専門家に照会する
正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。
専門家に照会する従業員がスマートフォン、タブレット、個人用ノートパソコンを職場に持ち込むことを認める企業では、個人デバイスの持ち込み(BYOD)セキュリティポリシー(略称:BYODポリシー)を策定する必要があります。ほぼすべての従業員がインターネットに接続されたデバイスを職場に持ち込んでおり、たとえそのデバイスが会社のネットワークに意図的に接続されていないとしても、セキュリティ上のリスクが存在する可能性があります。
業務メールの送信などで悪意なく個人デバイスを使用するだけでも、組織のネットワークに脆弱性が生じる場合があります。従業員が所有するスマートフォンやタブレットをある程度管理する必要があるため、あらゆる規模の組織にとって BYOD セキュリティは課題となります。何しろ、データ漏えいの 40% はデバイスの紛失や盗難が原因です。 しかし、個人の自由を重視する文化の中では、このようなポリシーは従業員から抵抗や反発を受けることがあります。この問題には、慎重かつ毅然とした態度で臨むべきです。
このような状況で、企業はサイバーセキュリティを向上させるために何をすればよいのでしょうか?BYODを完全に禁止し、ポリシーを厳格に施行することも一つの選択肢です。しかし、世界の BYOD 市場規模は大きく、今でも成長し続けています。2022 年の市場規模は3,500億ドルと推定されています。パンデミックに端を発した在宅勤務の流れは、その成長を加速させました。代替案として、企業と従業員の双方にとっての安全性を高めるために、常識的な BYOD ポリシーとセキュリティを策定し、その実践に注力することがあります。ほとんどの企業は、2 つの選択肢のうち、後者の方が実行しやすいと考えています。しかし、適正な BYOD ポリシーを策定するための取り組みや配慮が必要ないわけではありません。
BYOD は、名目上、企業にとって従業員向けのハードウェアやソフトウェアの費用を削減することにつながります。82% の企業が従業員の個人デバイスの業務利用を認めています。そのうち、71% は、従業員にとって個人のスマートフォンが最も使い慣れているため、より快適にデバイスを使用することができると考えています。58% は、生産性の向上を実感しています。しかし、コスト削減を実感しているのは 55% にとどまっています。なぜ、このような矛盾が生じるのでしょうか?セキュリティポリシーで BYOD を認めている企業では、従業員が所有するデバイスを介したデータ漏えいが 50% に上るという驚くべき結果が出ています。BYOD ポリシーの導入に反対している企業のうち、26% がセキュリティ上の懸念を主な理由としているのもうなずけます。
有効な BYOD ポリシーには、次の要素が含まれます。
最適な選択肢を提供できるよう、ポリシー策定の際は次の規定を検討する必要があります。
プライバシー規定:企業は BYOD でデータ保護と従業員のプライバシーをどのように両立させることができるか?
一貫した安全な BYOD プラクティスを考案するにはどうすればよいでしょうか?このような規模のポリシー策定には、従業員とステークホルダーの双方が参加する必要があります。従業員の意見はアンケートで得ることができ、ポリシーを立案する際の良い材料となります。経営陣、人事、IT オペレーション、財務、セキュリティの各部門の代表者は、BYOD プロジェクト管理チームに参加する必要があります。各部門はそれぞれ果たすべき役割があります。
アンケートを実施し、従業員のデバイスにどのようなデータやアプリが必要なのか、回答を分析することが効果的です。策定されたポリシーが導入された後は、プロセスにおいてトレーニングが重要な段階となります。データの取り扱い方法、デバイスのトラブルシューティング、デバイスの紛失・盗難時の対応、使用するアプリ、フィッシング対策など、あらゆる職位の従業員に指導を行い、サイバー脅威への警戒を広く指導する必要があります。
サイバーセキュリティのトレーニングを受けていない従業員は、組織のデータ保全に対する最大の危険因子であると広く認識されています。2014 年には、IT マネージャーの 87% が、組織にとっての最大の脅威は、不注意な従業員によるモバイルデバイスの使用だと回答しています。2020 年には、モバイルデバイスへの攻撃の 96% がアプリをベクトルとして使用していたという驚くべき結果が出ました。これは、5 つ中 4 つという大多数のアプリに、脆弱性を生み出す可能性のあるサードパーティライブラリが埋め込まれているためです。
企業は、強力な BYOD ポリシーを施行するために、どのようなアプリを使うべきなのでしょうか?調査によると、従業員は毎日 5 つ以上のアプリを使用していることがわかりました。組織としては、専用の安全なメッセージングプラットフォーム、メール、CRM、その他従業員が必要と感じるアプリケーションを含める必要があります。問題につながる可能性のあるアプリは、明示的に禁止する必要があります。
また、組織は、何らかの理由で従業員が退職する場合に備えて、具体的な手続きを用意する必要があります。従業員が退職した場合、組織はすべてのデータをデバイスから削除し、会社のアプリケーションへのアクセスも停止させる必要があります。しかし、このような義務を課すことは多くの困難を伴い、しばしば、BYOD ポリシーを廃止し、会社提供のデバイスを貸与する十分な理由となります。
ポリシーは企業が施行することができてこそ効力を持つものであり、ポリシーを守れない従業員には何らかの責任を負わせる必要があります。どのようなポリシーであっても、チームメンバー全員が認識できるように、説明責任の追跡、測定、施行に関する具体的な内容を周知する必要があります。BYOD 導入の大きな課題の一つに監督不行き届きがあります。企業は、従業員に対するセットアップや継続的なサポート、監視のために十分な IT サポートスタッフを必要とします。
システムおよびプロトコルを保護した後、組織は従業員に対する教育を優先させる必要があります。BYOD を成功させるためには、許容される使用と基本的なデータセキュリティ衛生の重要性を従業員に認識させることが不可欠です。
BYOD ポリシーに含めることを検討すべきセキュリティソリューションには、次のようなものがあります。
データロケーションやデータアクセスパターンの監視ツールにより、安全でない場所や不審な場所(北朝鮮など)からのアクセスなど、不審な挙動を検出する
BYOD システムのセキュリティを高める方法として、暗号化された USB フラッシュドライブや暗号化された SSD を従業員に配布する方法があります。従業員全員にスマートフォンやタブレットを支給するよりも経済的であり、従業員が職場に持ち込むすべてのデバイスをコンテナ化するよりもはるかに簡単で、これらのデバイスに保存されたデータは、一般的なデバイスよりも適切に保護されます。高度な暗号化を十分に行っていれば、暗号化されたドライブが盗難に遭っても、特権データにアクセスすることはできません。
#KingstonIsWithYou #KingstonIronKey
正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。
専門家に照会する