Azure Managed Service Column ＜Azure運用コラム＞IntuneでBYODをどう実現する？BYODのセキュリティ対策も踏まえた実現方法を解説

便利なBYODのセキュリティリスクとは？利便性と安全性を両立させる方法を解説

働き方改革の浸透とクラウドの普及により、職場以外のさまざまな場所から業務が可能なテレワークを導入する企業が増えています。業務の利便性や生産性が大きく向上する一方、社員が個人所有するデバイスを業務に利用する BYOD に伴うセキュリティリスクも増えています。社外で利用されるデバイスを適切に管理し、セキュリティリスクを低減するにはどうすればよいでしょうか。

マイクロソフトでは、デバイスの管理やセキュリティ対策が可能な Microsoft Intune というサービスを提供しています。本記事では、 BYOD のセキュリティリスクと Intune の概要、及びIntuneでセキュリティを確保するための機能について解説します。

1. BYODの概要とセキュリティリスク

BYOD は使い慣れたデバイスを利用するため便利ですが、BYOD に伴うセキュリティリスクとはどのようなものでしょうか。まず、 BYOD の概要とセキュリティリスクについて解説します。

BYODとは

BYOD （ Bring Your Own Device ）は、従業員が自身のスマートフォンやタブレットなどの個人所有のデバイスを業務で使用することを許可する取り組みのことです。 BYOD の利用シーンは多岐にわたり、社内外の移動やリモートワークなど、場所を問わず業務に必要な場合に活用されます。

BYOD の導入により、従業員は自身の使い慣れたデバイスで業務を行うことができ、生産性や柔軟性が向上するといったメリットがあります。

BYODのセキュリティリスク

BYOD は企業側で管理・把握がしにくいという問題があります。そのため、 BYOD にはいくつかのセキュリティリスクが存在します。例えば、従業員が管理されていないデバイスを使用する場合、セキュリティパッチの更新が遅れることがあり、悪意のある攻撃に対して脆弱になる可能性があります。また、個人所有のデバイスは、第三者による端末利用やのぞき見による情報漏洩や、会社のデータが誤って消去されたり、紛失・盗難されたりするリスクがあります。

2. Microsoft Intuneとは

マイクロソフトでは、BYODのセキュリティリスクへの対策を含め、組織が管理するデバイスやアプリケーションを一元管理するMicrosoft Intuneというサービスを提供しています。ここでは、Microsoft Intune の概要とデバイス管理機能について解説します。

Microsoft Intuneの概要

図版出典：JBS 日本ビジネスシステムズ株式会社「スマートスタート for Microsoft Intune」

Microsoft Intune とは、マイクロソフトが提供する、企業や組織が使用するデバイスやアプリケーションを管理するためのクラウドベースのソリューションです。 Windows、iOS、Androidなど、様々なプラットフォームに対応しており、 Intune を使用することで、企業は社員のデバイスの設定、制限、監視、保護、アプリケーションの配信、更新、制限を行い、セキュリティを確保することができます。

Intuneは、全てのアクセスを信用せず毎回検証を行うゼロトラストセキュリティの概念に従い、従業員のデバイスやアプリケーションを効果的に管理し、ビジネスプロセスをより効率的に運用することができます。

Microsoft Intuneの主な機能

Microsoft Intune は MDM と MAM の機能を併せ持つサービスです。 MDM と MAM はそれぞれ下記の機能を備えています。

モバイルデバイス管理（MDM）

パソコン、スマートフォン、タブレットなど、企業が管理するあらゆるデバイスを一元管理する機能を提供します。利用するデバイスの登録と構成設定の配布、セキュリティポリシー・ルールの作成や社内システムへのアクセス制御、及び紛失・盗難時のワイプなどの一括管理・制御を行います。

デバイスの適切なセキュリティ設定とアクセス制御を一元的に行うことができるため、機密情報の保護や不正利用の防止が容易になります。

モバイルアプリケーション管理（MAM）

企業が管理するアプリケーションを一元的に管理・制御する機能を提供します。利用するデバイスにインストールするアプリケーションの管理・デバイスへの配布、使用制限、データの持ち出し管理などを行います。ユーザーやデバイスの利用状況を管理・表示することも可能です。

企業データを保護しながら、業務に必要なデータやアプリケーションにアクセスすることができるため、 BYOD 環境下でも安心して業務に取り組むことができます。

3. IntuneによるBYODのセキュリティ強化

Microsoft Intune により、デバイスとアプリケーションの両面でセキュリティ強化を図ることができます。最後に、 Intune で安全な BYOD 実現のためのセキュリティ機能を紹介します。

デバイスコンプライアンスポリシー

MDM の機能のひとつで、企業が管理するデバイスがコンプライアンスに準拠しているかどうかを確認するための機能です。デバイスがセキュリティ要件を満たしていることを確認し、デバイスに必要な構成を適用することができます。

また、デバイスとユーザーが会社のリソースへのアクセス許可するための条件を設定することも可能です。デバイスの最小または特定の OS バージョンの要求、パスワード要件の設定などのポリシー設定や、違反した場合のアラート送信、リモートからのロック、デバイスの廃止、違反デバイス上のデータ削除などを行うことができます。

これらの機能により、企業はデバイスのセキュリティを維持しながら、従業員が自分のデバイスを使って仕事をする際の柔軟性を保つことができます。

アプリ保護ポリシー（APP）

MAM の機能のひとつで、業務で使用するアプリケーションに対してセキュリティ保護を行う機能です。アプリケーションにアクセスする際に、ユーザーの認証情報やデバイス情報などを確認し、PIN 要求を行い、アプリケーション起動を許可するかどうかを判断することができます。

また、アプリケーション内の組織のデータの保護や、アプリ間データ共有の制御、会社アプリデータの個人ストレージへの保存の禁止など、会社で使用するアプリケーションとデータを確実に保護する仕組みを提供します。

アプリ保護ポリシーにより、企業の業務アプリケーションのセキュリティを高めることができ、 BYOD などの環境でも安全に業務アプリケーションを利用することができます。

ユーザーIDの管理・保護

Intune は、 Azure Active Directory （ Azure AD ） と連携することで、ユーザー毎にアクセス許可や認証などの管理・保護を行うことができます。また、 Azure AD の条件付きアクセス機能を使用して、アプリまたはサービスへのアクセスを拒否または許可する条件を指定できます。

条件付きアクセスと、デバイスコンプライアンスポリシー、アプリ保護ポリシーを組み合わせて、企業のポリシーに適した適切なセキュリティ対策を行うことが可能となります。

4. まとめ

本記事では、テレワークの浸透に伴う BYOD のセキュリティリスクと、 Microsoft Intuneによる対策について解説しました。 Microsoft Intune を使用することで、企業は社員のデバイスや企業のアプリケーション、そして業務の重要なデータを保護することができます。ぜひ専門家の支援を受けながら、導入を検討してみてください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Microsoft Intune

• 

  EASMとは？クラウド利用のセキュリティリスクと、マイクロソフト製品による解決策を解説

• 

  近年注目を集めるBIサービスAzure Analysis Servicesとは？機能、利用メリットについて解説します！