BYOD(Bring Your Own Device)は、現代の職場で非常に一般的です。ハイブリッドワークが標準になりつつある中、従業員は個人のノートパソコン、携帯電話、タブレットから企業システムにアクセスすることを期待しています。

しかし、BYODが標準として成熟している一方で、その安全な実装に関するポリシーは遅れを取り続けており、それは通常、セキュリティー設計が不十分なためではありません。従業員が求められるガイドラインに従っていないだけで、サイバーチームは蚊帳の外に置かれているのです。

では、組織はセキュリティーを損なうことなく、従業員が実際に従うBYODポリシーを設計するにはどうすればよいのでしょうか?

セキュリティーを見えなくする(または少なくとも見えにくくする)

BYODポリシーが実際に機能するためには、セキュリティーが従業員の既存の働き方に自然に適合する必要があります。日常のワークフローを中断すればするほど、ユーザーは回避方法を探す可能性が高くなります。

ログインの摩擦は、導入を妨げる最大の要因の1つです。繰り返しのログイン、複雑な認証手順、または絶え間ない再検証を要求すると、すぐにフラストレーションにつながる可能性があります。しかし、そうである必要はありません。

シングルサインオン(SSO)やシンプルなMFA方式(プッシュ通知や生体認証など)などのテクノロジーを使用すれば、組織はユーザーの速度を落とすことなく強力なセキュリティーを維持できます。

セッションの持続時間を長くすることも、セキュリティー上の欠点を最小限に抑えながらフラストレーションを軽減する方法です。目標は、基本的なタスクのためにユーザーに余分な手順を強いることを避けることです。メール、ドキュメント、または内部ツールへのアクセスが困難になると、従業員は自然にショートカットを探すようになります。

ユーザー行動を中心にBYODポリシーを設計する

BYODポリシーは、組織が従業員がどのように働くべきかと考える方法ではなく、従業員が実際にどのように働いているかを反映する必要があります。実際には、従業員は一日を通してデバイスを切り替え、異なる場所から接続し、ネットワーク間を移動します。これを無視するポリシーは、自然にコンプライアンス違反につながります。

理想的なシナリオに合わせて設計するのではなく、実際の行動を中心にポリシーを構築してください。たとえば、ユーザーが新しい

デバイスからログインしようとするたびに、いくつかの認証手順を要求することは良い習慣です。しかし、ログインするたびに同じレベルの認証を要求すると、人々はフラストレーションを感じるでしょう。

BYOD環境では柔軟性が必須です。したがって、ポリシーは、すべてのデバイスや場所を制御するのではなく、主にデータとアクセスの保護に焦点を当てる必要があります。

万能ルールから離れることも検討する価値があります。開発者、営業担当者、財務担当者は、システムと異なる方法でやり取りし、おそらくまったく異なるツールを使用しています。役割に基づいて、アクセスレベル、および関与するデータの機密性に応じてルールの厳格さを調整することで、より良い採用につながります。

プライバシーの懸念に正面から取り組む

従業員がBYODポリシーに懐疑的に感じるのは自然なことです。たとえそれが寛大なものであっても、単に雇用主が所有するデバイスへのアクセスまたは制御のレベルを示唆しているからです。

だからこそ、組織は企業データとシステムへのアクセスの制御に厳密に焦点を当て、従業員がデバイス上で行う他のすべてのことがプライベートのままであることを確信できるように、それを従業員に説明する必要があります。

明確な分離が鍵です。組織は、BYODリスクを効果的に管理するために、個人アプリ、ファイル、またはアクティビティへの可視性を必要としません。すべての企業データは、デバイス自体ではなく、クラウドアプリと管理されたワークスペースに存在する必要があります。これが、セキュリティーコントロールがユーザーの個人環境に拡張することなく存在できる方法です。

雇用主もこのアプローチから恩恵を受けます。デバイスが紛失したり、侵害されたり、従業員が会社を辞めた場合、組織は個人コンテンツに影響を与えることなく、アクセスを削除したり、企業データを消去したりできます。

実践的で継続的なトレーニングを提供する

従業員は、BYODポリシーが存在する理由を理解していれば、それに従う可能性がはるかに高くなります。セキュリティーが抽象的または無関係に感じられると、無視するのは簡単です。しかし、ユーザーがフィッシング、アカウント乗っ取り、または安全でない公衆Wi-Fiなどの実際のリスクを認識している場合、ポリシーを真剣に受け止める可能性がはるかに高くなります。

トレーニングは、従業員が実際にデバイスをどのように使用するかに関連した実践的なものである必要があります。一般的な意識向上セッションではなく、毎日遭遇する現実世界のシナリオに焦点を当ててください。BYOD環境の場合、これにはフィッシングの試みの認識、疑わしいリンクの回避、公衆ネットワークのリスクの理解、および個人デバイスから企業システムに安全にアクセスする方法を知ることが含まれます。

また、トレーニングを1回限りの演習として扱わないことも重要です。脅威は絶えず進化しており、従業員の意識も同様である必要があります。短く定期的な更新やリマインダーは、すぐに忘れられる頻度の低い長時間のトレーニングセッションよりもはるかに効果的です。

目標は、従業員をセキュリティーの専門家にすることではなく、日常的な状況でより良い決定を下すのに十分な意識を与えることです。

結論

BYODは、現代の仕事がどのように行われるかの現実です。ほとんどの場合の課題は、それを許可するかどうかではなく、従業員が実際に従うBYODポリシーをどのように実装するかです。最も効果的なポリシーは、最も厳格なものではなく、不必要なリスクを導入することなく従業員が従うことを容易にするものです。

最終的に、BYODポリシーの採用を最大化することは、セキュリティーと使いやすさのバランスを見つけることになります。このバランスを正しく取る組織は、セキュリティーを向上させるだけでなく、よりスムーズで生産的な作業環境を作り出します。