BYOD(Bring Your Own Devices)とは、従業員が仕事用に自分のパソコンやスマートフォン、その他の端末を使用できるようにする取り組みです。一見すると、双方にとってメリットがあるように思えます。従業員は使い慣れた端末で仕事ができるため、初日から生産性が向上します。一方、雇用主はハードウェアコストを削減することで経費を節約できます。
しかし、サイバーセキュリティ業界の一部では、BYODを「Bring Your Own Disasters(災難を持ち込む)」と冗談めかして呼ぶこともある。セキュリティの観点からBYODを検討すると、その方針はより複雑なものとなる。従業員が業務に個人用端末を使用する場合、組織はそれらの端末が、OSの最新版への更新、エンドポイント保護、暗号化といった基本的なセキュリティ基準を満たしていることを確認しなければならない。
個人所有のデバイスは予測不可能な用途で利用されるため、会社が所有していない端末に対してセキュリティ基準を徹底させることは困難です。従業員は、ソーシャルメディアの確認から映画のストリーミングまで、あらゆる用途でこれらのデバイスを利用しています。時には、家族や友人と共有されることもあります。企業のセキュリティツールでは、どの活動が業務関連で、どれがそうでないかを判別することはできません。
組織は個人の端末を所有・管理していないため、IT部門がインストールされているアプリやセキュリティ設定、ネットワーク上の活動をすべて把握することは不可能です。その結果、「シャドーIT」という現象が生じます。これは、管理対象外でセキュリティ対策が施されていない端末が企業の機密データにアクセスする現象であり、データ漏洩やマルウェア感染、検知されないセキュリティ侵害のリスクを高めます。
私用と業務用の境界が曖昧になることは、明らかなプライバシー上の懸念を引き起こします。企業が管理する監視ソフトウェアが常時稼働していると、プライバシーの侵害と感じられる可能性があるからです。また、インシデントが発生した場合、BYOD(個人所有端末の業務利用)は対応を複雑にします。通常、セキュリティ侵害を受けた社用端末は隔離・分析・交換が可能ですが、個人のノートパソコンやスマートフォンを差し出すよう求めるのは、そう簡単ではありません。
従業員は、機密性の高い写真や財務データ、あるいは私的なやり取りを同じ端末に保存している場合があり、そのため端末の提出を渋ることがあります。一部の法域では、従業員には提出を拒否する法的権利さえ認められています。しかし、セキュリティが侵害された個人用端末は、組織の最重要システムや機密データへの侵入経路となり、さらに深刻な事態を招く恐れがあります。
妥協点はどこにあるのでしょうか?
当社の顧客である大手金融サービス企業は、このようなジレンマに直面していました。同社はBYODがもたらす柔軟性を求めていましたが、同時に、強固なセキュリティ体制を維持するために必要な可視性と管理機能も必要としていました。そこで同社が採用した解決策は、ITサービスプロバイダーのデバイス導入ワークフローと完全に統合された「OPSWAT MetaDefender OT Security」を導入することでした。これにより、資産の棚卸し、プロファイリング、脆弱性管理、脅威の検知、そして一元化されたレポート作成が可能になりました。
OPSWAT 、BYOD端末が社内ネットワークに接続される前に、すべての端末の安全性を確保するためにどのようにOPSWAT をご紹介します。
BYODポリシーにおける可視性、セキュリティ、およびコンプライアンスのバランス
業界の性質上、当社のお客様は、極めて機密性の高い個人識別情報(PII)、取引データ、および市場データを扱っていました。
BYODポリシーによって私用と業務用のテクノロジーの境界線が曖昧になる中、彼らは、前述したセキュリティ上の課題という「パンドラの箱」を開けずに、このデータを保護することは困難だと感じた。
具体的には、顧客は以下の課題に直面していました:
1. 可視性
従業員が私物端末を使用していたため、顧客側では、どのようなソフトウェアやファイルが存在しているのか、また誰が端末を使用しているのかが把握できていませんでした。すべてのBYOD端末を一元的に把握する手段がなかったため、組織は端末の死角に起因するセキュリティリスクに直面していました。
2. セキュリティ対策
個人用端末はOSのバージョン、パッチの適用状況、インストールされているソフトウェアなどがまちまちであるため、一律のセキュリティ基準を適用することは困難です。顧客はスキャンやセキュリティポリシーを一律に適用することができず、その結果、端末間の不統一に起因する脆弱性にさらされることになってしまいます。
3. サードパーティ・リスク管理への圧力
個人用端末はOSのバージョン、パッチの適用状況、インストールされているソフトウェアなどがまちまちであるため、一律のセキュリティ基準を適用することは困難です。顧客はスキャンやセキュリティポリシーを一律に適用することができず、その結果、端末間の不統一に起因する脆弱性にさらされることになってしまいます。
顧客のBYODポリシーにより、責任の所在が不明確になる問題が生じました。デバイスを管理できないため、コンプライアンスの遵守を保証することが難しくなっているのです。
OPSWAT MetaDefender OT Securityによる BYOD 向けの継続的な資産管理と脅威検知
同組織は、ITサービスプロバイダーのデバイス導入OT Security OPSWAT MetaDefender OT Security 統合し、以下の機能を実現しました:
- BYODの資産検出とインベントリ
- デバイスのプロファイリングと分類(機種、OS、プロトコル)
- 脅威の検知
- 全拠点にわたる一元的な報告体制
これら4つのプロセスはすべて、デバイスが組織の内部環境へのアクセスを許可される前に実施されます。
このソリューションにより、業務効率と規制への対応体制を維持しつつ、従業員および契約業者が所有するすべての端末がセキュリティポリシーに準拠していることが確認されました。
MetaDefender OT Security
MetaDefender OT Security 、従来のIT脅威とICS特有の脅威の両方からOTシステムに対するOT Security 。本ソリューションは、オペレーショナルテクノロジー環境全体において、OT資産の検出、インベントリ管理、およびパッチ管理を実行します。同技術のEnterprise Managerプラットフォームは、IT/OTネットワークの接続状況を監視し、資産を特定するとともに脅威を検知します。
パッシブスキャンと一元化された脅威可視化によるBYODリスク管理
当社のお客様のような金融機関は、極めて機密性の高いデータやシステムを扱っています。BYODポリシーがもたらすリスクを認識していた同社は、ネットワークに接続する個人所有の端末の安全性を確保し、組織と顧客の両方を保護するために、先手を打って対策を講じました。
MetaDefender OT Securityの導入により、お客様は多方面で改善を実感されました:
- BYODデバイスのスキャンと検証:すべての個人所有デバイスおよびリムーバブルメディアは、アクセスを許可する前に、マルウェア、脆弱性、および禁止コンテンツの有無について自動的にスキャンされました。
- スムーズなIT統合: MetaDefender OT Security 、ITサービスプロバイダーのオンボーディングおよびアクセスワークフローに直接OT Security 、業務を妨げることなく、一貫したセキュリティ対策を実施できます。
- 一元化された可視化とレポート機能:セキュリティチームは統合ダッシュボードと詳細なスキャンレポートを活用し、デバイスの状態、検知された脅威、および是正措置に関するリアルタイムの可視性を確保しました。
- エンドツーエンドのアラートワークフロー管理: MetaDefender OT Security 、アラート→トリアージ→インシデント→対応という体系的なワークフローOT Security 、アナリストが検知結果を体系的に調査し、関連するイベントを照合し、解決措置を記録できるようにしました。
- 監査対応可能なコンプライアンス記録:包括的なログとレポートにより、データ保護、サイバーセキュリティ、およびサードパーティ・リスク管理に関する内部監査や規制要件への対応を支援しました。
BYODによるリスクで処理が遅れることなく、すべての取引を確実に進行させる
OPSWAT MetaDefender OT Securityすることで、組織は業務の効率を損なうことなくBYOD(個人端末の業務利用)に伴うリスクを管理できます。柔軟な働き方を継続的に支援し、厳しい規制要件を満たす中で、同ソリューションは、機密性の高い金融システムを保護しつつ、業務を円滑に維持するための拡張性の高いアプローチを提供します。
組織内で、個人所有のデバイスがネットワークに接続することに関連する同様の課題に直面している場合、OPSWAT MetaDefender OT Security 、包括的な資産可視化、継続的な監視、脅威の検知に加え、アラートの調査と対応のための体系的なワークフローOT Security 。
専門家にご相談いただき、OPSWAT 機密性の高いシステムやデータの保護にどのようにOPSWAT をご確認ください。
