BYOD ポリシー策定の実践ガイド

シンプルかつ安全にBYODを実現するためのテクノロジー選定、ポリシー策定ガイド

iPad_sタブレット端末やスマートフォンの急激な普及がITを変えようとしています。そのトレンドへ対応するために多くの企業がBYODポリシーの策定を検討しています。ノートパソコンはもちろん、スマートフォンやタブレットなど、従業員が使い慣れているデバイスで業務を行うことができれば、機動性と生産性が向上できます。また、仕事がしやすくなれば、人材の流出を防ぎ、優秀な人材を採用しやすくなります。従業員、業務委託先が所有するデバイスを業務に活用できれば、IT部門は端末の調達と管理の負担が軽減されます。

本稿では、総合的なBYODポリシーを立案するための指針を解説します。BYODポリシーは、個人所有のデバイスの業務利用を受け入れ、業務で利用するデバイスの選択の自由を従業員に与えると同時に、容易な管理、セキュリティの維持、コスト削減にも対応する必要があります。デスクトップ仮想化、セルフサービスアプリケーション、ファイルの安全な同期・共有を実現するために、実績のあるBYODポリシー策定のベストプラクティスを活用することで、以下のことが可能になります。

  • 選択の自由:私物のデバイスを業務で使えるようにし、従業員の生産性、機動性、協働作業性(コラボレーション)を高めます。
  • 機密情報の保護:機密情報の保護、コンプライアンス対応、リスク管理の規定を守りながら、情報の紛失や盗難を防ぎます。
  • コスト削減とシンプルな管理:プロビジョニングのセルフサービス化、監視・管理の自動化。
  • ITの簡素化:業務アプリケーションは1度展開するだけで、あらゆるデバイスで使うことができます。

この内容をPDFで読む
BYOD実践ガイド(PDF)ダウンロード

主流になるBYOD — コンシューマライゼーションの解禁と制御

BYOD(Bring-Your-Own-Device)とは、使用頻度に関わらず、個人所有の私物デバイスを業務で利用できるようにする制度全般を指す言葉です。

柔軟性、機動性、生産性向上のため、企業が支給する端末に加えて、スマートフォン、タブレット、ノートPC、ホームPCのような個人所有の私物デバイスの利用を、必要に応じて容認している企業が多数存在します。私物デバイスを利用したい従業員の要望に合わせ、特定の従業員に対しては、企業支給デバイスの全面的な撤廃に踏み切っている企業もあります。私物デバイスの購入費用が助成されるケースさえあります。また、業務委託先についても、委託元が支給する端末を使う代わりに、自らのデバイスを使うよう求められるケースが増えてきています。できれば、BYODに関する自社の方針を公式なポリシーとして詳しく定めるべきですが、その実現は容易でありません。

実際には、BYODポリシーが定められているかどうかにかかわらず、すでに多くの人々が私物のデバイスを業務に持ち込んでいることが各種調査レポートでも報告されています。今のところ、多くの企業ではBYODは非公式な慣行にとどまっています。首尾一貫したBYOD制度が導入されるまでの間は、情報漏洩やコンプライアンス違反など、さまざまなリスクに晒されることになりそうです。急速に進むタブレット端末やスマートフォンの普及。技術とポリシーの両方の観点からの総合的なBYODポリシーの策定が必要なのは明らかです。

技術面で最も明らかな問題は、私物のデバイスから、企業のアプリケーション、データ、ファイルをどのように利用できるようにするかです。単にデバイスにアプリケーションを直接インストールしたのでは、セキュリティ、プライバシー、コンプライアンスの点で深刻なリスクがあり、ライセンス管理の問題が発生し、サポートが複雑になります。また、BYODがWindowsデバイスだけに限定さすると、その他のデバイスでの業務は困難になってしまいます。

理想的なのは、デバイスにまったく依存しないコンピューティングの実現です。デスクトップ仮想化を利用し、SSL VPNを介したアクセスによって企業ネットワークを保護し、それに加えて安全なファイル同期、共有サービスを利用すれば良いわけです。
そうすれば、機密性と統制を保ちつつ、最高の自由度を実現できます。

従業員はあらゆるデバイス、あらゆるネットワークから、シングルサインオンで、複数のデバイスにまたがったシームレスなセッションローミング機能を使って、自分のすべてのWindowsアプリケーション、Webアプリケーション、SaaSアプリケーションを利用できます。

また、IT部門にとっては、新しいリソースを提供したり、それが不要になったり不適切になったときにアクセスを遮断したりといった、全種類のアプリケーションのプロビジョニング/プロビジョニング解除を集中管理することができます。ほとんどの場合、機密情報はデータセンターの内部に置かれ、安全性が保たれます。この情報を端末側に置く必要がある場合は、分離、暗号化、遠隔消去機能を使って情報を保護します。

この方法であれば、デバイスの所有者が誰かにかかわらず、簡単にあらゆるタイプのデバイスを業務で、そしてシームレスに扱えるようになり、それと同時にITのシンプルな管理とコスト削減も実現できます。データのきめ細かな管理機能を活用すれば、セッションやアプリケーションの情報、そして機密情報を、BYODデバイス側に置かずにすむので、IT部門による私物デバイスの管理は不要になります。

この手法は、現在のほとんどの組織のIT統制に適合しています。BYODポリシーは、組織が何を優先し、どのような問題に直面しているかによって大きく変わる可能性があり、内容を取り決めるには、人事、財務、法務、ITセキュリティの各チームとの協議が必要です。ポリシー開発の指針とベストプラクティスを次の節で説明します。

BYOD制度設計時の検討ポイント

テクノロジー/システム

  • ・デスクトップ、アプリケーション、データをオンデマンドで配信
  • ・デスクトップ仮想化とアプリケーション仮想化
  • ・セルフサービス式のアプリケーションストア
  • ・あらゆるデバイスからの安全なファイル同期、共有
  • ・セキュア バイ デザイン アーキテクチャ

ポリシー

  • ・対象者
  • ・使用できるデバイス
  • ・利用できるサービス
  • ・ポリシーの公表
  • ・費用負担
  • ・セキュリティ
  • ・使い方
  • ・サポートと保守

BYODポリシー策定時の検討項目とベストプラクティス

BYODポリシーの導入を成功させるには、IT部門にとっての効果的なセキュリティ、統制、管理と、従業員にとってのシンプルさの両立を目指す必要があります。ともすると、考えられるすべてのシナリオについて、それぞれ個別のポリシーを定めたいという誘惑に駆られがちになりますが、実際にはごく少数のシンプルで整合性のとれた原則を適用すれば、ほとんどの状況に対処できます。大抵は、「どのデバイスが使われているか」ではなく「誰がデバイスを使っているか」に応じて、データやアプリケーションへの安全なアクセスを実現・管理する方法を考慮すれば事足ります。デバイスの種類、ネットワーク接続、場所に応じて、よりきめ細かなポリシーを定めることもできますが、通常は、それらをよりコンパクトで、より管理が容易なシナリオセットで代用することができます。

対象者

誰に対して私物デバイスの使用を認めるか、企業所有の端末を補う形で一時的に使わせるのか、企業所有の端末から恒久的に置き換えるのか、それともその中間なのかを明確にする必要があります。それによってどのような恩恵が得られるか、従業員からの要望があるか、どの役職で必要になるか、使い方によってはリスクが高くなりすぎないか。通常はこれらを総合的に勘案することで、結論を導き出すことができます。

企業所有の端末からBYODデバイスへの恒久的な置き換えを行う場合は、通常は従業員への助成金の給付を伴いますが、それなりの検討が必要です。この種のプログラムの有資格者を決めるには、従業員のタイプ、出張の頻度、能力、そして重要なデータへのオフラインアクセスが必要かどうかなどの基準を当てはめます。

また、各部門の他の報奨、特典、懲戒処分の文脈の中でBYODの適用を考える必要があります。
一般に、業務委託先はBYODを適用する最適な候補です。多くの組織では、すでに業務委託先企業に対してBYODポリシーを定めた上で、デバイスの持ち込みを求めており、そうするように要求することが、契約業者自身のコンプライアンスの実現に役立ちます。

使用できるデバイス

アプリケーションを端末に直接インストールする場合は、サポートされているOSやアプリケーション、性能など、デバイス固有の基準についての最低要件を定義、適用する必要があります。デスクトップ仮想化を利用すると、完全なWindowsデスクトップやWindowsアプリケーションをあらゆるデバイスで実行できるようになるため、これらの検討が不要になります。

利用できるサービス

BYODは柔軟に導入できます。BYODデバイスでは特定のサービスだけを利用できるようにしたり、ワークグループ別、またはユーザーのタイプ、デバイスのタイプ、使われるネットワークごとに、利用できるサービスを切り換えることができます。

また、一般消費者向けのソリューションを社内に持ち込み、企業のアプリケーションやサービスと組み合わせて活用するケースもよく見受けられます。この例には、モバイルデバイス向けアプリケーションやマイクロアプリケーション、一般消費者向けSaaSサービスなどがあります。このようなソリューションの業務利用を許可するかどうか、許可する場合は、それを端末の仕事関連のデータと同じ環境に、直接インストールできるようにするかどうかを検討します。

ポリシーの公表

BYODポリシーの導入を成功させるには、従業員とのコミュニケーションが重要です。BYODプログラムへ、参加すべきかどうか、各自のニーズに合わせてデバイスをどのように選べばよいかについて、従業員が判断しやすくなるような情報を提供します。データへのアクセス方法、データの使用・保管方法など、私物デバイス持ち込みに伴う責任についても理解してもらいます。仕事上のデータや企業データは、自社の情報管理規定に基づく要件やデータ保持ポリシーに従って、BYODデバイス上で厳格に隔離しておきます。同様に、仕事上のメールは個人用のアカウントには決して送信しないようにします。企業所有のデバイスと同じように、BYODデバイスにも、どのように使うことができるかについてのポリシーを適用します。

費用負担

BYODのメリットの1つにコスト削減があります。従業員や各部門に、業務で使われるさまざまなデバイスの費用の一部または全額を負担させることができ、IT部門は社内で増え続けるハードウェアの調達やサポートから解放されます。

デスクトップ仮想化を利用すると、そのコストパフォーマンスの高さから、IT部門にとって大きなコスト節減になると同時に、従業員や各部門への費用助成も行えるノートPC置き換えポリシーを実現できます。最近の調査によると、この種のプログラムの導入を計画している企業の40%は、同等のデバイスをIT部門が調達・管理したときにかかるであろう費用とほぼ同じ金額を助成しようとしています。また、31%の企業は、従業員が支払う費用総額に対して、ある程度の割合の負担金の提供を予定しています。(Citrix, Global BYO Index: IT Organizations Embrace Bring-Your-Own Devices, 2011.)

助成する、しないないにかかわらず、どのBYODポリシーでも、通信費を誰が負担するかを明確にしておきます。助成を行う場合は、助成額を各個人または各企業の就業期間に見合ったものにします。助成金は定期的に支給し(通常のハードウェア更新間隔に合わせて3年に1度など)、私物のデバイスが企業支給のデバイスの想定使用期間より長い間使われないようにします。

BYOD期間が満了する前に参加者が離職した場合は、支給済みの助成金の一部返還を求めることができます。Citrix Systemsでは、BYOCプログラム登録後1年以内に退職したり、プログラムから離脱した従業員は、助成金を日割り計算で返納しなければなりません。一度にポリシーを公表すると、参加申し込みと助成金請求が、端末の更新時期が来るたびに集中し、コストがかさみがちになります。各自の端末が更新時期に近付いた従業員ごとに個別にプログラムを提供すれば、(通常は3年間の)更新期間全体にわたって影響を分散させることができます。助成金を支給しないのであれば、すぐに全員に参加を促すことができます。

セキュリティとコンプライアンス

ITのコンシューマライゼーションをこれ以上進めると、業務上のリスクが大幅に増えるのではないか。CIOの75%以上がそう心配しています企業が支給していないデバイスに、アプリケーションを直接インストールするのであれば、リスクは確かに高まるかもしれません。しかし、デスクトップ仮想化に基づくBYODプログラムであれば、そうする必要はありません。業務上の情報は、すべてデータセンターの中に留まり、セキュリティが保たれます。これらの情報は、必要なときのみ、暗号化され、分離された形でしか、端末の側には保管されません。

データを端末の側に保管しなければならない場合は、分離、暗号化、遠隔消去の各機能を使って、それらを保護することができます。IT部門は、情報の漏洩を防止するため、ローカルドライブやUSBストレージのようなクライアント側のストレージへのアクセスや印刷を、ポリシーにより無効にすることができます。

また、BYODプログラムの参加者は、ウイルス対策/マルウェア対策ソフトウェアを端末にインストールし、それらをこまめにアップデートします。組織によっては、企業ネットワークを保護するために、NAC (ネットワークアクセス制御)技術を利用して、ネットワーク接続を行う人物の認証と、デバイスに最新のウイルス対策ソフトウェアとセキュリティパッチが導入されているかどうかの確認を行っています。

BYOD参加者が離職したり、BYODポリシー違反が見つかったり、BYODデバイスの紛失・盗難が発生した場合に備えて、IT部門はデータやアプリケーションへのアクセスを即座に停止させる手段を用意しておく必要があります。

どのデバイスからも企業アプリケーションや企業データへのアクセスを行えるオープンなBYODの代わりに強い規制を適用している企業もあります。その場合は、登録、検証、認定、リソースの利用など、IT部門が直接的にBYODデバイスの管理を行います。

デバイスのサポートと保守

一般にBYODプログラムでは、使用者が所有者でもあることから、各デバイスに必要な保守の総額も抑えることができます。「レンタカーを借りたことがある人なら誰でも分かるように、人は他人のものはぞんざいに扱います。BYODデバイスであれば、キーボードにドレッシングをこぼしてしまった、ということもほとんどなくなるでしょう」(Citrix Systems、IT部門シニアディレクター、Shawn Genoway)。

とはいっても、さまざまな保守、サポート業務の費用負担について、BYODポリシーで明示的に定めておく必要があります。企業所有の端末がBYODデバイスに置き換わると、IT部門のサポートの負担が増えることが予想されるため、IT部門が提供するサポートの範囲を明確に定義しておきます。シトリックスのBYODポリシーはシンプルさが特長です。

サポート対象を、ワイヤレス接続、ウイルス対策/マルウェア対策ソフトウェア、およびBYODデバイス上のReceiverクライアントのみに絞る、自動的な手続きを検討する事もシンプルさを実現できます。BYOD制度の参加者は、デバイスの修理が必要になったときに、シトリックスが貸与するデバイスを10日間借り受けることができれば、自身でデバイスの復旧しながら、業務を継続できます。

安全にBYODを実現するために

シトリックスは、デスクトップ仮想化に基づくBYODソリューションを提供しています。セキュリティとIT部門による統制を保ちながら、従業員が業務用に持ちこんだあらゆるデバイスで、業務アプリケーションや安全なファイル同期・共有を利用できます。
シトリックスのBYODソリューションは、Citrix Receiver、Citrix® XenDesktop®、Citrix® XenMobile™、Citrix ShareFile™から構成され、デスクトップ仮想化、業務アプリケーションのセルフサービス利用、ファイル共有を実現します。どの組織でも、シンプルで安全なBYODを実現できます。

あらゆるデバイス(私物、企業支給品)

従業員は、WindowsやMac®のデスクトップやノートPC、iOS、Android、Windowsモバイルデバイス、GoogleのChromebookのモバイルデバイスなど、使用するデバイスを自由に選ぶことができます。デバイス、居場所、ネットワークによらないシームレスなローミングと高品位なユーザー体験により、最高の利便性と生産性を実現できます。

デスクトップ仮想化とアプリケーション仮想化

Windowsアプリケーション、Webアプリケーション、SaaSアプリケーションなどの企業アプリケーション、さらにはデスクトップ全体を、あらゆるデバイスから利用できるオンデマンドサービスに変えることができます。デスクトップ配信やアプリケーション配信の手法を自由に組み合わせて、あらゆるタイプの従業員を一元的にサポートできます。

セルフサービス式アプリストア

シングルサインオンで、安全に企業アップストアを通じて、組織が承認したあらゆるアプリケーションに、あらゆるデバイスから簡単にアクセスすることができます。

Follow-Me-Data

組織内・組織外のあらゆる人々とファイルを安全に共有したり、自分が所有するすべてのデバイスの間でファイルを同期したりできます。総合的な使用ポリシーを適用したり、デバイス上のデータを遠隔消去することができるので、デバイスが紛失したり、盗まれたりしたときにも安心です。ファイルへの不正な、または不適切なアクセスを防止するアクセス制御、監査、レポート機能もあります。

セキュア・バイ・デザイン

アプリケーションやデータはデータセンターの中で管理されるので、BYODデバイスについても、企業所有のデバイスと同様に、同じ統一された環境で、集中的なデータ保護、コンプライアンス、アクセス制御、ユーザー管理を実現できます。

まとめ

コンシューマライゼーション、ワークシフト、モビリティ、クラウドコンピューティング。BYODは、このようなITの強力なトレンドの中心にある戦略として、仕事の仕方を変え続けていくでしょう。正しい戦略を選び、あらゆるデバイスへのデータ、アプリケーション、デスクトップのオンデマンド配信を行えば、次のことを実現できます。

  • 選択の自由:私物のデバイスを業務で使えるようにし、生産性、機動性、協働作業性(コラボレーション)を高めます。
  • 大切な情報の保護:機密情報の保護、コンプライアンス対応、リスク管理の規定を守りながら、情報の紛失や盗難を防ぎます。
  • コスト削減とシンプルな管理:プロビジョニングのセルフサービス化、自動的な監視・管理。
  • ITの簡素化:アプリケーションは1回配備すれば、あらゆるデバイスで実行できます。