あなた個人のスマートフォンが企業にもたらすのはメリットかデメリットか!?仕事でスマートフォンを使うなら知っておきたいキーワード「BYOD」
個人のスマートフォンを業務で利用することならではの「新しいリスク」とは
セキュリティ対策ソフトを開発・販売するトレンドマイクロ株式会社では、昨今企業や団体が導入を決定、もしくは導入の検討を進めている「BYOD」が抱えるリスクに関し、下記のようにレポートのまとめをいたしましたので、ここに御報告いたします。
世界的にスマートフォンのシェアが拡大しており、現在ではビジネスツールとしても欠かせない存在になりつつあります。仕事でスマートフォンを使う上で注目していきたいキーワードが「BYOD(ビーワィオーディ)」です。仕事でスマートフォンやタブレットを使用する場合、会社から端末自体を支給される場合と、自分の端末を業務にも利用する場合の2通りのケースがあります。BYODは「Bring Your Own Device(デバイスを持参する)」の略であり、自分の端末を業務にも利用する場合を指す言葉です。BYODが企業にもたらす大きなメリットはコスト面があげられます。個人の所有物をそのまま利用するため、新たな端末の購入費用が発生せず、社員側も普段使い慣れた端末で仕事ができ、私用とは別に会社から支給された端末を持ち歩く苦労からも解放されます。
しかしながら、このBYOD、個人のスマートフォンを業務で利用することならではの「新しいリスク」を抱えています。スマートフォンには様々なアプリケーションが用意され、PDFやエクセル等、普段の業務で利用している様々な形式のデータや、クラウド上にあるデータにもアクセスすることが可能です。ですが、これらのアクセス可能な様々なデータが個人所有ではなく会社の資料やメールの場合、何か問題が起きた時には、個人で責任を取れる範囲を簡単に越えてしまうリスクがあります。事業継続に関わる機密情報や保護されるべき個人情報であったり、保護されるべき個人情報であるケースが多いことが理由です。
会社の仕事に関わるメールや、メールに添付されているデータ、その他のあらゆる閲覧可能なデータは、本来その企業の関係者以外が知り得てはいけない情報が多く含まれます。重要ではない内容、周知の事実だから大丈夫と思われるケースもあるかもしれませんが、その判断は会社側がくだすもので、いち社員が判断をすべきものではありません。確かにBYODには様々なメリットがありますが、それを活かすには個々が個人のスマートフォンで機密情報にアクセスをしているという認識を、常に持つことが求められます。
■企業がBYODを導入した際のリスクの大きさ
スマートフォンにより企業の機密情報に、手軽にアクセスできるようになったことで発生するリスクとは、「社員がパソコン以外に機密情報にアクセスできる端末が増えたこと」そのものです。スマートフォンは社外に持ち出す事が前提の端末、ましてや個人のスマートフォンの場合、そのリスクは決して小さなものではありません。万が一、機密情報を漏らしてしまうようなことがあった場合、自社に大きな損失を与えるだけでなく、取引先も含めた仕事上のありとあらゆる繋がりに悪影響を及ぼすため、情報をもらした個人ではなく、会社が社会的責任を問われる事態に陥ることは容易に想像ができます。
このBYODによるリスクの大きさはスマートフォンでアクセス可能な機密情報の範囲によって異なります。仕事でスマートフォンを使う際、最も多い利用法のひとつがメールの閲覧や送信でしょう。メールは個人名や企業名、アドレスなど保護されるべき情報が多いだけでなく、様々なデータも添付されています。発売前の新製品や未発表の事項など、メールを介してやりとりする機密性の高い情報は決して少なくありません。また、会社のサーバにアクセスしてファイルを閲覧、編集ができる権限が与えられている場合、同じサーバに格納される、他の社員の業務データにもアクセスできてしまうリスクも存在します。
スマートフォンは業務に関する数値や情報を閲覧し、入力する事も可能です。各地にちらばる営業担当者が、スマートフォンを介して業務の進捗情報をリアルタイムに共有化する事は効率の向上につながりますが、顧客名や業務の内容、各種数値が詳細に記された共有データは、間違いなく機密性の高いデータと言えます。ですが、BYODを導入する際に企業が社員の個人端末を管理することができていなければ、機密情報漏洩のリスクは高くなります。
また、機能的にはパソコンに近いが、従来通りの携帯電話という意識も働くスマートフォンでは、会社が指示を出さなければセキュリティソフトも導入していないケースも見受けられます。弊社の調査では、「不正かつ危険度の高いAndroid向けのアプリの数」が、2012年4月時点では1万1000件でしたが、2012年9月には17万5000件と、約半年の間に約16倍もの増加があったことが確認されています(トレンドマイクロ株式会社TrendLabs2012年第3四半期セキュリティラウンドアップ資料より)。
■業務で利用しているスマートフォンを置き忘れることもリスク
機密情報にアクセス可能なスマートフォンを、電車や店に置き忘れてくる可能性をゼロにすることはできません。もし、BYODを目的に所有するスマートフォンをどこかに置き忘れてしまったならば、情報セキュリティ的には完全にアウトです。業務でも使用している端末を紛失することは、誰かが機密情報を勝手に利用、悪用する可能性を作りだしている事に等しいと言えます。
取引先が置き忘れたスマートフォンを見る可能性もありますし、悪意のある第3者が機密情報を悪用しようとする可能性もあります。仮にスマートフォンにパスワードロックという最低限のセキュリティ対策が行われていなければ、誰でも操作ができてしまい、リスクは非常に高い状態であると言わざるを得ません。
個人のスマートフォンを業務で利用することの「新しいリスク」とは、アクセスできる情報の量が増大し、機密情報へのアクセス権限を持っているにも関わらず、社員個人の端末がどのような状態で使われているか管理されていないということにあります。正しく管理、使用されればメリットも大きいであろうBYODは、2013年でも注目されるキーワードとなるでしょう。しかし社員の多くが既にスマートフォンを持っているからと安易に考えず、導入前にセキュリティの専門会社に相談することもひとつの選択肢と言えるでしょう。
【参考URL】
TrendLabs2012年第3四半期セキュリティラウンドアップ
人気の代償:Android端末を集中攻撃
http://jp.trendmicro.com/imperia/md/content/jp/threat/report/qsr/2012q3.pdf?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマホ・タブレット端末のBYOD実態調査−禁止している企業内でも5割以上が個人所有端末の業務利用経験あり。ポリシーやルールに強制力や抑止力が「十分ある」と回答したのは約2割
http://jp.trendmicro.com/jp/about/news/pr/article/20120628060439.html?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
情報を流出する不正スマートフォンアプリの実態とは?
http://blog.trendmicro.co.jp/archives/6194?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマートフォンを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も
http://blog.trendmicro.co.jp/archives/4714?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマートフォンを狙った「ワンクリアプリ」を警視庁が摘発
http://blog.trendmicro.co.jp/archives/5354?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマートフォンを狙うワンクリウェアに新たな手口 − カメラ撮影音の鳴動や位置情報の送信も
http://blog.trendmicro.co.jp/archives/4853?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
本リリースに関するお問い合わせ先
トレンドマイクロ株式会社 マーケティング本部 エンタープライズマーケティング部
enterprise-campaign@trendmicro.co.jp
セキュリティ対策ソフトを開発・販売するトレンドマイクロ株式会社では、昨今企業や団体が導入を決定、もしくは導入の検討を進めている「BYOD」が抱えるリスクに関し、下記のようにレポートのまとめをいたしましたので、ここに御報告いたします。
世界的にスマートフォンのシェアが拡大しており、現在ではビジネスツールとしても欠かせない存在になりつつあります。仕事でスマートフォンを使う上で注目していきたいキーワードが「BYOD(ビーワィオーディ)」です。仕事でスマートフォンやタブレットを使用する場合、会社から端末自体を支給される場合と、自分の端末を業務にも利用する場合の2通りのケースがあります。BYODは「Bring Your Own Device(デバイスを持参する)」の略であり、自分の端末を業務にも利用する場合を指す言葉です。BYODが企業にもたらす大きなメリットはコスト面があげられます。個人の所有物をそのまま利用するため、新たな端末の購入費用が発生せず、社員側も普段使い慣れた端末で仕事ができ、私用とは別に会社から支給された端末を持ち歩く苦労からも解放されます。
しかしながら、このBYOD、個人のスマートフォンを業務で利用することならではの「新しいリスク」を抱えています。スマートフォンには様々なアプリケーションが用意され、PDFやエクセル等、普段の業務で利用している様々な形式のデータや、クラウド上にあるデータにもアクセスすることが可能です。ですが、これらのアクセス可能な様々なデータが個人所有ではなく会社の資料やメールの場合、何か問題が起きた時には、個人で責任を取れる範囲を簡単に越えてしまうリスクがあります。事業継続に関わる機密情報や保護されるべき個人情報であったり、保護されるべき個人情報であるケースが多いことが理由です。
会社の仕事に関わるメールや、メールに添付されているデータ、その他のあらゆる閲覧可能なデータは、本来その企業の関係者以外が知り得てはいけない情報が多く含まれます。重要ではない内容、周知の事実だから大丈夫と思われるケースもあるかもしれませんが、その判断は会社側がくだすもので、いち社員が判断をすべきものではありません。確かにBYODには様々なメリットがありますが、それを活かすには個々が個人のスマートフォンで機密情報にアクセスをしているという認識を、常に持つことが求められます。
■企業がBYODを導入した際のリスクの大きさ
スマートフォンにより企業の機密情報に、手軽にアクセスできるようになったことで発生するリスクとは、「社員がパソコン以外に機密情報にアクセスできる端末が増えたこと」そのものです。スマートフォンは社外に持ち出す事が前提の端末、ましてや個人のスマートフォンの場合、そのリスクは決して小さなものではありません。万が一、機密情報を漏らしてしまうようなことがあった場合、自社に大きな損失を与えるだけでなく、取引先も含めた仕事上のありとあらゆる繋がりに悪影響を及ぼすため、情報をもらした個人ではなく、会社が社会的責任を問われる事態に陥ることは容易に想像ができます。
このBYODによるリスクの大きさはスマートフォンでアクセス可能な機密情報の範囲によって異なります。仕事でスマートフォンを使う際、最も多い利用法のひとつがメールの閲覧や送信でしょう。メールは個人名や企業名、アドレスなど保護されるべき情報が多いだけでなく、様々なデータも添付されています。発売前の新製品や未発表の事項など、メールを介してやりとりする機密性の高い情報は決して少なくありません。また、会社のサーバにアクセスしてファイルを閲覧、編集ができる権限が与えられている場合、同じサーバに格納される、他の社員の業務データにもアクセスできてしまうリスクも存在します。
スマートフォンは業務に関する数値や情報を閲覧し、入力する事も可能です。各地にちらばる営業担当者が、スマートフォンを介して業務の進捗情報をリアルタイムに共有化する事は効率の向上につながりますが、顧客名や業務の内容、各種数値が詳細に記された共有データは、間違いなく機密性の高いデータと言えます。ですが、BYODを導入する際に企業が社員の個人端末を管理することができていなければ、機密情報漏洩のリスクは高くなります。
また、機能的にはパソコンに近いが、従来通りの携帯電話という意識も働くスマートフォンでは、会社が指示を出さなければセキュリティソフトも導入していないケースも見受けられます。弊社の調査では、「不正かつ危険度の高いAndroid向けのアプリの数」が、2012年4月時点では1万1000件でしたが、2012年9月には17万5000件と、約半年の間に約16倍もの増加があったことが確認されています(トレンドマイクロ株式会社TrendLabs2012年第3四半期セキュリティラウンドアップ資料より)。
■業務で利用しているスマートフォンを置き忘れることもリスク
機密情報にアクセス可能なスマートフォンを、電車や店に置き忘れてくる可能性をゼロにすることはできません。もし、BYODを目的に所有するスマートフォンをどこかに置き忘れてしまったならば、情報セキュリティ的には完全にアウトです。業務でも使用している端末を紛失することは、誰かが機密情報を勝手に利用、悪用する可能性を作りだしている事に等しいと言えます。
取引先が置き忘れたスマートフォンを見る可能性もありますし、悪意のある第3者が機密情報を悪用しようとする可能性もあります。仮にスマートフォンにパスワードロックという最低限のセキュリティ対策が行われていなければ、誰でも操作ができてしまい、リスクは非常に高い状態であると言わざるを得ません。
個人のスマートフォンを業務で利用することの「新しいリスク」とは、アクセスできる情報の量が増大し、機密情報へのアクセス権限を持っているにも関わらず、社員個人の端末がどのような状態で使われているか管理されていないということにあります。正しく管理、使用されればメリットも大きいであろうBYODは、2013年でも注目されるキーワードとなるでしょう。しかし社員の多くが既にスマートフォンを持っているからと安易に考えず、導入前にセキュリティの専門会社に相談することもひとつの選択肢と言えるでしょう。
【参考URL】
TrendLabs2012年第3四半期セキュリティラウンドアップ
人気の代償:Android端末を集中攻撃
http://jp.trendmicro.com/imperia/md/content/jp/threat/report/qsr/2012q3.pdf?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマホ・タブレット端末のBYOD実態調査−禁止している企業内でも5割以上が個人所有端末の業務利用経験あり。ポリシーやルールに強制力や抑止力が「十分ある」と回答したのは約2割
http://jp.trendmicro.com/jp/about/news/pr/article/20120628060439.html?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
情報を流出する不正スマートフォンアプリの実態とは?
http://blog.trendmicro.co.jp/archives/6194?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマートフォンを狙ったワンクリックウェアを確認。執拗に請求画面を表示し、電話番号の流出も
http://blog.trendmicro.co.jp/archives/4714?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマートフォンを狙った「ワンクリアプリ」を警視庁が摘発
http://blog.trendmicro.co.jp/archives/5354?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
スマートフォンを狙うワンクリウェアに新たな手口 − カメラ撮影音の鳴動や位置情報の送信も
http://blog.trendmicro.co.jp/archives/4853?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaamimobile2012-_-News-_-webrelease
本リリースに関するお問い合わせ先
トレンドマイクロ株式会社 マーケティング本部 エンタープライズマーケティング部
enterprise-campaign@trendmicro.co.jp