システム監査のノート

• Z社・・・中堅自動車メーカの販売子会社
  • IT利用環境音変化をうけてモバイル端末の業務利用を計画　⇒　営業力の強化をはかりたい

【アンケート内容】

１	スマホ/タブレットを持っているか
２	機種の型番・OS・バージョンはなにか
３	BYODを希望するか

• アンケート回収率：８０％
  • うち８５％がスマホ/タブレットを所有。
    • さらにその所有者の9割がBYODを望んだ

上記アンケートよりBYOD導入を決めた。

1. 使い慣れたモバイル端末でZ社のシステムを利用し、業務生産性を向上する
2. 端末導入コストの低減、新規端末購入や修理などの業務負荷の軽減
3. 通信コストの低減、利用プラン見直しにかかわる業務負荷の軽減

　　　　　　↓

• BYODは従業員の任意。
• 希望者は上長の承認を得て、端末のOSバージョン確認など所定の手続き後に利用可能
  • 購入・修理費用、通信費用など一部はZ社負担。

• BYODを希望しないが、職務上モバイル端末が必要な職員には、Z社が貸与する。

このような目的をふまえ、BYOD導入について対応事項を検討する。

• アンケート調査、プロジェクト会議の議事録・報告書を確認
• プロジェクトチームにインタビュー

をして評価を実施。

◆プロジェクトチームの検討項目

項番	対応事項	概要	詳細
１	セキュリティポリシの改訂	モバイル端末に関し、現行のセキュリティポリシに項目を追加する	（１）紛失・盗難時の迅速な届け出の義務化 （２）リモートワイプ時は、端末内全データ削除となることの事前承諾 （３）端末買換え時の迅速な届け出の義務化 （４）退職・異動などの際の端末内の業務データの消去義務

　　　↓

【想定したリスク】
・旧型の機種を使用することにより、Z社が定めるセキュリティ要件を満たせなくなるリスク

• 古いOSを使用していると、新たなウィルスやサイバー攻撃に対応していない恐れがある
  • その結果、脆弱性をつかれZ社システムへの不正アクセスや情報漏えいの可能性などがある

◆プロジェクトチームの検討項目

項番	対応事項	概要	利用する機能
２	MDM	MDMツールをもちいて、モバイル端末の一元管理とセキュリティ強化をする	（１）多様な機種およびOSのモバイル端末の管理機能 （２）端末の台帳管理と使用状況のモニタとレポート機能 （３）ウィルス対策ソフトの強制インストールとアップデート機能 （４）Z社が許可しないアプリの強制アンインストール機能 （５）紛失・盗難時のリモートワイプやリモートロック機能

　　　　　　　　　　　↓

• モバイル端末内部に侵入しないようにする対策
• 侵入されても内容が読み取れないようにする対策

の2段階で対策を用意する。

・モバイル端末を使用するためのパスワードなど認証の仕組みを設定する
・モバイル端末内のデータの暗号化を実施する

◆プロジェクトチームの検討項目

項番	対応事項	概要	方法
３	MDMサーバの運用体制の整備	現状と同じ日勤体制で、増員せずに運用品質を維持する	（１）MDMツールの利用によって運用負荷増加を抑制する （２）サーバ運用訓練により要員のスキル・品質向上 （３）Z社内サーバルームへのMDMサーバ設置で利便性を向上させる

• モバイル端末は日勤就業時間外でも使われる　⇒　勤務時間外の対応も想定すべき。
  • 事故発生に備え、常時対応できるように体制を構築する必要がでてくる。　⇒　この運用コスト（人件費増加を考える必要がある）

要員が常時迅速に対応できる体制を構築する必要があり、そのための人件費が増加する可能性がある

◆プロジェクトチームの検討項目

項番	対応事項	概要	方法
４	効果測定	3か月後、事前予測値と結果を比較する。設定目標を下回った場合は原因究明と対策を検討する	（１）従業員の作業時間の短縮率 （２）端末導入コストの低減率、購入・修理にかかわる業務負荷の軽減度 （３）通信コストの低減率、利用プランの見直しにかかわる業務負荷の軽減度

• アンケート調査結果が明らかに不足している。
  • 単に保有しているモバイル端末の機種やOSバージョンを確認し、利用したいかを聞いているだけの内容となっている

　　　　　　　　　　↓

BYODに伴う制約事項や費用負担方針などについて、従業員の理解を得られていない可能性がある

【補足】

• BYODによって業務がどう変わるのか、利用場面やメリット・デメリットなどの説明をしていないまま、運用を始めてしまっている。

・想定FAQを作成し公開する
・専用問い合わせ窓口を設置する

【補足】
できるだけ現行のヘルプデスクへの追加負担を抑えるようにする。