BYODのセキュリティ対策とは？シャドーITを防ぐ3つの管理ステップ

更新日：2026/03/17 （公開日：2019/08/06）

ISMS全般. 4,976 views

※本記事は、ISM Web store が作成・検証したものです。

私物デバイスの利用についてのアドバイスお願いします。

現在、社員による私物デバイスによる外部からのアクセス(通話を除く)は下記と規定しています。
・メールシステムとグループウェアに原則限定した利用とする
・アクセスは許可したID及びパスワードを持つ従業者のみとする
・社外からのアクセスの目的を勤怠や申請書類の提出とする
・私用/会社貸与にかかわらず、顧客の連絡先は符号表記とする、です。

これらはPマークの規定で作成したものですが、一方で不安に思うのは、個人が無料で利用するクラウドストレージに、職場外での利用目的で社の機密情報ファイルやプロジェクトのプログラムなどをアップロード・ダウンロードしたり、無料の携帯名刺管理アプリを利用して顧客の名刺登録しているケースです。

社として認証する(例として、許可後に情報管理台帳に登録する)ものであれば、漏えい緊急時での把握は可能ですが、どのようなアプローチで情報管理すればいいでしょうか。

そのようなユーザーは悪意はないでしょうが、リスクが高いと思い、アドバイスお願いします。

社員が私物デバイスを業務利用する「BYOD（Bring Your Own Device:私物端末の業務利用）」において、個人用クラウドストレージや名刺管理アプリを勝手に利用する「シャドーIT」のリスクを防ぐには、「技術的制限」と「運用ルールの明確化」を組み合わせた多層防御が不可欠となります。

以下の3つのステップでアプローチを整理することをお勧めします。

1. 「端末」と「情報資産へのアクセス」を切り分けて考える

対策を検討する際は、デバイスそのものを管理するのか、それともデータへの経路を制御するのかを明確にすることが重要です。

端末の管理
紛失・盗難時のリモートワイプ（データ消去）や、OSのアップデート強制、危険なアプリのインストール制限などを行います。
MDM（Mobile Device Management：モバイルデバイス管理）やMAM（Mobile Application Management：モバイルアプリケーション管理）の活用なども。
情報資産へのアクセス管理
「どの端末から、どこまでアクセスを許すか」の制御を行います。例えば、クライアント証明書や多要素認証（MFA）を用い、「許可された端末」以外からの社内システム接続を遮断します。あるいはBYOD端末からはデータの閲覧のみ（ダウンロード禁止）に制限するといった手法などがあります。

2. シャドーIT（個人クラウド等）への具体的対策

悪意のない情報漏えいを防ぐには、禁止するだけでなく「代替手段」の提供が効果的です。

組織管理ストレージの提供
個人用ストレージの利用を禁止する代わりに、法人版Google DriveやSharePointなど、ログが追える環境を正式に提供します。
アップロード制限
資産管理ソフトやブラウザの設定により、特定ドメイン以外へのファイルアップロードを制限する技術的対策を検討してください。

3. ISMS/Pマーク準拠の「誓約書」と教育

技術的な対策にはコストが伴い、また限界があります。まずは従業員の意識をコントロールする運用面が重要となります。

「誓約書」の活用
BYOD利用を許可する際、単に台帳登録するだけでなく、「業務外のクラウドストレージにデータを保存しない」「業務終了時や退職時にはデータを消去する」といった具体的ルールを記載した誓約書を個人から取り交わすことが、法的・心理的な抑止力（セキュリティ意識の向上）に非常に有効です。
教育の周知・徹底
「なぜダメなのか」を、過去の漏えい事例などを交えて具体的に伝える教育を定期的に行い、自分事化させることが重要です。