◆ 私物携帯端末の業務利用を国が解禁!?
6月2日、国が私物スマートフォン(スマホ) の業務利用を認めるというニュースが流れた。いよいよ 「BYOD」 の本格的スタートである。
「BYO=Bring Your Own」 とはもともと、レストランに自分の好きなワインなどを 「持ち込む」 という意味。ICTの分野ではそれに 「Deviice (端末)」 の一語を足して、個人のノートPCやタブレット、スマホなどを業務に利用する新しい動きの総称として使っている。
クラウドコンピューティングや仮想デスクトップの技術で、いつでも、どこでもネット経由でオフィスのデータに接続できる環境が整った。昨年の東日本大震災では、交通インフラの乱れなどで在宅勤務を余儀なくされた会社社員がスムーズに業務をこなすことができ、BCP(企業の事業継続計画) にも効果があることが図らずも証明された。
そして先月、国がお墨付きを与えたことで、企業がBYODを解禁するかどうかをめぐって論議が巻き起こりそうだ。ICTの分野で今年を象徴するキーワードになる 「BYOD」 の状況と、現時点での課題を探ってみた。
◆ 政府のガイドライン策定への動き
従来、多くの企業と同じように、国や地方公共団体の各省庁は私物のIT端末を業務に使うことを禁止してきた。ここにきて解禁に踏み切った背景には、「(規則違反のまま) 業務で使用するシーンは避けられない→全面禁止すると陰でこっそり使うケースが増える→その結果、政府機関へのサイバー攻撃を招く可能性がある」 という内閣官房情報セキュリティセンターの判断があったようだ。これから (1)機密性の高い情報の取り込み禁止、(2)認証手続きの徹底、(3)ウイルス対策ソフトの更新、(4)紛失の際の対応方法などを盛り込んだ厳格なガイドラインを作り、来年2013年4月に施行する予定だという。
◆ 止まらない変化を前に
子供の頃からPCやゲーム機に慣れ親しんできた若い世代は、スマホなど新しいコミュニケーションツールへのハードルが低い。仕事とプライベートで端末を使い分けることもしない。内閣官房はサイバー攻撃からの防御を主な目的として業務利用の解禁に踏み切ったが、一般のビジネスマンでも、業務でスマホを利用するなら、会社支給のものより機能が高く、使いなれた自分のものを使いたいと思うのは当然のことだ。
スマホやタブレットが業務システムの端末として使われるようになれば、これまでPCが果たしてきた役割を確実に侵食していく。実際、総務省の通信利用動向調査(平成23年度) によると、PCの普及率は前年の83.4%から74.4%へ下降しているのに対し、スマホは9.7%から3倍の29.3%に急伸している。音楽の聴き方が 「iPod」 で様変わりしたように、BYODは今後の情報社会のあり方、働き方のスタイルを変える大きなきっかけになるだろう。この変化に国の解禁宣言が拍車をかける。これから日本の企業はどのように解禁に踏み切るのだろうか。
◆ 躊躇する日本の企業
外国に比べて、日本では業務に私物の持ち込みを許す企業がそもそも少ない。コンプライアンス、セキュリティの面から、大半の企業が個人のPCでさえ私物利用を禁止してきた。企業のIT部門にとっては、個人のデバイスが社内システムに安全にアクセスできるかどうかの把握がむずかしいからだ。
いっぽうのスマホはどうか。携帯性が高いので、盗難や紛失の恐れがあるし、SIMカードが抜き取られる恐れもある。IT部門の管理下に置かなければ、紛失や盗難などへの対応もとることができない。BYODの目的はビジネスの生産性、効率性を向上させることなのだが、IT部門にしてみたら情報資産、知的財産を守る義務があるため、利用について複雑なセキュリティ認定をしなければならない。個人の持ち物をどのように組織のシステムの中に置いて管理していくかというジレンマを従来と同様に抱えているのだ。
◆ 解禁の前にポリシーの策定を
いかに管理するかのほかに、BYODにスマホを取り込む際は機能的にもさまざまな問題がある。意外に知られていないことなのだが、スマホは従来の携帯電話と違って、電話をかける場合も、メールやスケジュールの機能を利用する場合でも、一つのアプリケーションとして起動する必要がある。アプリには出荷時に提供されているものと、利用者がマーケットからダウンロードして利用するものがあるが、マーケットによっては審査されていないアプリを流通させるケースがあり、悪意のあるアプリによって重要データが漏えいするといった危険性がある。このあたり、どんな問題点があるのか、(社)日本スマートフォンセキュリティ協会(JSSEC) PR部会長の飯村正彦氏に聞いてみた。
「リスクがあることを知らず、安易にアプリをインストールして使う人が多い。信頼できるマーケットを利用することが大事です。アプリを入れなければ問題は起こらないのですが、会社がそんな個人の行動を細かく規制できるかどうかわからない。解禁するかどうかという以前に、私物の端末を使うためのルールやポリシーが決まっていない企業が多いことが問題です。認めてはいないが黙認したままとか、社員がどのように使っているかの状況把握ができていなければ、それ自体がリスクにつながってしまいます」
スマホは、デバイスそれ自体はもちろん、ネットワークやシステム、サービスへのアクセス時、データの置き場所、管理面などさまざまな側面から対策を組み合わせる必要があるというのだ。JSSECは各種のガイドラインを発行しているので、ポリシーづくりの参考にしてほしいと飯村氏は言う。
◆ 成果のある導入にするために
飯村氏によれば、業務=BYODに利用するには、スマホはまだ黎明期にあるツールなのだという。OSやデバイスメーカー、通信業者などによって機能やセキュリティ実装面の標準化が進んでおらず、一律にできる対策には制限がある。バージョンアップのサイクルが速く、新旧のデバイスが混在することでさらに管理面が複雑になっている。こういったことから、標準化の進んだPCと同じように業務に適用することはむずかしいという。
「スマホは魅力的なツールでビジネスにも有益ですが、まだ40年前の車のようなものなのです。いまの車に当たり前のコンピュータ制御なんてユメのユメ。シートベルトもなく、安全装置さえ未熟な状態です。セキュリティを含め、解決すべき問題が残っている。そんな車の運転免許を取るんだというつもりで、正しい使い方を覚え、安全運転を心がけてほしい」
飯村氏によれば、BYODとしてのスマホやタブレットの利用はビジネスのさまざまなシーンで効率化が期待できるいっぽう、セキュリティについては従来以上に継続的に万全の対策を続けていかなければならない。会社のサーバと連携して、会社のメールやアドレス帳、スケジュールをどう使うのか。自分で収集した情報や取引先の連絡先やメールなど、どのデータを、どう守り、どう使うのか。それらの分析のうえで、利用の目的と方法を明確にすることが大事だという。
まだまだ課題は残るとはいえ、国の解禁宣言はこれからのワークスタイル=BYODの行方を決める分水嶺になることは間違いない。自分の会社はどの方向に進むのか、社員にはどこでどんな端末を使うシーンがあるのか、そのための準備をどのように進めるか。これを機にBYODの論議が盛り上がっていってほしい。
執筆者プロフィール
古俣愼吾 Shingo Komata
経 歴
1945年、中国生まれ。新潟市出身。中央大学法学部卒業。広告代理店勤務の後フリーライターに転身。週刊誌、月刊誌等で事件、エンターテインメントものを取材・執筆。2000年頃からビジネス誌、IT関連雑誌等でビジネス関連、IT関連の記事を執筆。2006年から企業の事業継続計画(BCP)のテーマに取り組んでいる。
