第78回　「シャドーIT」と「BYOD」について教えてください

教えて！前田さん

Q.「シャドーIT」とは何ですか？

前田
はい。「シャドーIT」とは、職場が許可していないにもかかわらず、職員が個人で保有する端末（PC、スマートホン、タブレットなど）を使ったり、個人メールやクラウドストレージなどのサービスを利用したりして業務を行うことです。

シャドーITには大きなリスクがあります。例えば、職員は自宅で仕事をするため、個人メールなどを使って、個人用端末へ業務データを送信する場合があります。個人用端末は職場から支給される端末と比べて、セキュリティレベルが低い可能性があるため、ウィルスなどに感染していると、業務データがインターネット上に流出する危険性があります。また、クラウドストレージにデータを格納する場合は、第三者にもデータが公開される設定のまま利用してしまう可能性があり、職員が気づかないうちに情報が漏えいする危険性があります。

一方で、個人用端末を業務に活用するメリットもあります。例えば、職員が使い慣れた端末であるため、業務の効率化が期待できます。
シャドーITの持つリスクを低減し、個人用端末を活用するメリットを享受できるのが「BYOD（Bring Your Own Device）」です。BYODは、職員が個人用端末を使って業務を行うことは共通していますが、職場がルールやポリシーを設けた上で使用を許可した端末やサービスを活用する点が大きな違いです。

ページの先頭へ

Q.「BYOD」を導入するには、どのようなことを検討する必要がありますか？

前田
はい。IT戦略本部がまとめた「私物端末の業務利用におけるセキュリティ要件の考え方」では、BYODの導入を検討する際のポイントを下記の通り挙げています。

BYODが本当に必要か？（何のためにBYODを認めるのか）
BYODを導入する目的を明確にする
職場としてのルールやポリシーを明確にし、職員に周知する
禁止するなら徹底的に禁止する。中途半端に禁止しない
BYOD端末の機能や指定業務はできるだけ絞り込む（必要のないことはやらない）
機微な業務や機密性の高い情報は扱わない
一般的に販売されている“BYODソリューション”などを導入し活用する
BYODの管理ルールはシンプルに（現実的に運用できる内容とすること）
端末紛失や人為的なミスに関するリスクをあらかじめ想定し対策を検討する
管理者とユーザー間で業務内容や管理ルールについて合意する

私物端末の業務利用におけるセキュリティ要件の考え方（IT戦略本部）(PDF形式)

BYODはきちんとルールを決めて活用することで、使い慣れた個人用端末で業務が行えるなどのメリットを享受できます。シャドーITの持つリスクを低減し、BYODを安全に使うためのソリューションの導入を検討するとよいでしょう。

なお、日立ソリューションズは、BYODを実現するための企画・設計、構築までを提供する「スマートデバイス仮想化基盤Remotium（リモーティアム）」を提供しています。仮想環境上に業務用アプリケーションが搭載されており、職員は個人用端末から認証システムを介して仮想環境上にアクセスし、業務を行うことができます。業務データは仮想環境上にあるため、個人用端末に業務データが残らず情報漏えいのリスク軽減や公私分離を実現できます。