従業員は仕事に個人のデバイスを使用する方が安心できるかもしれませんし、そうすることで会社のコストも節約できるかもしれません。しかし、セキュリティという大きなトレードオフがあります。
サイバーセキュリティプロバイダーのSlashNextが3月30日に発表したレポートでは、従業員の個人用アプリやデバイスの使用がどのようにセキュリティ上の脅威につながるかを調査し、従業員の43%が仕事に関連したフィッシング攻撃の標的になっていることを明らかにした。
SlashNextのモバイルBYODインテリジェンスレポートでは、業務における個人デバイスの利用状況、BYOD(Bring Your Own Device)の普及に伴う企業におけるセキュリティと従業員のプライバシーのバランス、そしてその結果生じるサイバーセキュリティのギャップについて、300名を対象に調査を実施しました。対象者には、北米で1,000人以上の従業員を抱える組織のセキュリティ専門家と従業員が含まれています。
ジャンプ先:
- BYODが増加している理由
- 従業員が仕事で個人用デバイスを使用する方法
- BYODがセキュリティ上の脅威につながる理由
- BYODが制御とプライバシーの課題につながる理由
- BYODのセキュリティ課題に対する可能な解決策
BYODが増加している理由
調査では、仕事での個人用デバイスの利用が増加していることが明らかになりました。その理由の一つは利便性です。リモートワークやハイブリッドワークスタイルを採用する人が増えるにつれ、従業員はいつでもどこでも仕事ができるようにしたいと考えており、そのためには自分のPCやモバイルデバイスを使う必要がある場合が多くなっています。
BYODのもう一つの理由は、利便性です。従業員は既に自分のデバイスやアプリに慣れているため、会社支給の異なるデバイスを使用する際の習得期間が短縮されます。
従業員が仕事で個人用デバイスを使用する方法
BYOD が増加する中、SlashNext の調査によると、人々が個人のデバイスで行う最も一般的な仕事関連のタスクは次の 3 つです (図 A )。
- 従業員の 66% が仕事に個人用のテキスト メッセージ アプリを使用しています。
- 59% が個人およびプライベートのメッセージング アプリを仕事に使用しています。
- 57% の回答者が、仕事用のメールを個人的な理由で時々使用しています。
図A
調査では、雇用主の85%が従業員の個人用デバイスに業務関連のアプリをインストールすることを義務付けていることも明らかになった。
BYODがセキュリティ上の脅威につながる理由
欠点は、個人用デバイスと仕事用デバイスの使用が曖昧になり、セキュリティ上の脅威につながりやすいことです。調査対象者の中には、
- 回答者の71%は、機密性の高い仕事用のパスワードを個人の携帯電話に保存しており、これが情報漏洩の危険にさらされていると回答した。
- 従業員の 43% が個人用デバイスでフィッシング攻撃の標的になったことがあります。
これに対して、調査対象となったセキュリティ専門家の 95% が、プライベート メッセージング アプリ経由で送信されるフィッシング攻撃に対する懸念が高まっていると述べています。
「ほとんどの企業は何らかの形でBYODをサポートしており、これにより消費者レベルのハッキングが企業の侵害の領域にまで持ち込まれることになる」とサイバー衛生企業ViakooのCEO、バド・ブルームヘッド氏は述べた。
「従業員が職場で個人のパスワードを使用していないことを確認することで、侵害の可能性を減らすことができますが、仕事と家庭生活の境界線が曖昧になっているため、サイバー犯罪者が企業のシステムやデータを狙った攻撃を実行しやすくなります。」
BYODが制御とプライバシーの課題につながる理由
BYODの使用は、管理やプライバシーの問題を引き起こす可能性もあります。例えば:
- ITスタッフやヘルプデスクスタッフは、個人のデバイスに会社のポリシーを適用する自由と責任を持っていますか?もしそうなら、それらのデバイスがセキュリティのベストプラクティスに準拠するように設定・更新されていることをどのように確認しているのでしょうか?
- 個人のデバイスに機密性の高い仕事用データを保存すると、特にデバイスが紛失したり盗難にあったりした場合に、法的およびコンプライアンス上の問題が発生しますか?
調査対象となったセキュリティ専門家のうち、90%が従業員の個人デバイスの保護を最優先事項と回答しました。しかし、これを達成するための適切なツールを保有していると回答したのはわずか63%でした。さらに、89%が従業員の個人データへのアクセスについて法的懸念を抱いていると回答しました。
BYODのセキュリティ課題に対する可能な解決策
モバイルデバイスを標的とする脅威が数多く存在する中、セキュリティ専門家の81%は、従業員に仕事専用のスマートフォンを1台ずつ支給することで、セキュリティとプライバシーの問題に対処できると考えています。しかし、スマートフォンを2台持っていても、多くの従業員は依然として業務に自分のデバイスを使用しており、サイバー犯罪者が悪用できる攻撃対象領域が2倍に拡大しているのです。
これに対処する 1 つの方法は、仕事用の電話と個人の電話の両方の使用を管理するポリシーを確立することです。
セキュリティトレーニングは、従業員に攻撃の回避方法を教えることで、攻撃を防ぐもう一つの方法としてしばしば宣伝されています。しかし、調査対象となったセキュリティ専門家の98%は、定期的なトレーニングを受けても、従業員はフィッシング攻撃などの脅威に対して依然として脆弱であると回答しています。
ブルームヘッド氏によると、セキュリティトレーニングは良い出発点となる。しかし、基本的なトレーニングに加えて、雇用主は従業員が指示に実際に従っているかを確認するために、テストや監査を行う手段を持つべきだ。さらに、IoTデバイスを保有する組織は、それらを別々のネットワークに接続し、最新のセキュリティ修正プログラムを適用する必要があると、ブルームヘッド氏は付け加えた。
「幸いなことに、これは珍しい状況ではありません」とブルームヘッド氏は述べた。「企業のIoTデバイスは通常、企業のIT部門が管理していないネットワーク上で稼働しており、IoTセキュリティのベストプラクティスは在宅勤務にもそのまま適用できます。」
