最近の組織では、BYOD(Bring Your Own Device:私物デバイスの業務利用)と呼ばれる、従業員が私物デバイスを業務に利用することを認めている場合が多い。BYODは柔軟性と利便性を提供しますが、個人のデバイスには企業のハードウェアのような厳格な保護対策がないため、セキュリティ・リスクも生じます。
BYODセキュリティとは?
BYOD セキュリティの定義と範囲
BYOD セキュリティ・ポリシーは、ラップトップ、スマートフォン、タブレットなど、従業員の個人用デバイスの使用を管理および制御するためのガイドラインとフレームワークを確立することを目的としています。管理されていないデバイスを保護されたリソースにアクセスさせると、データ損失やマルウェア感染など、有害なセキュリティ・リスクが発生します。
BYOD の使用範囲では、IT インフラストラクチャのいくつかの重要な側面を明確に定義する必要があります。たとえば、組織は、業務目的、アプリケーションの種類、または内部リソースへのアクセスに許可されるデバイスの種類、および個人用デバイスの利用が許可される人員を決定する必要があります。
従業員所有のデバイスを保護することの重要性。
最近の統計によると、企業の 83% がBYOD ポリシーを定めており、従業員の 75% が個人の携帯電話を業務に使用しています。リモート・ワーカーやハイブリッド・ワーカーを抱える企業は、特にタイムリーなハードウェアの提供が困難な状況では、個人用デバイスの使用に対応しなければならないことが多い。
BYODポリシーは、柔軟な勤務形態を通じて従業員の生産性と仕事への満足度を高めるため、組織にとって有益であることが証明されている。また、従業員が私物のデバイスを利用できるため、企業は業務用のノートパソコンやスマートフォンのプロビジョニングに関するコストを削減できる。
BYOD セキュリティ・リスク
Secure アクセス
リモートワーク中、従業員は個人所有のデバイスを安全でないWi-Fiネットワークに接続する可能性があり、特に公衆ネットワーク内でアクセスされたファイルやフォルダの共有を受け入れる場合、傍受されやすい。
Secure ブラウジング
有害なウェブサイトへのアクセスをブロックし、接続が暗号化されていることを保証する効果的なツールがない場合、従業員は自分のデバイスを使用して、悪意のあるウェブサイトやフィッシング・ウェブサイトを訪問し、やりとりする可能性がある。
安全なファイルダウンロード
ウェブサイトやメッセージングアプリからダウンロードされたスキャンされていないファイルにはマルウェアが含まれている可能性があり、従業員がラップトップを社内ネットワークに接続した際に拡散する可能性があります。安全でないファイルのダウンロードを許可することは、重要なデータの漏えいにつながる可能性があるため、大きなリスクを伴います。
不正アクセス
従業員が私物のデバイスを使用して業務を行う場合、セキュリティが不十分だと、企業のネットワークやデータが不正アクセスにさらされる可能性がある。従業員の家族もこれらのデバイスやUSB ドライブを使用してデータを転送している場合、リスクはさらに増大します。
Software 脆弱性
個人所有のデバイスは、会社支給のデバイスと同レベルのセキュリティやパッチ更新が行われていない可能性があり、マルウェアやウイルスに感染しやすくなります。BYOD でアクセスするユーザーは、危険なソフトウェアを搭載したデバイスで会社のリソースにアクセスすることで、悪意のある行為者に悪用される隙を知らず知らずのうちに与えている可能性があります。
データ漏洩
デバイスの紛失、盗難、漏洩のもう 1 つの重大な結果は、データの漏洩です。権限のない個人が BYOD デバイスにアクセスすると、組織は機密情報やデータが流出するリスクに直面します。
コンプライアンスの問題
暗号化、アクセス制御、データ保護が不十分な個人用デバイスは、GDPR、HIPAA、PCI DSSなどの基準への準拠に課題をもたらす可能性がある。特に、機密データを保護しなければならない金融機関や医療機関にとっては、法的な影響が大きい。
事例と実例
Slackのプライベート・コード・リポジトリへの不正アクセス
2022年12月、SlackのGitHubリポジトリの一部で不審な動きがあった。調査の結果、正体不明の人物が従業員のアクセストークンにアクセスし、プライベートコードリポジトリにアクセスしていたことが判明した。データを分析した結果、この不正ユーザーがコラボレーション・プラットフォームのプライベート・リポジトリを多数ダウンロードしていたことが判明した。
暗号通貨取引所プラットフォームのデータ流出
2017年、韓国の暗号通貨取引所Bithumbは、従業員の自宅のパソコンがハッキングされ、3万人の顧客の個人情報がうっかり流出した。攻撃者は顧客名、mobile 電話番号、電子メールアドレスなどのデータを採取し、後にフィッシング電話に活用された。暗号通貨取引所はその後、罰金を支払い、個人情報が流出し金銭的損失を被った顧客全員に弁済しなければならなかった。
Mobile 正規のアプリを装ったトロイの木馬型マルウェア
2016年、DressCodeトロイの木馬マルウェアがGoogle Playストアのゲーム、テーマ、スマートフォンのパフォーマンスブースターで発見された。DressCodeを搭載した悪意のあるアプリがインストールされると、そのアプリはコマンドサーバーと通信し、感染したデバイスが接続されているネットワークに侵入する指示を送ることができる。研究者らは、Google Playで入手可能なDressCodeマルウェアが埋め込まれたアプリの事例を400以上認識している。アプリに埋め込まれたその他の既知または未知の脅威は、BYOD ポリシーを持つ組織に重大なリスクをもたらす可能性があります。
Secure BYODの方法
BYOD ポリシーの確立
セキュアな BYOD 環境への最初の重要なステップは、BYOD セキュリティ・ポリシーの重要な要素を正式に確立することです:
- ユーザー同意書:個人用デバイスの安全確保に関して従業員に期待されるすべての事項を概説する。典型的なユーザー同意書の要素には、許容される使用ポリシー、セキュリティコンプライアンスの要件、特に解雇やデバイスの撤去の場合の責任と義務などが含まれる。
- 許可される活動と禁止される活動:許可されたアプリケーション、電子メールへのアクセス、社内文書へのアクセスなど、従業員が個人用デバイスで実行できる業務関連のタスクを定義する。個人デバイスに機密データを保存したり、許可されていないファイルをダウンロードするなど、会社にリスクをもたらす可能性のある行為は禁止しなければならない。
- 許可されたデバイス:スマートフォン、タブレット、ラップトップなど、許可される個人用デバイスを指定し、特定のモデル、ブランド、オペレーティングシステム(iOS、Android、macOS、Windowsなど)を含め、デバイスが会社のセキュリティ構成と互換性があることを確認する。
Mobile デバイス管理 (MDM)
MDMテクノロジーは、企業で業務に使用されるデバイスの準備、管理、制御を行う。MDM プログラムは、企業のデバイスを制御するだけでなく、従業員の個人用デバイスを登録することもできる。MDMソフトウェアは、プロファイル・データ、VPN、必要なアプリケーションやリソース、およびデバイスのアクティビティを監視するためのツールをデバイスに組み込みます。
リムーバブルMedia ポリシーの確立
USB 、外付けハードドライブなどのリムーバブルメディアを使用してデータを転送することは、重大なセキュリティリスクを伴います。このようなデバイスは、マルウェアをネットワークに持ち込む可能性があり、データ漏洩やシステムの中断につながる可能性があります。MetaDefender Kiosk™のような物理的ソリューションは、複数のマルウェア対策エンジンを使用してリムーバブルメディアをスキャンし、その安全性を確保します。
セキュリティ・ソリューションの導入
BYOD デバイスは、MetaDefender Endpoint™ のようなエンドポイント・セキュリティ・ソリューションによって保護できます。このエンドポイント・セキュリティ・プログラムは、デバイスに重要なセキュリティ対策を施し、脅威を排除します。
機密データを静止時と転送時の両方で保護します。ライフサイクルを通じて読み取り可能なデータを暗号化することで、デバイスの紛失、盗難、漏洩が発生した場合でも、権限のないユーザーには情報が分からないようにすることができます。
ポリシーを実施し、デバイスが企業リソースにアクセスする前に準拠していることを確認します。これらのポリシーには、マルウェア対策のスキャンスケジュール、脆弱性とパッチの管理、キーログのブロック、スクリーンキャプチャの防止などが含まれます。
コンプライアンス指令の中には、サードパーティのトランジェント・デバイスへのソフトウェア・インストールを認めず、エンドポイント・ソリューションのインストールを禁止するものがあります。このような法令を遵守するために、MetaDefender Drive™ のようなソリューションを導入することで、一時的なデバイスのオペレーティングシステムから起動することなく、ベアメタルスキャンを実行することができます。
ネットワーク・セキュリティ対策
ネットワーク・セキュリティは、エンドポイントから企業ネットワークへの管理とアクセス制御を可能にし、許可された準拠デバイスのみが接続できるようにします。
Secure アクセス
ファイアウォール、リモートアクセスのためのセキュアなVPN、ファイルやデータへのアクセスのためのロールベースの権限など、エンドポイントからネットワークへの接続を保護するポリシーを実施します。
ネットワーク・セグメンテーション
BYOD デバイスを重要な社内ネットワーク・セグメントから分離します。BYOD トラフィックを分離することで、万が一デバイスが侵害された場合でも、攻撃者はネットワークの他の機密部分にアクセスできなくなります。
定期的な監査とモニタリング
接続されたすべてのデバイスに対する可視性を確立し、ネットワーク・アクティビティの継続的な監視を可能にする。定期的な脆弱性評価を実施することで、企業は異常やセキュリティギャップを事前に特定することができます。
BYODセキュリティのベストプラクティス
従業員の教育と意識向上
定期トレーニング・セッション
パスワードの衛生管理、デバイスのセキュリティ設定、安全なブラウジング習慣、最新のサイバー脅威の軽減など、BYOD セキュリティのベストプラクティスについて従業員を教育する。
フィッシング・シミュレーション
フィッシング攻撃のシミュレーションを実施し、ユーザーの意識をテストすることで、従業員がフィッシングの試みを認識し、対応できるようにする。
インシデント対応計画
インシデント対応計画の策定
BYOD セキュリティ・インシデントの発生前、発生中、および発生後に、役割と責任を定 義し、想定される結果を特定し、行動手順を規定する。包括的な対応計画には、セキュリティ・チームからその他の利害関係者への明確な指揮命令系統、およびセキュリティ・インシデントによる影響を軽減するための通信プロトコルが含まれます。
ホリスティック・アプローチの維持
BYOD ポリシーは、柔軟性やワーク・ライフ・バランスによる従業員の満足度の向上、デバイス調達の削減によるコスト削減など、組織に大きなメリットをもたらします。また、不正アクセス、法規制の遵守、脅威要因の侵入経路の脆弱性など、付随する課題も軽視できません。
BYOD を採用する組織は、正式なポリシーおよびユーザー契約の確立から、エンドポイント・セキュリティの実施、従業員の意識を高めるためのトレーニングの提供まで、あらゆる面でリスクに対処する総合的なアプローチを取る必要があります。包括的な実行と継続的な改善により、企業は BYOD のメリットを最大限に享受しながら、組織インフラストラクチャへの脅威を先取りすることができます。
BYOD セキュリティOPSWAT MetaDefender IT Access ™
BYODの課題に対応 MetaDefender IT Accessは統合エンドポイント・セキュリティ管理プラットフォームであり、企業リソースにアクセスする BYOD ユーザーのセキュリティ・コンプライアンス、可視性、制御を保証します。SDP (ソフトウェア定義境界)技術を活用し、リスクと脆弱性の評価を含む包括的なデバイス・ポスチャ・チェックを実行し、約10,000のサードパーティ・アプリケーションを検出することができます。MetaDefender IT AccessZTNA(ゼロ・トラスト・ネットワーク・アクセス)哲学に基づいて構築されているため、許可されたIDのみがネットワークにアクセスでき、ワークフローを妨げることなく安全な作業環境を提供します。
