企業では BYOD から CYOD への流れが加速している
業務に個人のデバイスを使うというのは、いろんな問題をはらんでいる。
・ユーザー行動のトレーサビリティ確保の問題
・データの封じ込めの問題
・個人のデバイスに入っているプライバシーにどこまで踏み込んで良いのかという問題
・紛失時や盗難時の責任分解点の問題
・労務管理の問題などなど。
例えば1日100件も回っているルート営業マンの行動管理をしたい場合、GPS でルートトラッキングをするようなケースを考えると、対象が個人のデバイスであると仕事中だろうが、休暇で旅行先だろうが会社に居場所を常にトラッキングされることになり、それは双方にとって好ましいことではない。これは運用的には「やってはいけない」ことに分類される。
CYOD を実施する上で気をつける重要な指標は以下の3つである。
(1)個人のプライバシーを侵さない
(2)申請のあったデバイスのみが許可されたアクセス先にアクセスできる
(3)データは完全に封じ込めるかデバイスに一切残さない
では、実際に iOS デバイスで、BYOD をどのように実現したらよいのだろうか。
準備するのは以下の3つ。
・Volume Purchase Program (VPP) アカウント
・最新 Apple エンタープライズ仕様に準拠した MDM (VPP による OTA でのアプリ割り当てができるもの)-当社取り扱いの Jamf Pro なら最新 Apple エンタープライズ仕様を全て兼ね備えています
・所定のシステムだけにアクセスを制限できるアプリ
例えばこんな利用方法が考えられる。
(A)Citrix Receiver を VPP で必要人数分購入する
(B)BYOD 対象としたいデバイスを MDM でプロビジョニング登録を行い(このオペレーションは出来れば預かって本人の前でやった方が良い)、MDM の監視下にデバイスが置かれたらデバイスは個人に返却する
(C)OTA で必要なプロファイル情報を配布する
(D)OTA で VPP購入したアプリの割り当てを行い、ユーザーは個人の Apple ID でダウンロードする
このような方式を取ると、ユーザーは Citrix Receiver でのみ業務が行え、それ以外は個人の環境として利用することができるようになる。もしその利用者が退職した場合は、MDM から割り当てたアプリのライセンスを剥奪して、別なユーザーに再度割り当てることも可能となる。
クラウドタイプのシステムを使う場合は、Citrix のような社内ネットワークを迂回するタイプではなく、直接対象クラウドを利用したい。その場合でも、上記(A)の部分を Safari ではない、エンタープライズ向けの Web Browser を購入する。このブラウザは X.509 証明書の Cert Store を持っていてクライアント認証が行え、閲覧データのキャッシュを残さず、あらゆるアプリへのデータの引き渡しも出来ず、アクセス先やオペレーションログが残せるようなタイプのものが望ましい。
今後 Apple が国内でも Device Enrollment Program を利用可能にすれば、デバイス管理はリモートから構成ができるようになり、Volume Purchase Program と組み合わせることで CYOD はかなり現実味を帯びるだろう。勿論 CYOD を検討する際には、個人のプライバシーを侵さずどの範囲まで管理をするかをきちんとユーザーとコンセンサスを得ることが必要だし、他の Android や Windows デバイスはどうするんだという話しも考えておかねばならない。が CYOD として利用可能なデバイスや機種を制限してしまうことは通常の運用範囲として考えて良いと思う。