今やパソコンと同様に仕事に欠かせなくなったスマートフォン。
さらに、近年のテレワークの普及によって、より手放せなくなったデバイスといえるだろう。その反面、端末には顧客の連絡先や取引内容のメールなど機密情報が詰まっており、紛失や盗難によって情報流出のリスクにもなっている。
そのため、多くの企業ではモバイルデバイスを貸与する際には専用の管理ツール『MDM(モバイルデバイスマネージャー)』を導入しているはずだ。
しかし、OSやバージョンが異なるデバイスが混在し管理が複雑になっている企業もあるだろう。中にはユーザーが勝手に操作し管理下から逃れることができてしまうMDMもある。せっかく入れたMDMが無効状態でピンチに陥った情シスがここにもひとり──

多田野部長

あー!いたいた!にのまえくん!
営業の〇〇さんから、スマートフォンを紛失したと連絡があった!
至急何とかしてほしいんだが!

にのまえ はじめ

げげっ!どこでなくしたんですか!?まったくもー!
なーんて…今回の僕はひと味違いますからね!
こんなときのためにちゃぁーんと、MDM入れてたんですよ!
部長!

多田野部長

え、えむでぃー?…何か知らんがすごそうだな!
さっそく探してくれ!

にのまえ はじめ

…ん??……えっ…そっ、そんなぁ!!
確かに彼のスマートフォンに導入したはずなのに管理下から外れてる!?
これじゃあ探せないし、遠隔で操作もできない!

Dr. Protocol

ヤッホー!はじめくん!
何か探してるみたいだけど、お探しモノはコレかな?
(右手に持っているスマートフォンを振って、背面に貼ってあるシールを指さして見せつける)

にのまえ はじめ

げげぇぇぇぇーーー!うちの管理番号シールじゃないですか…!?
そ、それ、まさか…!ちょ、返してくださいよ!

Dr. Protocol

やーだね!ククククッ…!私の法律では拾得物は私のものになるんだ!
さぁて、何をしようかナ!

~Dr.Protocol Equipment①:マルチLANハンド~

伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。

Dr. Protocol

ククククッ…!
美味しそうなデータのにおいがするぞ…!
試しに抜いてみちゃおうかナ!

にのまえ はじめ

やめろー!!ど、ど、そうすればいいんだ!
MDMが外れてしまった端末だから、管理画面からは何もできないし…!
データと一緒に俺のクビも飛んじゃう…!

Joshisu Man

モバイルデバイス管理で困っているそこのキミ!

にのまえ はじめ

じょ、JoshisuManさぁぁぁぁぁん!
やっど…やっど、ぎだぁ~~~~~!(号泣)

Joshisu Man

こ、こらっ!いきなり抱きつくんじゃない!
全く...またDr.プロトコルにいいようにやられているな。

MDMとは

MDMは「Mobile Device Management」の略称で、その名の通り、スマートフォンやタブレット端末といったモバイル端末を管理するための端末管理システムだ。
MDMを導入することで、IT管理者は対象となる複数のモバイル端末を遠隔で管理・操作できるようになる。
また、モバイル端末に特定のアプリやファイルをダウンロードすることを制限できるため、デバイスがウイルスなどのマルウェアに侵されるリスクを大幅に抑止することができるぞ。
MDMを用いて機能の利用制限を行えば、従業員による業務目的外での私的利用を予防し、業務用途に特化したモバイル端末として安全に運用できるようになる。また、従業員が業務データの入った端末を紛失してしまった場合でも、IT管理者によって遠隔から画面をロックしたり、リモートワイプ機能で端末の初期化を行うことで情報漏洩を防ぐことが可能だ。

MDMが求められる背景

ここ数年で、自宅やコワーキングスペースなど、オフィスの外で仕事をする新たなワークスタイルが浸透しただろう。そんな中、従業員同士が同じフロアで顔を合わせていなくても、生産性を落とさずに業務を遂行する為、以前よりも社員同士によるオンラインでのコミュニケーションは活性化している。
こうした環境下でパソコンと同等に活躍するのがスマートフォンやタブレットなどのモバイル端末だ。本社でも支社でも、自宅でもオフィスでも、パソコンでもモバイル端末でも、WEB会議やチャットツールによって遠隔地で働く従業員達が密にコミュニケーションを取れたり、業務で使うデータをいつでもすぐに共有・確認できたりと、さまざまなメリットがある。
しかし、気軽に使える優れた操作性がモバイル端末の大きな魅力である一方、業務用の端末であっても私的利用と混同されやすく、中には業務に関係のないアプリをインストールしたりファイルをダウンロードしたりしてしまう人もいるようだ。これではセキュリティリスクの問題が付いてまわる。例えば、私用目的でインストールしたアプリが悪質な不正ファイルで、そこからウイルスに感染してしまったり、うっかり不正なWEBサイトにアクセスしてマルウェアの被害に遭うといった可能性がある。

これらは、ウイルス対策ソフトをインストールしているだけでは万全とはいえない。なぜならウイルスの多くはシステムの脆弱性を狙って侵入するので、私用目的でIT管理者にとって想定外の操作が増えるほどそのリスクは高まってしまうからだ。
また、パソコンと比べてモバイル端末は小型である為、盗難や紛失に遭いやすいという物理的なリスクもある他、安易にフリーWi-Fi等に繋いで業務をしてしまう等、従業員のセキュリティリテラシーによってはいとも簡単に脅威に晒される。

MDMは、テレワークの拡大を背景として、企業が従業員にモバイルデバイスを持たせる際のセキュリティ対策として注目されているのだ。

MAM、EMMとの違いとは

MDMがモバイル端末を管理するための端末管理システムというのに対して、MAM端末のアプリケーションを管理するシステムのことだ。「Mobile Application Management」の略である。
たとえば、会社からモバイル端末を支給されている場合もあれば、BYOD※で私用のものを使うような運営になっている企業もあるだろう。後者の場合、私用用途のアプリケーションと業務用のアプリケーションを混同されてしまうと会社の管理が行き届かずに情報漏洩やマルウェア感染などセキュリティリスクが高まることになる。
とはいえ従業員の使用用途領域まで管理の手を広げるわけにもいかないだろう。こんな時にMAMが役に立つ。
MAMが私用のモバイル端末内に業務用アプリケーションの領域を生成し、この領域内のアプリケーション利用はVPN越しに行わせることで、安全に業務用 アプリケーションを利用させることが出来るのだ。
私用領域は管理外にあたるため、当然従業員は好きなアプリケーションを自由に利用していいことになる。モバイル端末を紛失してしまった場合でも、情報漏えいの影響が大きいアプリケーションだけを遠隔で削除することもできるぞ。

※BYOD:Bring Your Own Deviceの略で自分のデバイスを持ち込み使用することを指す。会社貸与ではなく、社員が個人所有するデバイス(スマートフォンやPC)を業務に活用する仕組みである。

にのまえ はじめ

ふむふむ。うちでも完全出社だった内勤者がリモートワーカーになったりして、会社支給携帯増やすかどうかみたいな話もあったんですよね。それにこれなら非正規社員や急な中途入社の受け入れの際にも支給携帯の確保しなくて済むなぁ♪

Joshisu Man

うむ、結果的にコスト削減や工数削減につながるツールということだな。
MAMはアプリそのものの存在を管理するツールだが、MCMというツールもある。こちらはアプリの中身を管理するツールだ。

にのまえ はじめ

そんなものもあるんですか?

Joshisu Man

もう少し説明しよう。

MCMとは「Mobile Contents Management」の略であり、モバイル端末にインストールされたアプリケーションの中身を管理するツールだ。MAMではアプリ自体を管理するが、その中のコンテンツ管理までは対応していないので、特定のアプリを使って何のデータを保存しているか?や、保存データに対しての適切なアクセス権限管理までは行き届かない。そこを補完する役割なのがMCMと言えるだろう。

そして、MDMMAMMCMの機能を統合した管理システムEMMだ。EMMは「Enterprise Mobility Management (エンタープライズモビリティ管理)」の頭文字からなる言葉だ。EMMの構成要素として他の3つの言葉が存在するよいえる。これからの時代はMDMだけではなく、MAMMCMも加えて統合的にモバイル端末やその他のスマートデバイスを管理してよりセキュアに業務が出来る環境を従業員に提供する必要があるということだ。

Joshisu Man

まぁでも…あらかじめMDMを導入していたところは、以前に比べたら成長したと思うぞ。

にのまえ はじめ

やったぁ!
何だか久しぶりにJoshusuManさんに褒められた気がします!

Joshisu Man

よし、Dr.プロトコルに外されたMDMを元に戻す!
マルチセキュリティツール起動!リモートワイプ発動!

~JoshisuMan Equipment③:マルチセキュリティツール~

JoshisuManのベルト部分についているカード型のセキュリティツール。カードについているボタンを押して、共通鍵や秘密鍵の生成はもちろん、カードそのものをかざすことでデータ通信やセキュリティの制御と操作ができる。また、カードを取り外してルーターウォール、光ファイバーテイルに差し込むことで機能をパワーアップ&拡張できる。

Dr. Protocol

わぁぁあ!アプリもデータも全部消えたぞ!こんな初期化された端末など見ても何の意味もなさん!やりやがったなJoshisMan!

にのまえ はじめ

よかったぁぁぁああ。
リモートワイプ、ありがたい機能だぁ(涙)

Joshisu Man

ふん、他にもMDMには基本機能がいくつかあるぞ。

MDMの基本機能

業務で利用するモバイル端末には、電話帳やメールの送受信箱に顧客情報や社外秘のデータなどが詰まっている。業務用アプリをインストールしている場合には、直接社内システムにアクセス出来るようになっているかもしれない。
すなわち、モバイル端末を紛失したり盗難されたりするということは、情報漏洩や不正アクセスのリスクにさらされることになる。
MDMの機能には、こうしたモバイル端末の紛失や盗難時に役立つ「リモートロック」と「リモートワイプ」という機能がある。
リモートロックによって、紛失や盗難時に、遠隔から対象のデバイスをロックすれば、悪意のある第三者の手元に端末が渡ってしまった場合でも、操作出来ない状態にする事が出来る。
リモートワイプを行使すれば、遠隔から対象端末のデータを消去して初期化する事もできる。

また、紛失や盗難時だけではなく通常運用でも有益な機能が沢山ある。情シス担当者が従業員に配布したモバイル端末を遠隔から一元管理できるのだ。全端末のハードウェア情報や設定情報を自動取得することで、モバイル端末の資産管理を効率的に行う事が出来る。

端末設定ポリシーは個人毎、役職毎、部門毎といった形でグループごとに管理することが可能で、グループポリシーを更新する際には、その設定を対象端末に対して遠隔操作で一斉に適用できる。初期導入時には一台ずつやっていた設定作業も遠隔から一斉適用、利用者各人に任せるしかなかったアップデート作業やセキュリティポリシーなども強制適用出来る為、情シス担当者の工数軽減に大いに有効だ。

MDMを導入するときのポイント

MDMの導入を検討する企業の目的は、「情報漏洩やマルウェア感染に対するセキュリティ対策」、「必要な設定・アップデート等の一斉適用や自動IT資産管理による管理運用工数軽減」の二つに大別されるだろう。
一言にMDMサービスといってもベンダー毎に特色がある。前段で紹介したような基本機能はいずれのサービスも有しているだろうが、セキュリティ関連機能などは細かく見ていくと違いあるものだ。
さらにMDMサービス自体、オンプレ提供のものもあればクラウド提供のものもあり、対応OSも「iOS」「Android OS」「Windows OS」「macOS」のうちどれなのか事前に確認しておくべきだろう。自社に必要な機能や想定される利用シーンを予め見返しておくことで、サービスについて情報収集をする際に迷わなくて済む。

Joshisu Man

ベンダー毎に特色があるから、機能や特性を見極めないと自社に必要な機能が不足しているということも…
とりあえず、MDMを選定するときに最低限押さえておきたい機能はこれだ!

MDMで最低限おさえておくべき機能

設定の一括配布 膨大な数の端末でも各種設定を一括で配布できる
不正利用の防止 認めていないアプリの利用を制限したり、セキュリティ対策されていない公衆Wi-Fiへの接続を禁止したりできる
遠隔監視 インストールアプリや設定情報を遠隔で取得し監視できる
セキュリティポリシーの強制 パスワードなどのセキュリティ機能を強制することができる
リモートロック 遠隔で、端末の操作を行えないようにできる
リモートワイプ 遠隔で、端末を出荷時の初期状態に戻すことができる

おすすめのMDMサービスとは

最後にお薦めのMDMサービスも紹介しておこう。「USEN GATE02 - モバイルマネージャー - 」は、iOSAndroidWindowsMacなどマルチキャリアに対応したクラウド型のMDMサービスだ。iOS Android だけでなく、Windows 810 にも対応し、さらに以下の強みがある。

MDMプロファイルの削除不可 ユーザーの操作で管理下から離脱することはできない
管理画面で設定作成が可能 「管理配布」に対応しており、端末へライセンスの割当からアプリ配信までを管理画面上から効率的に完了させることができる
柔軟な管理設定が可能 情シス部門だけではなく各管理者毎の権限を細かく設定することが可能(拠点管理者や部署担当者等に必要な権限を付与する事が出来る)
豊富なオプション 電話一本で24時間365日遠隔処理を代行、電子証明書の運用、WEBフィルタリングも対応

そして「USEN GATE02 - セキュアエンドポイントサービス- 」は、外部脅威を防御し 、 内部情報漏えいを抑止する対策として「アンチウイルス」と「資産管理」を1つのクラウドサービスとして提供するエンドポイントセキュリティサービスだ。これはMDMに特化したサービスではなく、クラウド型のアンチウイルスに資産管理やMDM機能までついているイメージだ。
アンチウイルスはパターンファイルに頼らずAIを活用して独自のアルゴリズムで検出することで高い検出率を保持しているぞ。特徴的なオプションとしてはEDR機能だ。攻撃が発生した場合も、迅速なインシデント対応を支援してくれる。またマルウェア検体解析オプションだ。お客様から提供された検体の調査、解析を行い、マルウェアの危険度、修復方法などの情報を提供してくれる。

サービス毎に有するオプションに違いがあったり、UIが異なるが、いずれのサービスでもIT資産管理機能MDM機能も一元管理が出来る。デバイスのインベントリ情報の管理の他、アプリケーションの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続など、「どういった状態のPCまたはモバイル端末で」「誰が」「いつ」「どんな操作をしたか」など利用状況を把握できるので、利用させるアプリケーションやアカウント権限の最適化にも一役買うことになるな。

にのまえ はじめ

沢山教えてくれてありがとうございます!
もっと細かく比較したいところですが、そもそもいろんな会社に声をかけなくても1社で数種類の提案が出てくるのは楽でいいなぁ。

Joshisu Man

うむ、今はじめの会社が使っているMDMサービスとも比較してみてくれ。
強い情シスが企業を伸ばす!
また会おう、さらばだ!

【解決】~ICT SOLUTION!~

様々な端末で、そして様々なロケーションで業務を行えるのは非常に便利だな。生産性向上にはもってこいだが、情シス担当には常にセキュリティ対策や管理の工数負担がのしかかる。情シス担当が割いている時間や労力も企業にとってはサービスに支払うコストと同じコストである。情シス担当の努力は無料のリソースではないのだ。
是非こういったサービスをうまく利活用して欲しい。

「USEN GATE 02 ― モバイルマネージャー ―」

・端末状態取得・監視でIT資産管理だけでなく情報漏洩抑止も。
・パスワード強制適用、アプリや設定の遠隔配信で担当者の負担軽減。
・リモートワイプやリモートロックもついてて紛失時も安心。

「USEN GATE 02 ―セキュアエンドポイントサービス―」

・「アンチウイルス」と「資産管理」を1つのサービスとして提供。
・AI技術を利用した独自アルゴリズムで高い検知率を実現。
・異常検知の際の対処などEDRオプションもご用意。


TO BE CONTINUED…

<Joshisu Man>

本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。
様々な武器を駆使して情シスにまつわる問題や悩みを解決している。
ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。

この記事に関連するお役立ち資料はこちら

情報システム・セキュリティ学びスタートアップガイド~経営層に響かせろ!セキュリティ対策の重要性~

企業へのサイバー攻撃は年々巧妙化し、企業におけるセキュリティ対策はますます重要になっています。ただし、担当者の方々がセキュリティリスクについて理解されていても、経営層に理解されず、必要な予算を確保できないケースも多いと聞きます。
本資料では、そんな経営層に向けて、大企業だけでなく中小企業こそセキュリティ対策が重要である理由を丁寧に紹介しています。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス