AIBR プレミアム
拓海先生、最近若手が『BYODを入れるべきだ』と言ってきて困っているのですが、実際のところ何が変わるのか全くピンと来ません。要するにどういう話でしょうか?
素晴らしい着眼点ですね!BYOD(Bring Your Own Device=個人所有端末持ち込み)導入は利便性とコスト効果を同時に提供しますが、セキュリティ上の負荷が増えます。大切なポイントを三つだけ先に挙げますよ。可用性の向上、運用管理の複雑化、そしてセキュリティリスクの拡大、です。大丈夫、一緒に見ていけば理解できますよ。
可用性が上がるのは分かります。社員や学生が自分の端末でどこでもアクセスできれば仕事は速くなりますよね。でも『セキュリティリスクが増える』とは具体的に何が問題になるのですか?
良い質問です。簡単に言うと三つの観点です。第一に端末管理ができないためウイルスや不正アプリが混入しやすくなること。第二にネットワーク上でのアクセス制御が曖昧になり、権限の誤付与が起きやすいこと。第三にログや監査が分散し可視化が難しくなることです。実務ではこの三つをどう補うかが勝負になりますよ。
なるほど。実務的な対策が要るわけですね。これって要するに『便利さと安全のバランスを取るための設計が必要』ということですか?
その通りですよ。要点は三つです。ポリシー(ルール)を作ること、ネットワーク側でアクセス制御を強化すること、そして運用での可視化とログ管理を行うこと。これらを順序立てて実装すれば、投資対効果が見えてきますよ。
運用での可視化というのは具体的にどうするのですか。ログを全部取るってコストが膨らみませんか?
懸念はもっともです。ポイントは全てを無差別に取るのではなく、リスクベースで収集対象を絞ることです。まずは接続履歴、ログイン履歴、不正通信の兆候となるパケット量の増大を最小限レベルで取る。次にそれを解析して優先度の高いイベントに絞って深掘りする。これでコストを抑えつつ有意義な監視ができますよ。
なるほど、優先順位付けが大事ということですね。最後に、大学の事例を参考にして社内導入の判断基準を教えていただけますか?
判断基準は三点です。まず業務上どれだけモビリティが価値を生むかを定量化すること。次に守るべき資産を定義し、リスクを可視化すること。最後に実装可能な段階的ロードマップを描き、小さく始めて改善すること。これで投資対効果が検証できますよ。
分かりました。自分の言葉で言うと、『BYODは利便性を高めるが、端末の多様化でセキュリティ設計と運用をきちんと整備し、段階的に実装して投資対効果を検証することが肝要』、ということでよろしいですね。
