BYODのメリットとしては、
-
使い慣れた端末を利用することで業務効率やモチベーションが向上する。
-
管理する端末が減り、紛失の可能性やストレスが減る
-
会社にとって端末の調達コストが不要になる
-
複業や兼務する人を採用したときの端末としても検討可(端末を複数持ちたくないという場合)
などがあげられます。
一方で、セキュリティ面では課題があり、BYODを許可する場合は、企業データをどのように守るかが重要になります。
今回は、PCのBYODについて考えていきますが、PCがマルウェア等に感染していた場合や、紛失・盗難時、内部不正など、起こりうるリスクに対して、どのように対策をとるかが大事です。
また、端末内のプライベートなデータに対してのプライバシーを守ることも重要です。BYOD開始時や終了時の運用・参加時にユーザーに対して許諾をとっておかないといけないことの整理なども必要になります。
PCのBYODを実施する際、考えられる方式としては、主に以下の3点かと思います。
- 個人用プロファイルを、MDM/MAMで管理する
- 個人用プロファイルとは別に企業用プロファイルを作成し、MDM/MAMで管理する
- VDIを利用する
これらをひとつずつ、検討していきたいと思います。
1. 個人用プロファイルを、MDM/MAMで管理する
まず、個人用プロファイルを、MDM/MAMで管理する場合です。この方式では、同一プロファイルで、個人のデータと企業のデータを管理する必要がありますが、これはなかなか難しいと思います。アプリ保護ポリシーなどを利用して、アプリ内に企業データを閉じ込めることも可能ではありますが、すべてのアプリが対応しているわけではないので難しいと思います。
2. 企業用プロファイルを作成しMDM/MAMで管理する
次に、企業用プロファイルを作成してMDM/MAMで管理する場合です。この方式では、企業の資産を、企業領域に可能な限り閉じ込めて管理しやすくするために企業用のプロファイルを作成して、プライベート領域と分離します。個人用のプロファイルはプライベートなことに使ってもらい、企業用のプロファイルで仕事をします。ログインユーザーを分ける考え方です。
実装方式としては、デバイスをIntuneに登録 かつ AzureAD参加させ、Azure ADのユーザーで端末にログインさせる(企業用プロファイル)方法があると思います。
2.1. プライベート領域のプライバシーの考慮
企業領域の考慮だけでなく、プライベート領域に対してプライバシーを守ることも重要です。個人用のプロファイルは可能な限り情報収集や監視・監査をしないことが求められます。経済産業省の例では、Netskopeをマルチユーザーモードで配信する方式が取られていました。EDRを利用して異常なふるまいなどを確認したいところですが、その場合はデバイス全体(個人アカウントでの操作含む)を監視することになるので、利用者の許諾が必要になると思います。また、アプリ配信の際も、コンピューターにではなく、企業用ユーザーの領域に対して配信するのが求められます。
2.2. 紛失時やBYODを辞める際の企業データ消去
端末の紛失・盗難時は、遠隔からワイプを行い、端末自体を初期化することになります。企業用のプロファイルのみを遠隔でワイプするのは難しいと思うので(少なくともIntuneでは不可の認識でいます)、端末ごとワイプすることになります。
同様の理由で、BYODをやめる際や退職時には、ヘルプデスク等で企業用プロファイルのみ削除させてもらうような運用が必要になると思います(リモートワイプが難しいため)。
2.3. 内部不正対策
内部不正対策としては、企業用プロファイルからは外部メディアに書き出しができないような仕組みや、個人用のプロファイルにログインして企業用プロファイルのデータを抜くことできないような仕組みが求められます。企業用プロファイルをOneDriveにリダイレクトさせるなどで対策ができるかもしれません。ただし、OneDriveへのアクセスは企業用のプロファイルからのみアクセス可能とするような仕掛けが必要です。ユーザー証明書をうまく使えば実現できるかもしれません。
2.4. ローカル領域を使うアプリの取り扱い
企業のアプリケーションによっては、プロファイル領域ではなくPCのローカル領域にデータを保存する仕様になっているアプリもあると思います。この場合は企業領域にデータを閉じ込められないことになるので、特例として保存を許可するかなどの検討が必要になります。
2.5. 本方式のまとめ
以上のように、プライベート領域のプライバシーを守りつつ、企業データを守るのは、この方式ではなかなかハードルがありそうです。
また、いくら個人用領域と企業用領域に分けているといっても、同一デバイスなので、完全に分離するのは難しい点もあると思います。
3. VDIを利用する
最後にVDIを利用する方式です。この方式では、BYOD端末からVDIにリモートログインして業務を行います。デバイスが異なるので、個人用の領域と企業用の領域を完全に分離することが可能です。VDI上のローカル領域に企業データを保存しても問題ありません。
盗難・紛失・BYODをやめるときや退職時などはVDI側でアクセス不可とするだけで良いですし、接続元端末とVDIの間でデータのやりとりを不可としておけば、内部不正でデータを持ち出すこともできません。
最近はWindows365などのサービスが開始されたこともあり、VDIを利用するハードルがだいぶ下がってきたと感じます。PCのBYODを行う場合には最も有力な案だと思います。
VDIを利用しないBYODはかなり難しいと思う
さて、ここまで3つの案の考察をし、PCのBYODをさせる場合はVDIを利用する案が最も良いのではないかと書いてきました。
もちろんBYOD+VDIに懸念点や課題がないわけではありません。接続元となるBYOD端末のセキュリティをどのように考えるかなどの課題があります(*1)。ただそれを踏まえても、BYODを許可する場合には、VDIを利用したほうが考慮点も少なく、シンプルに実現できるように思います。
-------------
(*1)…特に接続元の端末がキーロガーやスクリーンショット流出関連のマルウェアに感染していた場合は、情報流出につながる可能性があります。