情シスマン

企業のICT環境や情シスの課題・お悩みを解決するメディア

  • Facebook
  • X
ep0019

MDMとは?機能やポイントを解説。あらゆるOSのリモート一元管理でICT SOLUTION!

著者: 情シスマン
thumbnail

今やパソコンと同様に仕事に欠かせなくなったスマートフォン。
ちょっとした隙間時間にもスマホ一台で仕事が出来たり、昔より更に手放せなくなったデバイスといえるだろう。その反面、この小さな端末には顧客の連絡先や取引内容のメールなど機密情報が詰まっており、紛失や盗難によって情報流出のリスクにもなっている。
そのため、多くの企業ではモバイル端末を貸与する際には専用の管理ツール『MDM(モバイルデバイスマネージャー)』を導入しているはずだ。
しかし、OSやバージョンが異なるデバイスが混在し管理が煩雑になっている企業もあるだろう。中にはユーザーが勝手に操作し管理下から逃れることができてしまうMDMもある。せっかく入れたMDMが無効状態でピンチに陥った情シスがここにもひとりーーー

多田野部長

あー!いたいた!にのまえくん!
営業の〇〇さんから、スマートフォンを紛失したと連絡があった!
至急何とかしてほしいんだが!

にのまえ はじめ

げげっ!どこでなくしたんですか!?まったくもー!
なーんて…今回の僕はひと味違いますからね!
こんなときのためにちゃぁーんと、MDM入れてたんですよ!
部長!

多田野部長

え、えむでぃー?…何か知らんがすごそうだな!
さっそく探してくれ!

にのまえ はじめ

…ん??……えっ…そっ、そんなぁ!!
確かに彼のスマートフォンに導入したはずなのに管理下から外れてる!?
これじゃあ探せないし、遠隔で操作もできない!

Dr. Protocol

ヤッホー!はじめくん!
何か探してるみたいだけど、お探しモノはコレかな?
(右手に持っているスマートフォンを振って、背面に貼ってあるシールを指さして見せつける)

にのまえ はじめ

げげぇぇぇぇーーー!うちの管理番号シールじゃないですか…!?
そ、それ、まさか…!ちょ、返してくださいよ!

Dr. Protocol

やーだね!ククククッ…!私の法律では拾得物は私のものになるんだ!
さぁて、何をしようかナ!

Dr.Protocol Equipment①:マルチLANハンド
Dr.Protocol Equipment①:マルチLANハンド

伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

Dr. Protocol

ククククッ…!
美味しそうなデータのにおいがするぞ…!
試しに抜いてみちゃおうかナ!

にのまえ はじめ

やめろー!!ど、ど、どうすればいいんだ!
MDMが外れてしまった端末だから、管理画面からは何もできないし…!
データと一緒に俺のクビも飛んじゃう…!

情シスマン

モバイル端末管理で困っているそこのキミ!

にのまえ はじめ

じょ、情シスマンさぁぁぁぁぁん!
やっど…やっど、ぎだぁ~~~~~!(号泣)

情シスマン

こ、こらっ!いきなり抱きつくんじゃない!
全く...またDr.プロトコルにいいようにやられているな。

調査

MISSION!
  • 貸与しているスマートフォンやタブレットを一元管理したい
  • 貸与端末の利用状況を把握したい
  • 異なるOSのデバイスもまとめて管理したい
  • ユーザーが勝手に削除、停止できないようにしたい
arrow

MDMとは

MDMは「Mobile Device Management」の略称で、その名の通り、スマートフォンやタブレット端末といったモバイル端末を管理するための端末管理システムだ。
MDMを導入することで、IT管理者は対象となる複数のモバイル端末を遠隔で管理・操作できるようになる。
また、モバイル端末に特定のアプリやファイルをダウンロードすることを制限できるため、デバイスがウイルスなどのマルウェアに侵されるリスクを大幅に抑止することができるぞ。
MDMを用いて機能の利用制限を行えば、従業員による業務目的外での私的利用を予防し、業務用途に特化したモバイル端末として安全に運用できるようになる。また、従業員が業務データの入った端末を紛失してしまった場合でも、IT管理者によって遠隔から画面をロックしたり、リモートワイプ機能で端末の初期化を行うことで情報漏洩を防ぐことが可能だ。

MDMの仕組み

MDMはモバイル端末をMDMに登録・連携することで、MDMサーバで一括管理が可能になるというものだ。その方法には、「ポーリング方式」と「プッシュ方式」の2つある。

ポーリング方式

body

ポーリング方式とは、MDMサーバとデバイスが直接・定期的に通信することで、MDMの設定をデバイスに反映させたり、デバイスのログや状況を収集したりする方式だ。定期的な通信により、デバイスの状況を常に最新の情報に更新できるのはメリットといえる。
デメリットとしては、定期的な通信によるモバイル端末の電力消耗が大きい点と、すぐに適用したい急を要する変更には対応できない点がある。

プッシュ方式

body

プッシュ方式は、MDMサーバからモバイル端末を提供しているサーバにリクエストを送信して通信する方式のことである。主にキャリアが提供するSMSや、プッシュサービスから通知される方法を使い、管理者のデバイス操作を認証する。
デバイスのOSによっては、対応していないプッシュ方式もあるため、使用するMDMサービスが自社管理したいデバイスのOSに対応しているプッシュ方式を使えるか、なども事前に確認が必要だ。

プッシュ方式の場合、必要な時に通信を行えばよいため、定期的に通信をするよりもデバイス側の電力消耗を抑えることが可能になるし、緊急性の高い変更にも対応可能だ。
一方、定期的な通信ができないため、デバイス側に何か問題が生じても、それを検知するまでに時間を要してしまうこともある。

MDMが求められる背景

ここ数年で、自宅やコワーキングスペースなど、オフィスの外で仕事をする新たなワークスタイルが浸透した。そんな中、従業員同士が同じフロアで顔を合わせていなくても、生産性を落とさずに業務を遂行する為、以前よりも社員同士によるオンラインでのコミュニケーションは活性化している。
こうした環境下でパソコンと同等に活躍するのがスマートフォンやタブレットなどのモバイル端末だ。本社でも支社でも、自宅でもオフィスでも、パソコンでもモバイル端末でも、WEB会議やチャットツールによって遠隔地で働く従業員達が密にコミュニケーションを取れたり、業務で使うデータをいつでもすぐに共有・確認できたりと、さまざまなメリットがある。
しかし、気軽に使える優れた操作性がモバイル端末の大きな魅力である一方、業務用の端末であっても私的利用と混同されやすく、中には業務に関係のないアプリをインストールしたりファイルをダウンロードしたりしてしまう人もいるようだ。これではセキュリティリスクの問題が付いてまわる。例えば、私用目的でインストールしたアプリが悪質な不正ファイルで、そこからウイルスに感染してしまったり、うっかり不正なWEBサイトにアクセスしてマルウェアの被害に遭うといった可能性がある。

これらは、ウイルス対策ソフトをインストールしているだけでは万全とはいえない。なぜならウイルスの多くはシステムの脆弱性を狙って侵入するので、私用目的でIT管理者にとって想定外の操作が増えるほどそのリスクは高まってしまうからだ。

また、パソコンと比べてモバイル端末は小型である為、盗難や紛失に遭いやすいという物理的なリスクもある他、安易にフリーWi-Fi等に繋いで業務をしてしまう等、従業員のセキュリティリテラシーによってはいとも簡単に脅威に晒される。

MDMは、テレワークの拡大を背景として、企業が従業員にモバイル端末を持たせる際のセキュリティ対策として改めて注目されているのだ。

MAM、MCM、EMMとの違いとは

MDMがモバイル端末を管理するための端末管理システムというのに対して、MAMは端末のアプリケーションを管理するシステムのことだ。「Mobile Application Management」の略である。
たとえば、会社からモバイル端末を支給されている場合もあれば、BYOD※で私用のものを使うような運営になっている企業もあるだろう。後者の場合、私用用途のアプリケーションと業務用のアプリケーションを混同されてしまうと会社の管理が行き届かずに情報漏洩やマルウェア感染などセキュリティリスクが高まることになる。

※BYOD:Bring Your Own Deviceの略で自分のデバイスを持ち込み使用することを指す。会社貸与ではなく、社員が個人所有するデバイス(スマートフォンやPC)を業務に活用する仕組みである。

とはいえ従業員の私用領域まで管理の手を広げるわけにもいかないだろう。こんな時にMAMが役に立つ。MAMが私用のモバイル端末内に業務用アプリケーションの領域を生成し、この領域内のアプリケーション利用はVPN越しに行わせることで、安全に業務用 アプリケーションを利用させることができるのだ。私用領域は管理外にあたるため、当然従業員は好きなアプリケーションを自由に利用していいことになる。モバイル端末を紛失してしまった場合でも、情報漏えいの影響が大きいアプリケーションだけを遠隔で削除することもできるぞ。
最近のMDMサービスは、MAMの機能を一部有しているものもある。いずれもモバイル端末を通じたセキュリティリスクを抑止する事が目的となっている為、共通する機能を有していると棲み分けが難しいが、自社に必要なサービスが何か?ではなく、自社に必要な機能は何か?その機能を有しているサービスが結果的にどれなのか?と考えると選定しやすくなるだろう。

にのまえ はじめ

ふむふむ。うちでも完全出社だった内勤者がリモートワーカーになったりして、会社支給携帯増やすかどうかみたいな話もあったんですよね。それにこれなら非正規社員や急な中途入社の受け入れの際にも支給携帯の確保しなくて済むなぁ♪

情シスマン

うむ、結果的にコスト削減や工数削減につながるツールということだな。
MAMはアプリそのものの存在を管理するツールだが、MCMというツールもある。こちらはアプリの中身を管理するツールだ。

にのまえ はじめ

そんなものもあるんですか?

情シスマン

もう少し説明しよう。

MCMとは「Mobile Contents Management」の略であり、モバイル端末にインストールされたアプリケーションの中身を管理するツールだ。MAMではアプリ自体を管理するが、その中のコンテンツ管理までは対応していないので、特定のアプリを使って何のデータを保存しているか?や、保存データに対しての適切なアクセス権限管理までは行き届かない。そこを補完する役割なのがMCMと言えるだろう。

そして、MDM、MAM、MCMの機能を統合した管理システムがEMMだ。EMMは「Enterprise Mobility Management (エンタープライズモビリティ管理)」の頭文字からなる言葉だ。EMMの構成要素として他の3つの言葉が存在するといえる。これからの時代はMDMだけではなく、MAMやMCMも加えて統合的にモバイル端末やその他のスマートデバイスを管理してよりセキュアに業務ができる環境を従業員に提供する必要があるということだ。

情シスマン

まぁでも…あらかじめMDMを導入していたところは、以前に比べたら成長したと思うぞ。

にのまえ はじめ

やったぁ!
何だか久しぶりに情シスマンさんに褒められた気がします!

情シスマン

よし、Dr.プロトコルに外されたMDMを元に戻す!
マルチセキュリティツール起動!リモートワイプ発動!

JoshisuMan Equipment③:マルチセキュリティツール
JoshisuMan Equipment③:マルチセキュリティツール

情シスマンのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる。

Dr. Protocol

わぁぁあ!アプリもデータも全部消えたぞ!こんな初期化された端末など見ても何の意味もなさん!やりやがったな情シスマン!

にのまえ はじめ

よかったぁぁぁああ。
リモートワイプ、ありがたい機能だぁ(涙)

情シスマン

ふん、他にもMDMには基本機能がいくつかあるぞ。

MDMの基本機能

業務で利用するモバイル端末には、電話帳やメールの送受信箱に顧客情報や社外秘のデータなどが詰まっている。業務用アプリをインストールしている場合には、直接社内システムにアクセスできるようになっているかもしれない。すなわち、モバイル端末を紛失したり盗難されたりするということは、情報漏洩や不正アクセスのリスクにさらされることになる。MDMの機能には、こうしたモバイル端末の紛失や盗難時に役立つ様々な機能がある他、通常運用時でも情シス担当者にとって便利な機能が沢山ある。
この章では、MDMの基本的な機能について解説していこう。

リモートロック

リモートロックとは、紛失や盗難時に、遠隔から対象のデバイスをロックする機能のことである。
万が一悪意のある第三者の手元に端末が渡ってしまった場合でも、操作出来ない状態にする事ができる。

リモートワイプ

リモートワイプとは、遠隔から対象デバイスのデータを消去して初期化する機能。盗難や紛失によりデバイスが行方不明になってしまった場合、最後の手段としてデバイスの初期化をして情報漏えいを防ぐことができる。サービスによっては、サーバにデータをバックアップできるものもある。

モバイル端末の一括管理

body

情シス担当者が従業員に配布したモバイル端末の資産情報を一元管理できる。全端末のハードウェア情報や設定情報を自動取得することで、モバイル端末の資産管理を効率的に行う事ができる。
管理できる対象範囲は、アプリやWi-Fiについてなどの設定までと幅広く、それぞれの設定やアプリは、個人、役職、部門など様々なグルーピングで管理することができるため、企業の体制に応じて管理することができる。
従業員に必要な業務アプリを各人のモバイル端末に一括配布したり、フリーWiFiへアクセスさせない等のWi-Fi設定を一括で反映させたり、従来一台一台設定していたものを遠隔から一括で管理・対応することができるのが大きなメリットだ。
従業員が業務に関係のないアプリをインストールして使用していた…といったような私的利用なども管理することができるため、テレワークなどにより端末での利用状況を把握しにくい現代においては重要な機能の一つと言えるだろう。

不正利用の防止

業務上不要なアプリのインストールを制限することが可能だ。管理者が許可したアプリのみ使用することができるため、個人利用のクラウドストレージやコミュニケーションツールなどを利用して情報が漏えいしてしまうことを防いだり、Wi-Fi接続を制限して公衆Wi-Fiによるセキュリティリスクからデバイスを守ったりすることができる。閲覧できるWebサイト自体も制限することができるため、悪意のあるWebサイトからのウイルス感染リスクを低減する事にもつながるだろう。

コンテンツの管理や配信

サービスによるが、コンテンツの管理や配信を行えるMDMもある。従業員に周知したい書類や業務で使用するファイル(例えば、クライアントに案内するパンフレットやカタログ)などをMDMを通じて配信することも可能だ。
新しい資料ができた際に一括で最新にアップデートすることができるため、更新漏れなどを防ぐことができるのだ。

MDMを導入するときのポイント

MDMの導入を検討する企業の目的は、「情報漏洩やマルウェア感染に対するセキュリティ対策」、「必要な設定・アップデート等の一斉適用や自動IT資産管理による管理運用工数軽減」の二つに大別されるだろう。
一言にMDMサービスといってもベンダー毎に特色がある。前段で基本機能として紹介したものの中でも、サービスによっては非対応であったり、もっと踏み込んだセキュリティ関連機能を搭載しているものもあり、様々なのだ。
さらにMDMサービス自体、オンプレ提供のものもあればクラウド提供のものもあり、対応OSも「iOS」「Android OS」の両方に対応しているかどうかや、「Windows OS」「macOS」など、パソコンも対象に含まれる場合もあるので事前に確認しておくべきだろう。自社に必要な機能や想定される利用シーンを予め見返しておくことで、サービスについて情報収集をする際に迷わなくて済む。

情シスマン

ベンダー毎に特色があるから、機能や特性を見極めないと自社に必要な機能が不足しているということも…
とりあえず、MDMを選定するときに最低限押さえておきたい機能はこれだ!

MDMで最低限おさえておくべき機能

設定の一括配布

膨大な数の端末でも各種設定を一括で配布できる

不正利用の防止

認めていないアプリの利用を制限したり、セキュリティ対策されていない公衆Wi-Fiへの接続を禁止したりできる

遠隔監視

インストールアプリや設定情報を遠隔で取得し監視できる

セキュリティポリシーの強制

パスワードなどのセキュリティ機能を強制することができる

リモートロック

遠隔で、端末の操作を行えないようにできる

リモートワイプ

遠隔で、端末を出荷時の初期状態に戻すことができる

MDMを運用するときのポイント

MDMでは、モバイル端末のOSからアプリの中身(コンテンツ)までの全てを管理把握できるわけではないことを理解しておく必要がある。

より詳しく管理したいとなる場合は、アプリ内のコンテンツまでを管理することができるMCM(Mobile Contents Management)を利用する必要がある。

企業側の考えとしてはより詳細に、厳しく管理したいところだが、BYOD(従業員の私物デバイスを業務に利用している)の場合、私的な情報までは管理対象に出来ない為、プライバシー保護とセキュリティの両立を実現するには、アプリ単位で管理が出来るMAM(Mobile Application Management)や、MDMからMAM、MCMまでの機能が統合されたEMMサービスを視野に入れ、どのように活用していくかを詰めていくとよいだろう。

おすすめのMDMサービスとは

最後にお薦めのMDMサービスも紹介しておこう。「USEN GATE02 - モバイルマネージャー - 」は、iOS、Android、Windows、Macなどマルチキャリアに対応したクラウド型のMDMサービスだ。iOS や Android だけでなく、マルチOS(iOS・Android・Windows・macOS・tvOS) に対応し、さらに以下の強みがある。

MDMプロファイルの削除不可

ユーザーの操作で管理下から離脱することはできない

管理画面で設定作成が可能

「管理配布」に対応しており、端末へライセンスの割当からアプリ配信までを管理画面上から効率的に完了させることができる

柔軟な管理設定が可能

情シス部門だけではなく各管理者毎の権限を“細かく”設定することが可能(拠点管理者や部署担当者等に必要な権限を付与する事が出来る)

豊富なオプション

電話一本で24時間365日遠隔処理を代行、電子証明書の運用、WEBフィルタリングも対応

そして「USEN GATE02 - LanScopeクラウド- 」は、外部脅威を防御し 、 内部情報漏えいを抑止する対策として「MDM機能」と「IT資産管理」そして「業務の見える化」を1つのクラウドサービスとして提供するサービスだ。IT資産管理は管理する対象端末が増えれば増える程必要だ。近年、PCもスマホもタブレットも全て一つのサービスで管理する需要が高まっており、このアプリはどのデバイスにインストールされているか?等が一つの画面に集約されるのはありがたい。「いつ」「どのようなアプリを利用したか」「誰と電話したか」など、スマホ・タブレットの「利用の見える化」を実現する。利用させるアプリケーションやアカウント権限の最適化にも一役買うことになるな。

にのまえ はじめ

んん~...多田野部長が業務に関係ないサイトに長時間アクセスしてたら突っ込んじゃおうっかなぁ♬

情シスマン

うむ、勿論パソコンの方の操作ログも取れる。不正サイトへの利用もそうだが、
長時間労働になっていないか?終業時間内は効率的に動けているか?等を知るきっかけにもなるだろう。

従来の操作ログ収集と違う点としては、組織配下のグループ別比較や課題のあるデバイスの特定等、サマリーを表示してくれる点だろう。監視・管理ツールとしてだけではなく組織マネジメントの一助にもなるツールとして扱う事が出来る。

最後に「USEN GATE02 - セキュアエンドポイントサービス- 」は、外部脅威を防御し 、 内部情報漏えいを抑止する対策として「アンチウイルス」と「資産管理」を1つのクラウドサービスとして提供するエンドポイントセキュリティサービスだ。これはMDMに特化したサービスではなく、クラウド型のアンチウイルスに資産管理やMDM機能までついているイメージだ。

アンチウイルスはパターンファイルに頼らずAIを活用して独自のアルゴリズムで検出することで高い検出率を保持しているぞ。特徴的なオプションとしてはEDR機能だ。攻撃が発生した場合も、迅速なインシデント対応を支援してくれる。またマルウェア検体解析オプションだ。お客様から提供された検体の調査、解析を行い、マルウェアの危険度、修復方法などの情報を提供してくれる。

サービス毎に有するオプションに違いがあったり、UIが異なるが、いずれのサービスでもIT資産管理機能もMDM機能も一元管理が出来る。デバイスのインベントリ情報の管理の他、アプリケーションの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続など、「どういった状態のPCまたはモバイル端末で」「誰が」「いつ」「どんな操作をしたか」など利用状況を把握できるので、こちらも利用させるアプリケーションやアカウント権限の最適化にも一役買うことになるな。

にのまえ はじめ

沢山教えてくれてありがとうございます!
もっと細かく比較したいところですが、そもそもいろんな会社に声をかけなくても1社で数種類の提案が出てくるのは楽でいいなぁ。

情シスマン

うむ、今はじめの会社が使っているMDMサービスとも比較してみてくれ。
強い情シスが企業を伸ばす!また会おう、さらばだ!

解決

ICT SOLUTION!

様々な端末で、そして様々なロケーションで業務を行えるのは非常に便利だな。生産性向上にはもってこいだが、情シス担当には常にセキュリティ対策や管理の工数負担がのしかかる。情シス担当が割いている時間や労力も企業にとってはサービスに支払うコストと同じ”コスト”である。情シス担当の努力は無料のリソースではないのだ。
是非こういったサービスをうまく利活用して欲しい。

arrow
モバイルマネージャー
  • 端末状態取得・監視でIT資産管理だけでなく情報漏洩抑止も。
  • パスワード強制適用、アプリや設定の遠隔配信で担当者の負担軽減。
  • リモートワイプやリモートロックもついてて紛失時も安心。
サービスのお問い合わせはこちらから

「USEN GATE 02 ― LanScopeクラウド―」

  • 圧倒的な「使いやすさ」
  • 充実のWindows管理(操作ログ管理・ファイル配信・記録メディア制御 を実装)
  • Googleの認定プログラムに対応したモバイル管理機能
サービスのお問い合わせはこちらから

「USEN GATE 02 ― セキュアエンドポイントサービス―」

  • 「アンチウイルス」と「資産管理」を1つのサービスとして提供。
  • AI技術を利用した独自アルゴリズムで高い検知率を実現。
  • 異常検知の際の対処などEDRオプションもご用意。
TO BE CONTINUED…

本記事の著者

情シスマンX

情シスマン

本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。

電話
このページのトップへ
企業のICT環境、情報システムでお悩みの方へ法人向けインターネット回線やクラウドサービス、データセンターなど、ICTサービスを総合的に扱うUSEN GATE 02 にご相談ください!
freedial
0120-681-6170120-681-617
受付時間 10:00~18:00(土日・祝日除く)
バトルコンテンツバトルコンテンツITコラムITコラムICT用語集ICT用語集キャラクターキャラクターストーリーストーリーお役立ち資料お役立ち資料セミナーセミナー
FacebookX
Copyright (C) USEN ICT Solutions All Rights Reserved.