私物端末の業務利用「シャドーBYOD」、モバイル管理の抜け穴が情報漏えいを招く

導入

テレワークやフレックス勤務の定着により、従業員が自宅PCや個人スマホを業務に利用するケースが増えています。会社が正式に許可していない私物端末による業務利用「シャドーBYOD」は、IT部門の管理が及ばず、マルウェア感染や情報漏えいの温床となっています。リモートワークの普及により、この問題はさらに深刻化し、企業のセキュリティ境界が曖昧になる新たなリスクとして浮上しています。

詳細な説明

業務メールを個人スマホで確認したり、社内資料を自宅PCにダウンロードして編集したりといった行為は、従業員にとっては「仕事を早く終わらせるための善意」のつもりでも、セキュリティ面では大きなリスクです。OSやアンチウイルスが最新ではない端末、画面ロックや暗号化が未設定の端末に機密データが保存されると、紛失・盗難時に第三者へ簡単に閲覧されてしまいます。また、家族と共有しているPCからクラウドストレージへアクセスすることで、思わぬ情報混在も発生します。さらに、私物端末では企業のセキュリティポリシーが適用されないため、不適切なアプリのインストールやフィッシングサイトへのアクセスにより、マルウェア感染のリスクが高まります。

影響と対策

私物端末経由のマルウェア感染や情報漏えいは、ログが残りにくく原因特定が困難です。対策として、まず「何が許可され、何が禁止か」を明確にしたモバイル・リモートワークポリシーを制定します。そのうえで、MDM/MAM（モバイル端末・アプリ管理）を導入し、業務データはコンテナ領域内にのみ保存・操作させ、端末紛失時にはリモートワイプを実行できるようにします。どうしてもBYODを認める場合は、OSバージョンや画面ロック、暗号化などのセキュリティ基準を定め、準拠した端末のみ接続を許可するゼロトラスト型アクセス制御が有効です。また、VPN接続時の証明書認証や、クラウドアクセスセキュリティブローカー（CASB）による不適切なデータ共有の監視も重要な対策となります。

まとめ

働き方の柔軟性とセキュリティはトレードオフではありません。ルールと技術の両面から「安全に使える私物端末」の条件を定義し、従業員と合意形成した上で運用することが、シャドーBYODリスク低減の近道です。従業員の利便性を損なうことなく、企業データを保護する仕組み作りが求められます。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp