BYOD（個人デバイス利用）のセキュリティ設計 ― 業務利用を許可しつつリスクを管理する方法

「社員の個人スマートフォンからTeamsやOutlookを使いたい」——BYODの需要は高いですが、個人デバイスに会社の管理エージェント（MDM）をフルインストールすることに抵抗を感じる社員は少なくありません。

Microsoft Intuneの**MAM（Mobile Application Management）**を使えば、デバイス自体を管理せず、業務アプリ内のデータだけを保護する「MAM without enrollment（登録なしMAM）」が実現できます。

MDMとMAMの違い

MDM（Mobile Device Management）： デバイス全体を管理。パスコード強制、リモートワイプ、アプリインストール制限等。会社支給デバイス向け。

MAM（Mobile Application Management）： アプリ単位でデータを保護。業務アプリ（Outlook、Teams、OneDrive等）内のデータにのみポリシーを適用。デバイス自体は管理しない。BYOD向け。

MAMで設定できる保護ポリシー

データ漏えい防止： 業務アプリから個人アプリへのコピー&ペースト禁止、「名前を付けて保存」の制限（個人のiCloudやGoogleドライブへの保存禁止）

アクセス制御： 業務アプリ起動時にPIN入力または生体認証を要求

条件付き起動： OSバージョンが古い場合やデバイスがJailbreak/root化されている場合にアプリの起動をブロック

選択的ワイプ： 退職時に個人デバイス上の業務データのみを消去（個人データには影響しない）

BYOD対応の推奨構成

会社支給PC： MDM（Intune フル管理）＋コンプライアンスポリシー＋条件付きアクセス

個人スマートフォン（BYOD）： MAM（登録なし）＋アプリ保護ポリシー＋条件付きアクセス（MFA必須、ブラウザのみ or MAM保護アプリのみ）

個人PC（BYOD）： 条件付きアクセスで「ブラウザアクセスのみ＋ダウンロード禁止」に制限。MDM登録は求めない。

社員への説明

BYODポリシーの導入時に最も重要なのは、「会社が個人のスマートフォンを監視するわけではない」ことを明確に伝えることです。MAMは業務アプリ内のデータのみを管理し、個人の写真、メッセージ、ブラウザ履歴には一切アクセスしません。

まとめ

BYODは「禁止」よりも「制限付き許可」の方が現実的です。IntuneのMAMと条件付きアクセスを組み合わせれば、個人デバイスに会社の管理を強制せず、業務データだけを保護できます。

情シス365では、BYOD対応のセキュリティ設計を支援しています。お気軽にご相談ください。