企業では BYOD から CYOD への流れが加速している
 | BYOD - Bring Your Own Device というキーワードは、注目されるものの、実際にやってるという話しを聞くことが少ないキーワードとなっている。 私もよくお客様から「BYODってどうなんです?」と聞かれる。BYOD が多くの会社が検討しては諦めているのには理由がある。それは全くの管理下にないデバイスを使うということに対する拒否反応であり、誰が(どのデバイスが)いつ繋ぎにきているのかわからない不安でもあって当然のことだ。 |
そこで会社が許可した個人デバイスだけを使えるようにする CYOD (Choose your own device) が、かなり現実的になてきたのでそれについて書いてみようと思う。
業務に個人のデバイスを使うというのは、いろんな問題をはらんでいる。
・ユーザー行動のトレーサビリティ確保の問題
・データの封じ込めの問題
・個人のデバイスに入っているプライバシーにどこまで踏み込んで良いのかという問題
・紛失時や盗難時の責任分解点の問題
・労務管理の問題などなど。
例えば1日100件も回っているルート営業マンの行動管理をしたい場合、GPS でルートトラッキングをするようなケースを考えると、対象が個人のデバイスであると仕事中だろうが、休暇で旅行先だろうが会社に居場所を常にトラッキングされることになり、それは双方にとって好ましいことではない。これは運用的には「やってはいけない」ことに分類される。
CYOD を実施する上で気をつける重要な指標は以下の3つである。
(1)個人のプライバシーを侵さない
(2)申請のあったデバイスのみが許可されたアクセス先にアクセスできる
(3)データは完全に封じ込めるかデバイスに一切残さない
では、実際に iOS デバイスで、BYOD をどのように実現したらよいのだろうか。
準備するのは以下の3つ。
・Volume Purchase Program (VPP) アカウント
・最新 Apple エンタープライズ仕様に準拠した MDM (VPP による OTA でのアプリ割り当てができるもの)-当社取り扱いの Jamf Pro なら最新 Apple エンタープライズ仕様を全て兼ね備えています
・所定のシステムだけにアクセスを制限できるアプリ
例えばこんな利用方法が考えられる。
(A)Citrix Receiver を VPP で必要人数分購入する
(B)BYOD 対象としたいデバイスを MDM でプロビジョニング登録を行い(このオペレーションは出来れば預かって本人の前でやった方が良い)、MDM の監視下にデバイスが置かれたらデバイスは個人に返却する
(C)OTA で必要なプロファイル情報を配布する
(D)OTA で VPP購入したアプリの割り当てを行い、ユーザーは個人の Apple ID でダウンロードする
このような方式を取ると、ユーザーは Citrix Receiver でのみ業務が行え、それ以外は個人の環境として利用することができるようになる。もしその利用者が退職した場合は、MDM から割り当てたアプリのライセンスを剥奪して、別なユーザーに再度割り当てることも可能となる。
クラウドタイプのシステムを使う場合は、Citrix のような社内ネットワークを迂回するタイプではなく、直接対象クラウドを利用したい。その場合でも、上記(A)の部分を Safari ではない、エンタープライズ向けの Web Browser を購入する。このブラウザは X.509 証明書の Cert Store を持っていてクライアント認証が行え、閲覧データのキャッシュを残さず、あらゆるアプリへのデータの引き渡しも出来ず、アクセス先やオペレーションログが残せるようなタイプのものが望ましい。
今後 Apple が国内でも Device Enrollment Program を利用可能にすれば、デバイス管理はリモートから構成ができるようになり、Volume Purchase Program と組み合わせることで CYOD はかなり現実味を帯びるだろう。勿論 CYOD を検討する際には、個人のプライバシーを侵さずどの範囲まで管理をするかをきちんとユーザーとコンセンサスを得ることが必要だし、他の Android や Windows デバイスはどうするんだという話しも考えておかねばならない。が CYOD として利用可能なデバイスや機種を制限してしまうことは通常の運用範囲として考えて良いと思う。
業務に個人のデバイスを使うというのは、いろんな問題をはらんでいる。
・ユーザー行動のトレーサビリティ確保の問題
・データの封じ込めの問題
・個人のデバイスに入っているプライバシーにどこまで踏み込んで良いのかという問題
・紛失時や盗難時の責任分解点の問題
・労務管理の問題などなど。
例えば1日100件も回っているルート営業マンの行動管理をしたい場合、GPS でルートトラッキングをするようなケースを考えると、対象が個人のデバイスであると仕事中だろうが、休暇で旅行先だろうが会社に居場所を常にトラッキングされることになり、それは双方にとって好ましいことではない。これは運用的には「やってはいけない」ことに分類される。
CYOD を実施する上で気をつける重要な指標は以下の3つである。
(1)個人のプライバシーを侵さない
(2)申請のあったデバイスのみが許可されたアクセス先にアクセスできる
(3)データは完全に封じ込めるかデバイスに一切残さない
では、実際に iOS デバイスで、BYOD をどのように実現したらよいのだろうか。
準備するのは以下の3つ。
・Volume Purchase Program (VPP) アカウント
・最新 Apple エンタープライズ仕様に準拠した MDM (VPP による OTA でのアプリ割り当てができるもの)-当社取り扱いの Jamf Pro なら最新 Apple エンタープライズ仕様を全て兼ね備えています
・所定のシステムだけにアクセスを制限できるアプリ
例えばこんな利用方法が考えられる。
(A)Citrix Receiver を VPP で必要人数分購入する
(B)BYOD 対象としたいデバイスを MDM でプロビジョニング登録を行い(このオペレーションは出来れば預かって本人の前でやった方が良い)、MDM の監視下にデバイスが置かれたらデバイスは個人に返却する
(C)OTA で必要なプロファイル情報を配布する
(D)OTA で VPP購入したアプリの割り当てを行い、ユーザーは個人の Apple ID でダウンロードする
このような方式を取ると、ユーザーは Citrix Receiver でのみ業務が行え、それ以外は個人の環境として利用することができるようになる。もしその利用者が退職した場合は、MDM から割り当てたアプリのライセンスを剥奪して、別なユーザーに再度割り当てることも可能となる。
クラウドタイプのシステムを使う場合は、Citrix のような社内ネットワークを迂回するタイプではなく、直接対象クラウドを利用したい。その場合でも、上記(A)の部分を Safari ではない、エンタープライズ向けの Web Browser を購入する。このブラウザは X.509 証明書の Cert Store を持っていてクライアント認証が行え、閲覧データのキャッシュを残さず、あらゆるアプリへのデータの引き渡しも出来ず、アクセス先やオペレーションログが残せるようなタイプのものが望ましい。
今後 Apple が国内でも Device Enrollment Program を利用可能にすれば、デバイス管理はリモートから構成ができるようになり、Volume Purchase Program と組み合わせることで CYOD はかなり現実味を帯びるだろう。勿論 CYOD を検討する際には、個人のプライバシーを侵さずどの範囲まで管理をするかをきちんとユーザーとコンセンサスを得ることが必要だし、他の Android や Windows デバイスはどうするんだという話しも考えておかねばならない。が CYOD として利用可能なデバイスや機種を制限してしまうことは通常の運用範囲として考えて良いと思う。
RSSフィード
