皆さまの会社では在宅勤務時にBYOD(Bring Your Own Device:私用端末の業務利用)の使用は許可されているのでしょうか?一般的にはBYODは情報漏えい等のリスクが大きいので在宅勤務の場合でも会社貸与のPCを持ち出し利用することが多いです。しかし、会社の事情により(PCのリース/レンタル代等の費用削減、BYODは普段使い慣れているなどのため)BYODを利用している会社もあります。
今回は、このようにBYODを利用する際のリスクとその対策を考えてみたいと思います。
環境等の前提条件
BYOD利用は、自宅からWi-Fiを利用しVPN経由で会社のLANに接続しファイルサーバーや業務アプリケーション等を利用する形態とします。
自宅のWi-Fi環境は特に問いません。インターネットプロバイダーが提供しているものを想定します。
BYODなのでシンクライアントではなく、データが保存できる通常のPCです。ただし、デスクトップだと、HDDの暗号化が行われていないので、情報漏えいリスクを考慮するとノートPCが望ましいです。
そのため、以下に記載するBYODはノートPCを前提としており、そのリスクと対策を説明します。
リスク1
BYODのアンチウィルスソフトのパターンファイルが更新されておらずBYODがウィルスに感染し重要情報が漏えいするリスク
【対策】
BYODにも会社と同じアンチウィルスソフトを導入(会社負担)し、VPN経由でBYOD起動時に最新のパターンファイルが更新されるよう設定する必要があります
BYODにも会社のPCと同じ資産管理ツール(クライアント向けのソフトウェア)を導入(従業員の了解を得る)し、パターンファイルのバージョン管理を行い、定期的に更新が適切に行われていることを確認する必要があります
BYODに会社の費用で各種ソフトウェアを導入し、定期的に更新することになるので従業員の了承(書面)を得ることが望ましいです
リスク2
BYODがウィルスに感染した状態で会社のLANに接続することにより、会社内でウィルス感染が拡大し重要情報が漏えいするリスク
【対策】
上記と同じ対策を施しておくことでリスクを低減できます
リスク3
BYODの私的利用時に、会社のLANを経由せずに直接インターネットを利用してウィルスに感染し重要情報が漏えいするリスク
【対策】
上記と同じ対策を施しておくことでリスクを低減できます
さらに、依頼ベースになるのでルールの設定は難しいですが、BYODの私的利用時には、極力不必要なサイトを閲覧しないよう周知しておくことが望ましいです
リスク4
BYODに導入していたフリーウェアのバージョンが古くて脆弱性があり、PCがウィルスに感染しBYODに保管してある重要情報が漏えいするリスク
【対策】
PCに会社指定の資産管理ツールを導入しておくことで、フリーウェアのバージョンが把握できます。ただし、そのバージョンが最新かどうかまでの判断はソフトウェアにも拠りますので、定期的に自分で確認する必要があります(管理者からメールなどで、バージョンの確認を依頼することが望ましいです)
リスク5
BYODのWindowsのバージョンが古い、又はWindows Updateの更新ファイルが提供されず、BYODがウィルスに感染し重要情報が漏えい又は暗号化されるリスク
対策
Windows10を利用している場合は、可能であれば会社が費用を負担しWindows11にした方が良いでしょう。Windows10のサポート期限は2025年10月なので、これからバージョンアップするのであればWindows11になります。ただし、Windows11にすることで動かなくなるアプリもあるので従業員の了解が必要です
さらに、Windows Updateが可能か(PCのスペック上、従業員の了解が必要(Windows Updateにより動かなくアプリがある可能性))確認します
これらのバージョンアップやWindows Updateが難しい場合は、当該BYODは禁止とすることが望ましいです
リスク6
BYODのWindows Updateが適切に実施されていないため脆弱性が残っており、ウィルスに感染しBYODに保管している重要情報が漏えいするリスク
対策
会社貸与PCと同じタイミングでBYODもWindows Updateが実施できるような環境を整備する必要があります。また、会社貸与PCに導入している資産管理ツールの導入が可能か確認し、導入しておくことが望ましいです。資産管理ツールが導入されていれば、Windows含めPCに導入している各ソフトウェアのバージョンの確認ができます
リスク7
従業員が重要情報を自宅のプリンターで印刷し、その重要情報を窃取するリスク
対策
BYODに資産管理ツールを導入していれば、新規ソフトウェア(プリンタードライバー)の導入を制限することが可能です。また、資産管理ツールにBYODの操作ログを取得する機能があれば、従業員に操作ログを取得していること、定期的にチェックしていること(実際にはチェックしていなくても牽制効果があります)を周知しておくことも重要です
一方で、資産管理ツールの導入が難しい場合は、ルールを整備し従業員に周知します。強制力を増すためには、就業規則に懲戒規程を組み込んでおくことが重要です
リスク8
従業員がBYODにダウンロードした会社の重要情報を故意に窃取し重要情報が漏えいするリスク
※例えば自己所有のUSBメモリーにコピー、自分のメールアドレスに重要ファイルを送信するケース
対策
BYODに資産管理ツールを導入していれば、USBメモリーなどの記憶媒体の利用を制限することが可能になります。自分のメールアドレスにメール送信を防止する機能として、会社のLANに接続したネットワーク状態であれば、ファイヤーウォールなどのフィルタリング機能を用いることで制限することは可能ですが、会社のLANに接続しないで、BYODを自宅Wi-Fiから直接インターネットを利用した場合は送信することは可能になります。資産管理ツールを導入していれば、操作ログ等を取得できますので、そのログを定期的に監視していることを従業員に周知し牽制することが対策となります
資産管理ツールの導入が難しい場合は、重要情報の取り扱いルールを整備し従業員に周知します。強制力を増すためには、就業規則に懲戒規程を盛り込んでおくことが必要です
リスク9
従業員がBYODを持ち出し紛失/盗難にあい重要情報が漏えいするリスク
対策
どのようなルールを整備し対策を取っていても、過失により、持ち出したBYODを紛失するリスクをゼロにすることはできませんし、盗難にあう可能性もあります。BYODの紛失又は盗難リスクを低減するためには、仮にBYODを持ち出して紛失/盗難にあっても情報漏えいが起きないような対策を取っておく必要があります。具体的には、ログインパスワードが解読されないような対策(長い文字数でかつ複数の文字種(英大文字・小文字、記号、数字)を組合せ15文字程度)をとっておくこととHDDの暗号化です。ログインパスワードを複雑にすることで、当然ですがBYODにログインできないため、直接解読はできません。HDDを暗号化しておくことで、仮にHDDを抜き取って別のPCに接続しても内容を読み取ることはできません
リスク10
従業員が退職時にBYOD上に保存してあるファイルを削除せず、転職後に利用し重要情報が漏えいするリスク
対策
退職時には自宅で使用していたBYODを会社に持ってきてもらい、有識者の立ち合いのもと、業務で使用していた全ファイルを削除します。ドキュメントフォルダ内のファイルは当然ですが、ダウンロードフォルダ、ゴミ箱、ピクチャ内も確認が必要です。メールはメールアドレスを削除することで、それ以降メールの閲覧は不可になります。BYODから会社のクラウドサービスを利用していた場合は、クラウドサービス上のファイルを削除する必要があります。また、退職者が利用していた全てのアカウントを削除する必要があります。引継ぎのため、退職者のアカウントをしばらく残している会社もありますが、その期間中に不正アクセスが無かったか、定期的にログを確認しておく必要があります
従業員が故意に、BYODとして使っていたPCではないPCを持ってきた場合には判別できるように、ファイル削除時のチェックリストに判断方法を追記しておく必要があります(一例として、会社指定のウィルス対策ソフトが入っていて、最新のバージョンになっていること、資産管理ツールが導入されており、会社側が把握しているログとPC上のログが一致していること、などで正しいPCと判断できるような条件)
リスク11
家族とBYODを共有で利用しており、家族に重要情報が漏えいするリスク
対策
業務で使用するPCを家族で共有することは基本的に禁止です。どうしても利用せざるを得ない場合は、ログインアカウントを自分用と家族用を別に作成し、当然ですが自分用のパスワードは上でも書いたように解読されないような対策を取っておく必要があります。さらに、業務で使用するフォルダのアクセス権を自分だけにしておく必要があります
リスク12
BYODがクラッシュし作業中の重要情報を紛失するリスク
対策
定期的に会社のファイルサーバー上の所定のフォルダに保管してください。BYODで作用をする場合も、基本的にはBYODにファイルをダウンロードせず、ファイルサーバー上で作業する方が望ましいです
リスク13
BYODを廃棄する際に、HDD/SSD内のファイルを完全消去せず重要情報が漏えいするリスク
対策
BYODを廃棄する際は、会社で指定されたHDD等を完全消去するソフトウェアを用いて処理してください。ゴミ箱内を空にしたり、ダウンロードフォルダ内のファイルを削除しただけでは、特殊なソフトウェアを利用するとファイルを元に戻すことができます
あるいは、HDD等をPCから取り出し物理的に破壊することでも良いです
これらの方法が難しい場合は、会社が契約している不要PCを引き取ってくれる業者に渡すことでも良いです。その際は、データを完全に消去した証明書を入手しておくと良いでしょう
リスク14
BYODが故障し廃棄する際、HDD/SSD内の情報を消去できないため情報が漏えいするリスク
対策
この場合はHDDを完全消去するソフトウェアが使えませんので、HDD等をPCから取り出し物理的に破壊する方法、又は、会社が契約している不要PCを引き取ってくれる業者に渡し、データを完全に消去した証明書を入手することでも良いです