IT BCPと密接な関係を持つBYOD対策/MDM活用

講師S氏：ここ1、2年、私物端末を業務に活用する「BYOD（Bring Your Own Device）」や私物端末を効果的に活用した「在宅勤務システム構築」の流れが企業システムに新風を巻き起こしていますね。米国の大手半導体メーカーのインテルが、従業員が自前で購入したスマートフォン、タブレット、Mac OS搭載PCをBYODの対象として認めているように、スマートフォンは仕事に対するイニシアティブ向上、従業員の満足度向上、従業員の生産性向上に大きく貢献するとみられています。

　こうした背景には、スマートフォンやタブレット端末はじめとするコンシューマ機器が、今や企業向け機器と比較して機能的に遜色のない水準にまで高度化していること、さらにこれらを安価に購入できるようになってきたことがあります。

　今後、企業にとって業務用モバイル・プラットフォームや在宅勤務システムの活用度合いは一段と高まり、いずれ企業のIT BCPのシステム構築にも大きく関係することになると予想されます。

受講者D：確かに企業のモバイル・プラットフォームがIT BCPと結びついていくのは私も同感ですし、必然の流れと思います。しかし、BCPやIT BCPのインフラは不測の事態が起きても、停止させない、速やかに復旧させることが使命です。となれば、通常の情報システムよりもバックアップ機能を含め、さらにかなり堅牢で高い信頼性を求められることになります。スマートフォンの企業利用は、まだこうした面で多くの不安要素があるのではないでしょうか？

講師S氏：懸念を持たれるのはごもっともです。確かに、IT BCPは私的・公的な堅牢なセキュリティが要求されるため、一足飛びに高い信頼性のある水準にまで到達するのは難しいでしょう。

　海外の企業ではBYODが急激な勢いで進展していますが、国内企業では、一部先進企業やフロントエンド業務以外ではまだ慎重論が根強くあるのが実情ですね。こうした慎重論の論拠は、そのほとんどがセキュリティ管理の困難さ、セキュリティポリシーの再編成の必要性を理由にあげていることが多いようです。

　残念ながら、一部の企業では、ルールや規定を確立しないまま、「勝手導入」の形態でなし崩し的に私物のスマートフォン端末などが利用され、端末管理、セキュリティ管理が完全に後手に回っており、IT部門を中心に危機感を募らせているのも事実です。

　一般に、企業でスマートフォンやタブレットを業務端末として利用する場合には、導入の初期段階から、支給端末、私物端末のいずれに対してもワンタイムパスワードを使った認証や、端末ロックのパスコードでセキュリティ保護することが一般的ですね。また、一部の企業では、社内のメールシステムをIMAPによる独自のシステムとして構築するケースもありますが、その場合にはモバイルデバイスからのアクセスをチェックすることも可能です。

　しかし、セキュリティ対策やIT BCP対策では、使い勝手や管理負担の面で不安を残したまま、システム部門の経験則の延長で見切り発車させてしまうと、いざという時にうまく機能せず、会社全体の期待・信頼を損ねてしまう恐れがあります。セキュリティを強化するために図形認証などを導入した場合、エンドユーザーには操作の負担を増すことになるため、一部では懸念する声もあがっているようですね。また、たとえば、パスワードのリトライ操作ではミスをしてしまうこともあり得ますので、現状では万全なセキュリティ対策とはいえないと思われます。

　とはいえ、課題点、脆弱な要素が顕在化されていくことにより、むしろ、企業や情報システム部門では、MDM（＝モバイルデバイス管理）の必要性に対する認識が高まってきているのも事実です。人間万事塞翁が馬といわれますが、企業や情報システムだって同じでしょう。課題点を認識することで改善されていくはずです。そして、こうしたコミュニケーション・インフラの刷新の潮流はそのままIT BCPのブラッシュアップや高度・活用の模索へとつながっていくはずです。

受講者E：最近、BCP対策の一環で在宅勤務制度やそのためのシステム整備を進めている事例が増えているようですが、このことと、BYODやMDMとの関連性について少し説明していただけますか？

講師S氏：そうですね。一般に、在宅勤務においては、従業員が社内のノートPCを自宅に持ち帰って使用したり、必要なデータをUSBメモリーなどの外部記憶媒体にコピーして持ち帰り、自宅PCで利用するといった形がとられます。

　当然、そこには、ノートPC自体や外部記憶媒体の紛失や盗難、あるいは自宅PCのウイルス感染や利用者自身の誤操作による外部への不適切なデータ送信などによる情報漏えいなどのさまざまなリスクがつきまとうことになります。したがって、在宅勤務の取り組みには、こうした情報漏えいリスクからデータを保護するための万全のセキュリティ対策を施すことが不可欠な前提条件となってきますね。

　そのため、BYODの需要増大と比例して、スマートフォン紛失時の不正利用などを防止することを目的に、端末操作を遠隔から止めるリモート・ロックやGPS機能を利用して位置情報を知らせる位置確認などの機能をクラウドサービスの形態で提供するサービスがここ数か月、急増しているようです。

　こうした産業界の要請を受けて、政府関連機関の内閣官房情報セキュリティセンター（NISC）は2011年5月、「政府機関における情報セキュリティに係る年次報告（平成23年度）（PDF）」を発表しています。そして、スマートフォンに対する情報セキュリティ対策強化と、それを推進するための条件して、「BYODの利活用を踏まえた対策」を2012年度に重点的に取り組むべき課題として挙げ、企業でのスマートフォン利用を前向きかつ建設的に推進する立場をとっています。

　このところ政府機関をターゲットとしたセキュリティアタックが頻発し、情報セキュリティ上のリスクに関して関心が高まっているなかで、あえてBYOD重視のスタンスをとり、セキュリティの強化策の指針を具体的に打ち出してことで、今後、企業の情報システム部門でも、スマートフォン/タブレット端末の業務利用や正規のセキュリティポリシーにBYODポリシーを取り込む機運を促進させる狙いがあるようです。

受講者F：企業の情報システム部に所属し、BYOD対策に取り組んでいます。セキュリティポリシーにBYODポリシーを取り込むということですが、重要な課題ですのでこの点について、もう少し踏み込んでご説明いただけますか？

講師S氏：当面、企業が業務用端末としてスマートデバイスを活用する場合、「新たなポリシーの適用/ネットワーク設定、認証、セキュリティ、コンプライアンス、BYOD進展とそのリスク抑制」といった各側面の課題を解決し、端末を一括管理する仕組み、すなわちMDMの導入が大きな鍵を握ることになると思います。

　こうした新しいタイプの端末を使用する構成員の人数が増えれば増えるほどデバイス調達コストが軽減しますが、一方で、「管理コスト」の増大や「コンプライアンス強化」の面では逆に管理負担の増大が予想されます。

　また、スマートフォンやタブレット端末などを社内もしくは社内へのアクセスを許す利用環境を構築する場合、今後は運用管理面での手法確立と同時に、端末機器に対して一定のルールの下で使用されること＝「利用者向けルール」の確立が前提条件となるでしょうね。

　最初にあげた「管理コスト」には、目に見えない運用管理負担、労務管理、故障時の代替手段に係る負担があげられます。また、「コンプライアンス強化」には、法令対応、労働条件、内部統制対応など多くの課題が浮上してくる可能性がありますね。

　さらに、最後にあげた「利用者向けルール」には、既存の技術で現状と同等のセキュリティを確保するために派生する新たなルールを付加していく必要があるでしょう。もちろん、利用ガイドラインを設け、利用者の意識面での向上にも努めなければならないと思います。

【次ページ】BCP＆MDM統合ソリューションは大きなビジネスチャンス