スマートフォンやタブレットPCといったモバイルデバイスの普及が進むにつれ,私物のデバイスからも仕事ができるようにしようという動き,すなわち,BYOD(Bring Your Own Devices)を検討する動きが出てきました。BYODを導入することでどれだけコストが下がった,生産性が上がったなどといった成果がIT系のいろんなサイトやセミナーで喧伝されています。
BYODの考え方そのものは,さほど新しいものではなく,スマートフォンやタブレットが普及する前から検討されています。最近では新型インフルエンザによるパンデミック(2009年〜2010年)が懸念された時に真剣に議論されました。つまり,自宅にある私物のPCと個人のインターネット回線を使って在宅勤務ができるようにした場合,その費用負担をどうするか,という問題です。
これに対して,いま喧伝されているBYODは少し違います。
現在,ほとんどの人が携帯電話やスマートフォン,タブレットを個人所有していて,その人に対して会社から仕事用の携帯電話とノートパソコンを支給していたりするわけです。鞄の中はそうした機材だらけなのであって,もし,個人所有のスマートフォンやタブレットから仕事ができるのであれば,持ち物が一気に軽くなります。社員は自分の使い慣れたデバイスを快適に使用することで生産性が向上し,会社側はデバイス購入経費が低減できるとしたら,BYODは素晴らしい仕組みのように思えます。
ただ,仕事に利用するにも関わらず,それら機材の購入費用や維持費(通信費など)をすべて個人に頼ってしまって良いのか?購入費と通信費までは会社側が負担すべきだ,という意見があります。いや,そうではなく,すべて個人に頼るからこそBYODなのだ,という意見もあります。費用負担の考え方は実に様々で,これといった決まりは無いようです。
BYODについて様々な考え方がありますが,それを検討する前に最も基本的なところを押さえておきたいと思います。それは,端末の盗難や紛失,ワームの感染などによる情報の漏えいが起こった時に,その責任は誰が負うのかという問題です。
この問題は,本会PCNWの研究会でも過去に調査されています。結論から言えば「組織の業務の過程で情報漏えいした場合,その責任は組織が負う」というものです。使っているコンピュータが組織の資産であろうが,私物であろうが関係ありません。
このため,情報セキュリティ対策をしっかり行っている企業では,会社側がPCや通信手段を用意し,一貫したセキュリティポリシーに基づいたハードウェアとソフトウェア,認証方法を準備した上で,従業員に使わせている訳です。インターネット上のセキュリティに対する脅威は刻々と変化していきますから,その対策も会社側の専門部署(情報システム部門)が責任を持って実行するわけです。これなら,従業員は自身に割り当てられたPCを安心して使い続けることができます。
BYODの導入を検討する時「組織の業務の過程で情報漏えいした場合,その責任は組織が負う」という基本を忘れてはいけません。新しいツールが現れたとき,私たちはついつい浮き足立って「仕事に使ったら便利だ!」と考えてしまいますが,情報漏えいの責任問題を考えるとき,新しいツールの導入には慎重であるべきだと思います。
調べてみるとわかりますが,BYODといっても様々なタイプがあります。業務に私的なものを持ち込む度合いによっていろいろなのです。
最も単純なものは,既に社員が所有している私物端末の職場での業務利用を認めるタイプです。端末の選択と購入費,その通信費は個人に任せることになります。電話での通話料金は従量制が一般的であり,仕事の電話を私物電話から発信するのは抵抗があるでしょうから,Skypeなどの利用が必要になるかもしれません。通話料金の一定額を会社から支給するという方法もあるでしょう。
他には,端末の購入に際して,OSや機種,通信キャリアをある程度制限しつつ,その範囲内で従業員が自由に機種を選択する,という考え方もあります。すなわち,業務利用するために必要なソフトウェアやMDM(モバイルデバイス管理:Mobile Device Management)が動作することを確認できた機種に限って,BYODしても良い,とするわけです。 このような場合,端末の購入費用の全額,または一部を会社側から現金支給することになるでしょうし,必要なソフトウェアも会社側から提供する必要がありそうです。
もっと制限をかけたBYODも考えることができます。例えば,機種を iPhone などに限定してしまうのです。これならMDMの選定も楽でしょう。
まず,電話番号の問題があります。BYODは「私物デバイスによる業務利用」ですから,それがスマートフォンの場合,私物の電話を仕事に使うことになります。ということは,個人の電話番号が会社内や取引先に知られるわけです。それは嫌だという人も多いのではないでしょうか。 この場合,私用と業務用で電話番号を分ける必要があります。例えばDoCoMoであればマルチナンバーサービスがあります。SoftBankでもダブルナンバーというサービスが提供されています。これらを利用すると,仕事とプライベートのように2つの携帯電話番号を使い分け,番号ごとに請求書を作ってもらうことができます。
端末の購入費用や,通信費用についても問題があります。従来のように,従業員に配布する携帯電話を大量一括購入するのであれば,単価の値下げ交渉が可能です。月額の通信費用を安くするよう交渉することも可能でしょう。ところが個別に購入するBYODではこれが不可能なのです。BYODの端末台数が増えてきた時,トータルコストが増加することが予想されます。
BYODの対象機種をiPhone等に限定できるのであれば良いのですが,Androidも対象に加えると,OSのフラグメンテーション(分断化)という問題も考慮する必要が出てきます。 AndroidはGoogleから提供される時点でフラグメンテーションを起こしています。現状でも,バーションが2系・3系・4系が存在しており,アプリケーション側はこの3系統に加えて,スマートフォンとタブレットの存在を考慮しなければなりません。(もっとも,これらは上位互換性を持っているので,Android SDKを使って開発していれば問題は無いはず,と言われています) フラグメンテーションはGoogleだけの責任でもありません。携帯通信事業者は独自サービスや独自マーケットを設置し,独自のアプリケーションを搭載して販売しています。OSも搭載アプリケーションも,どちらもフラグメンテーションを起こしているのです。
様々な問題を抱えるBYODですが,私が考えた現実的な運用方法は次のようなものです。
(1)従業員自身の負担で購入・契約している私物デバイスに対して,会社が提供するセキュリティ管理を行う上で必須となるソフトウェア(MDM等)のインストールを義務つける条件で,業務情報へのアクセスを許可する。
(2)デバイスを会社が購入する代わりに,従業員に一定金額を支給し,従業員が機種を選択した上で購入する。不足する費用は従業員が負担する。必須のソフトウェアは会社側から提供し,インストールを義務つける。
いずれにせよ,私物の携帯電話やスマートフォンを使って,写真や動画の撮影,録音,業務連絡のメイル,SNS,SMSなどを使って業務の遂行を許すわけですから,SSD,USB,メイルなどを経由して,情報が漏えいする可能性は残されています。こうした経路を使うことは制限してしまいたいところですが,私物のデバイスに対してそんな厳しい制限ができるでしょうか?MDMなどを使って,技術的には可能かもしれませんが,業務利用だけを止めて私的な利用には開放する,などといった芸当ができるとは思えません。すると,最後の砦は,利用者のセキュリティリテラシーだけになってしまいます。
こうして検討してみますと,BYODが可能となる条件がはっきりしてきました。すなわち,
(1)経営側が従業員全員のセキュリティに関するリテラシーを「信頼」できるのであればBYODを進めることができるだろう。 (2)信頼できないのであれば,会社と従業員全員が「安心」して使用することができる環境の整備を進める必要がある。すなわちMDMの導入が必須であり,MDMの導入を前提としたデバイスの購入を行う必要がある。」
ということです。
少し長くなってしまいましたが,この続きは,7月6日(東京)と7月13日(大阪)で開催される「PCネットワークの管理活用を考える会」の大会で,パネルディスカッションをしたいと思います。おたのしみに。
パーソナルコンピュータとの付き合いは1979年のNEC社製PC-8001から始まっています。
1985年から当時はオフコンと呼ばれていたIBM社のシステム36を使って、機械製造メーカでの社内用生産管理システムの構築に関わりました。1990年ごろから社内にパソコン通信やLANを導入してきました。この頃からネットワーク上でのコミュニケーションに関わっており、1993年以降はインターネットとWindows NTによる社内業務システムの開発、運用を行ってきました。
1996年からはインターネット上でのコミュニティであるNT-Committee2に参加し、全国各地で勉強会を開催しています。1997年からはIDGジャパンのWindows NT World誌に「システム管理者の眠れない夜」というコラムを執筆し、2009年まで10年以上の長期連載となりました。それらをとりまとめて出版もされています。
Copyright 2010 Hideki Yanagihara All Right Reserved
