“攻めの管理”を実現!最新MDM徹底解説

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

“攻めの管理”を実現!最新MDM徹底解説

2013/11/11


 PCからスマホやタブレットへと、モバイルコンピューティングのトレンドは明確に進路を変え始めた。しかし、その流れを堰き止めるように立ちはだかるのがセキュリティとコンプライアンス。情シスだって社員が求めるスマートデバイス利用に「No」とは言いたくない。といって情報漏洩リスクやセキュリティリスクが大きくなるのは困る…。スマホ登場の頃からのこのジレンマに、ここに来てようやく解決の道が見えてきた。従来からの端末管理中心の「MDM(Mobile Device Management)」が「MAM(Mobile Application Management)」や「MCM(Mobile Contents Management)」と連携/融合し、スマートデバイスでも企業のポリシーを守りながら活用しやすくなったのだ。今回は「規制」から「攻め」へと転じるスマートデバイス管理に不可欠なMDMの導入法と選び方を考えてみる。

MDM

※「MDM/“攻めの管理”を実現!最新MDM徹底解説」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「MDM/“攻めの管理”を実現!最新MDM徹底解説」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1

 MDMツールはスマートフォンやタブレット(スマートデバイス)を企業で集中管理するためのツールのこと。
 従来から企業向けPCならベンダなどによるカスタマイズサービスやキッティングサービスが利用でき、端末そのものを最初から企業の運用ポリシーに合わせることができる。しかしスマートデバイスは特注する以外にハード面でのカスタマイズができない。BYOD(私物端末の業務利用)のコンセプトがもてはやされる一方で、コンシューマ向けに設計された端末には企業ユースに十分なセキュリティ機能が備わっておらず、このことが本格的な業務活用にブレーキをかけている。そこで、端末のハード仕様はそのままに、外部から機能を制御して企業個別の運用ポリシーを適用し、安心して業務活用できるようにしようというのがMDMツールの基本的な考え方だ。

1-1

MDMツールの端末管理機能

 MDMツールの基本的な仕組みはIT資産管理ツールとほぼ同様だ。端末から集中管理サーバが情報を取得し、利用者や所属などの情報と紐づけて、権限に応じた設定を配布したり、必要に応じて管理コマンドを実行したり、アプリのインストールや削除などを行ったりすることができる。

■“KindleFire対応”も登場!マルチOSのスマートデバイスの一括管理

 MDMを利用するには、まずは利用する端末をMDMサーバに登録する必要がある。一度登録した端末は、図1のように一覧表示され、ユーザ、端末、ユーザの所属先(組織情報)などの切り口で絞り込みが行える。管理操作が必要な端末をこうした一覧から特定し、設定の配布や管理コマンド実行を行うことになる。

図1 MDMの統合管理画面例
図1 MDMの統合管理画面例
資料提供:アイキューブドシステムズ

 MDMサーバの管理下に入った端末は、定期的に、または必要に応じてMDMサーバと通信を行い、設定更新やコマンド実行の必要の有無を確認する。それと同時に端末の設定情報やアプリの導入状況、メモリの空き状況など各種のインベントリがサーバに吸い上げられる。これにより、「誰の」「どの端末が」「どのように構成されているか」が、管理画面から把握できる。その情報は図2のように各種のレポートとして表示することが可能で、全体の状況から個別の端末の情報までドリルダウンして確認できるほか、設定しているポリシーに違反している端末を自動的に見つけ出すこともできる。
 またアプリの利用状況を把握してアプリ購入の適正化を図ったり、ユーザや部署単位でアプリの実行権限の適正化を行う資料として役立てることもできる。
 少し以前まではiOS用とAndroid用とで別々のMDMツールが使われてきたが、端末の普及にともないMDMツールベンダ各社が対象端末を拡げ、今では通信会社が提供するMDMサービスの一部を除き、主要なMDMツールのほとんどが2大OSに対応している。加えて、BlackBerry、Symbian、Windows Mobile、Windows Phone、さらに最近ではKindleで使われているFire OSに対応するものもある。

図2-1 端末情報のレポート画面例1
図2-1 端末情報のレポート画面例1
管理端末の概要
     資料提供:マクニカネットワークス/
モバイル・アイアン・ジャパン

+拡大

図2-2 端末情報のレポート画面例2
図2-2 端末情報のレポート画面例2
OSのバージョン別概要
資料提供:マクニカネットワークス/
モバイル・アイアン・ジャパン

+拡大

図2-3 端末情報のレポート画面例3
図2-3 端末情報のレポート画面例3
セキュリティポリシー準拠情報の一覧
資料提供:マクニカネットワークス/
モバイル・アイアン・ジャパン

+拡大


■“脱獄”社員も逃さない!端末側エージェントアプリにより「脱獄」「ルート化」も迅速に検知

 端末側にMDM用のエージェントアプリを導入するサービスが多い。iOSの場合はAppleが一定のMDM機能を提供しているのでエージェントアプリレスでの運用も可能だが、Androidの場合はGoogleから提供されるMDM機能は限定的で、エージェントアプリ無しでは端末制御を行えない。特に、監視の抜け道から社内ルールに反して端末を利用する、いわゆる“脱獄”する社員を突き止めることができるかは重要なポイントだ。Jailbreak(脱獄ともいう。iOSの場合)やルート化(Androidの場合)と呼ばれる、もともとの操作制限を無効化する改造が行われた場合に、エージェントアプリがあれば迅速に検知して適切な対応がとれるが、エージェントアプリレスでは検知ができない。

図3 端末側にインストールする「エージェントアプリ」の画面例
図3 端末側にインストールする「エージェントアプリ」の画面例
資料提供:アイキューブドシステムズ
■プッシュ通知でコマンドを実行

 MDMサーバでセットしたコマンドを端末側で実行する一般的な流れを図4に示す。まずMDMサーバがコマンドを用意したことを伝えるのがAPNs(Apple)またはGCM(Google/旧C2DM)と呼ばれるOSベンダ提供のオンライン配信サービスだ。配信サービスでは、対象の端末にコマンド実行を促すメッセージをプッシュ配信する。そのメッセージを受け取った端末はMDMサーバにアクセスし、コマンドを実行し、その結果をMDMサーバに返す。
 Android対応のMDMサービスの中には、SMSを利用して通知するもの(4G通信が可能な場合のみになる)や、端末からMDMサーバに定期的なポーリングを行う(電池消耗の懸念あり)仕組みがとられているものがある。また、サービスベンダ独自のプッシュ配信サーバを利用することもある。より安全を期してクローズしたネットワークでの配信を行うためだ。

図4 管理コマンドの処理の流れの例
図4 管理コマンドの処理の流れの例
資料提供:アイキューブドシステムズ

 実行できるコマンドは、リモートワイプやリモートロック、パスコード消去、メッセージ送信、構成プロファイルの配布/削除、位置情報の取得などだ。Android端末ではmicroSDカードも使えるので、microSDカードのワイプ機能も必要だ。iOS 5以降では海外からの利用に際して音声やデータのローミングの可否を決めることもできる。アプリのインストール指示や、強制アンインストールなども可能だ。

!

注目しておきたい「iOS 7」の最新“ビジネス向け”管理機能

 最新のiOS 7はビジネス向けの管理機能が強化されている。次のような新機能に注目したい。MDMツールはこれら機能への対応を急いでおり、一部は対応済みだ。

・Managed open in
書類や添付ファイルを開くときに使えるアプリとアカウントを会社側で設定し、業務用書類を個人用アプリで開けないようにできる。オンラインストレージなど情報漏洩リスクのあるアプリとの連携を禁じたり、業務用アプリで個人用書類を開けないようにできる。

・Per app VPN
業務用アプリでは起動時に自動的にVPNに接続し、個人用アプリではVPNを利用しないという使い分けが可能になる。

・新しいMDM構成オプション
MDMツールで利用できるコマンドを追加。アプリ設定、カスタムフォント使用、アクセシビリティオプション、AirPrintプリンタ設定、AirPlayの通信先のホワイトリスト化など。

・シングルサインオン
iOS SDKがシングルサインオンに対応したため、Managed appsとして配布した業務アプリでのシングルサインオンが容易に構築できる。

・他社製アプリのデータ保護
ユーザのパスコードにより他社製アプリのデータを暗号化して保護。端末の初回起動・再起動時にアプリ内のデータを自動的に暗号化するので紛失時などにも安心。パスコードの認証と同時に暗号化が解除される。

・App Store Volume Purchase Program
従来からアプリを会社が一括購入して端末に割り振るライセンス「Volume Purchase Program」が提供されていたが、これまでアプリを削除すると他の端末では利用できなかった。新しいこのライセンス形態では、端末から削除したアプリは別の端末で利用できるようになる(2013年10月末現在国内未提供)。


■端末の機能制限

 端末上でセキュリティやコンプライアンスに関わる機能は、iOSでは「プロファイル」と呼ばれる設定ファイルで機能制限が可能だ。AndroidではMDMツール側での制御になる。特に重要な制限項目は次のとおりだ。

パスコード設定(強制)

長さや使用文字、有効期限、失敗入力回数(数度間違ったパスワードを入力したら端末をロックする)など。端末紛失や盗難などの際に不正利用されるのを防ぐ。

アプリの使用制限

アカウントを利用したりハードウェア機能に直接アクセスするようなアプリや、会社が指定する禁止アプリ、利用料金が発生するアプリなどの使用禁止。情報漏洩可能性を低減する。

カメラ/画面キャプチャの機能制限

写真や画面キャプチャからの情報漏洩を防ぐ。

VPN設定

VPN接続のための設定情報。社内システムとの接続にはVPNが必須。

WiFi/Bluetoothの接続制限

接続先との通信の盗聴、内部からの情報窃取などの可能性をなくす。

テザリング利用制限

脆弱性のあるWiFiルータとの接続による盗聴などの情報漏洩を防ぐ。

 主なMDMツールはこれら機能制限に対応しており、基本的にあまり差はない。差が出てくる部分や注意すべきポイントについては後述する。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

MDM/“攻めの管理”を実現!最新MDM徹底解説」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「MDM」関連情報をランダムに表示しています。

MDM」関連の製品

ビッグデータ統合・連携基盤「Talend」 【エアー】 EMMプラットフォーム AirWatch 【データコントロール】 モバイルPC 盗難・紛失対策サービス 【日立ソリューションズ】
ビッグデータ その他スマートデバイス関連 MDM
Eclipseベースのグラフィカルな統合開発環境を使用し、データ統合からアプリケーション連携、ビジネスプロセス管理まで行える統一プラットフォーム。多数の導入実績あり。 OS、Android、Windows 10など多様なモバイルデバイスを安心して運用できる統合管理ソリューション。グローバル対応、外部システムとの柔軟な連携など多機能。 モバイルPCに対してリモートロックやリモートワイプ等によるセキュリティ対策を提供。盗難にあったPCの回収支援も行う。

MDM」関連の特集


個人では利用しているけれど…企業でオンラインストレージを本当に利用できる?という声は多い。今回は「企…



BYODが浸透してきている中、注目されるスマートフォン内線化。今回は、固定電話や従来のスマホ支給と比…



セキュリティ強化やBCP対策としても注目度の高い「デスクトップ仮想化」。今回は、最新事情に加えありが…


MDM」関連のセミナー

Windows 10 MobileだけでなくPCまでをも管理、新世代のEMMとは 【マクニカネットワークス】 締切間近 

開催日 12月12日(月)   開催地 東京都   参加費 無料

これまでMobileIronは、iOSを中心としたスマートフォン・タブレットを対象とし、日本を含めた全世界の企業・官公庁におけるスマートデバイス活用のプラットフ…

クラウド&モバイル時代に向けたこれからのセキュリティ対策 【富士ソフト】  

開催日 12月9日(金),12月15日(木),12月22日(木),1月20日(金)   開催地 東京都   参加費 無料

昨今、クラウド技術の向上、さらにはスマートフォンやタブレットなどのモバイルデバイスの普及により、今や「いつでも」「どこでも」業務ができるようになってきております…

「スマートデバイス」関連 製品レポート一覧

このページの先頭へ

MDM/ “攻めの管理”を実現!最新MDM徹底解説」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「MDM/ “攻めの管理”を実現!最新MDM徹底解説」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006295


IT・IT製品TOP > スマートデバイス > MDM > MDMのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ