたり、デバイス監視ツールを使用したりしないことを確信する必要がありますが、他方では、会社はデバイスに保存されている(または表示される)可能性のある企業および顧客の機密情報を保護したいと考えています。

雇用主は、デバイスが従業員だけでなく他の家族によっても(個人的な目的で)使用される可能性があることにも注意する必要があります。

ワイヤレスセキュリティ

デバイスをネットワークに接続する最も簡単で迅速な方法は、従業員が自分のデバイスを使ってワイヤレスでネットワークにログインすることです。企業によっては、従業員が個人所有のデバイスを含むすべてのデバイスでそのキーを使用していることに気づかずに、従業員にワイヤレスキーを公開している場合があります。

デバイスセキュリティを確保する一般的な方法は、ワイヤレスキーを非常に強力(つまり覚えにくい)にし、ITサポートチームのメンバーまたは指名された担当者のみがデバイスに入力できるようにすることです。これにより、デバイスレベルでの制御を比較的容易に維持できます。ただし、このアプローチは、組織の規模や複雑さによっては、非常に時間がかかる場合があります。

より堅牢なアプローチでは、ネットワークハードウェアを利用して特定のデバイスに対するアクセス制御リストを作成し、接続前に登録と企業による承認が必要になります。この方法の利点は、監査やタイムゾーン制御(例えば、ワイヤレスアクセスをオフィス時間内に制限するなど)が可能なことです。

デバイス登録

ネットワーク オペレーティング ソフトウェア (Windows および Mac) の最新バージョンのほとんどには、「承認済み」デバイスのリストを維持するために使用できるセキュリティ ツールが組み込まれています。

これは、ネットワーク ハードウェア登録とほぼ同じ方法で登録プロセスを通じて実行され、デバイスがネットワーク上で提示され、登録されます。

デバイスを紛失したり、従業員が退職したりした場合は、デバイスをブロックしたり、登録済みデバイスのリストから削除したりできます。

このアプローチは、望ましくないゲストをブロックし、ネットワーク リソースへのアクセスを制御するのに役立ちますが、接続デバイスが紛失または盗難された場合に制御できないという欠点があります。

モバイルデバイス管理(MDM)/モバイルアプリケーション管理(MAM)

デバイスのセキュリティをより強固に確保する方法は、MDM サービスを使用することです。MDM サービスは、ネットワーク オペレーティング ソフトウェアの一部として提供される場合もあれば、サードパーティによって提供される場合もあります。

この種のサービスには、単純な登録やデバイスのリセット サービスから、個人データと企業データをサンドボックス化し、企業データのみを個別に消去できるサービスまで、さまざまなレベルがあります。

従業員は、BYOD を導入する場合、どのモバイル デバイス管理システムが使用されるかに同意する必要があります。

従業員は、デバイスの監視に MDM ソフトウェアが使用されているかどうか、監視されるアクティビティ、および位置情報が使用されているかどうかについても同意する必要があります。

最後に、従業員は、デバイスを無効にする必要がある場合に、デバイスに保存されている自分の個人データがどうなるかを理解する必要があります。

この方法は、エンドユーザーの観点からは使いやすく、ビジネスの観点からは安全性が高いというメリットをすべて備えています。また、デバイスが紛失・盗難された場合にデバイスの位置を特定したり、リモートでブロックとワイプを実行したりといった操作も実行できます。

データ暗号化

BYODポリシーだけでは十分な保護対策にはなりません。すべての機密データ/個人データは暗号化する必要があります。ドキュメント/スプレッドシートを読み取り専用に設定したり、ドキュメント/スプレッドシートを開くためのパスワードを設定したりするだけでは、データの暗号化とはなりません。

企業は、どのような個人データがどのデバイスから、どのデバイスに転送されているかを評価する必要があります。次に、データが公に漏洩する可能性についてリスク評価を行い、適切な暗号化手法を用いて機密データ/個人データを保護します。

考慮すべきその他の問題

  • デバイスのパスワード保護 – 各BYODデバイスには起動パスワード/PINが必要であり、指定された時間(分)アクティブでない場合はロックするか、間違ったパスワード/PINを一定回数入力するとロックする必要があります。
  • 紛失したデバイス – BYODポリシーの一環として、従業員は、紛失した場合に誰に連絡するか、デバイスに何が起こるか(つまり、デバイスからどのようなデータが消去される可能性があるか)を知っておく必要があります。
  • コスト – 企業は、業務目的で使用される場合、特定のモバイルデバイスの料金、または紛失/盗難または破損したデバイスの交換費用を支払うことに同意する場合があります。
  • 許容される使用ポリシー – 企業は、許容される使用ポリシーがBYODデバイスにも適用されることを確認する必要があります。
  • ルート化/ジェイルブレイクされたデバイスは許可されるべきではなく、BYOD用のデバイス設定はその後ルート化/ジェイルブレイクされないように厳格なポリシーを策定する必要がある。
  • ストレージメディア – 企業は、メモリ/SDカードに関するアプローチ、特にそれらが暗号化されているかどうか、またはデータがそこに保存できるかどうかを指定する必要があるかもしれません。

BYODポリシーの実装

BYOD は、個別のポリシーとして策定することも、既存の許容使用ポリシーに追加することも、既存のインターネットおよび電子メール ポリシーやソーシャル メディア ポリシーに追加することもできます。

デフォルトでは、会社のデバイスは BYOD の範囲に含まれます。

個人用デバイスを持つ従業員には、BYOD ポリシーをオプトアウトまたはオプトインする機会が与えられる必要があります。

  • オプトアウト - BYODポリシーへの登録を拒否する - この場合、従業員は仕事に個人用デバイスを使用できなくなります。
  • オプトイン – BYOD ポリシーへのサインアップに同意します。この場合、デバイスをネットワークに登録し、該当する場合はモバイル デバイス管理サービスにも登録する必要があります。

BYOD ポリシーを定義および実装するための 4 つの簡単な手順の概要をご覧ください。

まとめ

雇用主(データ管理者)は、個人データの処理に関してGDPRを遵守することが重要です。セキュリティ侵害が発生した場合、雇用主は特定のデバイスに保存されているすべての個人データが保護、管理、または削除されていることを証明できなければなりません。BYODポリシーを策定することは、この目標達成に大きく貢献します。

BYODの定義と実装の4つのステップ

ステップ1 – デバイスと使用状況を監査する
  • 現在、ネットワークへのアクセスが許可されているデバイスは何ですか?
  • 彼らにはどのようなアクセス権がありますか?
  • どのようなアプリケーションを使用していますか?
  • どのようなデータを保存する必要がありますか?
ステップ2 – BYODのレベル
  1. デバイスなし
  2. 承認リスト
  3. すべてのデバイス
  4. モバイル デバイスからアクセスできるアプリケーションを定義します。
ステップ3 – BYODポリシー
  • BYOD ポリシーを策定して記述します。
  • 適切なネットワーク インフラストラクチャのセキュリティ変更を行い、追加サービス (MDM など) を調達します。
  • データ暗号化ツールなどの追加のセキュリティが必要かどうかを決定する
  • ポリシーを実施する日付を定義して伝達する
ステップ4 – 実施日
  • 現在のデバイスをすべて削除し、データが保持されていないことを確認します。
  • 承認されたデバイスを登録する
  • このようなデバイスを所有する従業員は BYOD に署名します。
 

9 + 15 =

連絡先情報

メールアドレス: info@facadecreations.co.uk

T: +44 (0) 116 289 3343