21IPA基本診断項目

個人所有の端末を業務利用する場合のセキュリティ対策を明確にする

BYOD(個人端末の業務利用)は利便性が高い反面、セキュリティリスクをコントロールしにくい環境を作ります。利用ルールを明確にし、最低限の対策を義務付けることが重要です。

⚠️ なぜ必要なのか?

個人のスマートフォンで業務メールを確認する、個人のパソコンから社内システムにアクセスするといった運用は、会社がセキュリティ設定を管理できない端末から機密情報にアクセスすることを意味します。個人端末がマルウェアに感染していた場合、そこから社内に侵入されるリスクがあります。

何をすれば良いのか?

  1. 1BYODを許可するか禁止するかを明確に決める
  2. 2許可する場合は利用可能な業務・システムの範囲を定める
  3. 3個人端末でのウイルス対策ソフト導入・OS更新を義務付ける
  4. 4個人端末に業務データを保存しないルールを定める
  5. 5退職時の業務データ削除手順を決める

🏁 どうなったら完了?

  • BYODの可否と利用範囲が明文化されている
  • 個人端末利用時のセキュリティ要件が定まっている
  • 全従業員にルールが周知されている

📋 運用で対応する場合のポイント

まずBYODを禁止するのか許可するのか方針を決めましょう。許可する場合は「業務データは端末に保存しない・クラウドのみでアクセスする」という最低限のルールを定めることが現実的です。

🔧 ツールの選択肢

ツールで対応する場合の参考情報です。

Microsoft Intune
個人端末をMDMで管理できる。業務データと個人データを分離するコンテナ機能がある。