スマートフォンやタブレットなどのモバイルデバイスを、業務のために導入する企業が増え続けています。
モバイルデバイスの導入は、多様な働き方を実現したり、業務を効率化したりといったメリットをもたらしますが、同時に、設定・管理の負担や、情報漏えいをはじめとするセキュリティ面のリスクも伴います。
こうした中、社員が利用するモバイルデバイスを、効率的かつセキュアに管理するためのソリューションのひとつとして、改めて注目を集めているのが「MDM」です。
そこで今回は、MDMの基本的な機能、導入・検討のポイントを解説していきたいと思います。
【1】MDMとは:複数の端末の一元管理ができるシステム
MDMは、Mobile Device Management(モバイル・デバイス・マネジメント=モバイルデバイス管理)の略で、スマートフォンやタブレットなどのモバイルデバイス(携帯端末)を管理運用する仕組みを指します。
また、それを実現するソフトウェアやサービスなども、「MDM」「MDM商品」と呼ばれます。
MDMを導入すると、複数の端末の遠隔操作・管理が可能になります。つまり、企業が、社員のスマートフォンやタブレットなどのモバイルデバイスを、自社のセキュリティポリシーに合わせて一元管理できるようになるのです。
MDMが重要になった背景:拡大するモバイルデバイスの業務利用 “アフターコロナ” で加速も
MDMが利用されるようになった背景には、企業がモバイルデバイスを大量に導入するようになり、ビジネスとしての利用範囲が拡大し続けていることが挙げられます。
これには、働き方改革や、新型コロナウイルス流行による、テレワーク拡大の影響がありますが、さらに、“アフターコロナ”で、今後も導入が加速するという見方もあり、新しい働き方をより安全かつ効率的に実現するために、改めてモバイルデバイスを管理するMDMへの関心が高まっているのです。
MDM導入の目的:効率的かつセキュアな端末管理
では、MDMによりモバイルデバイスを一元管理することには、どういった目的があるのでしょう。それには大きく次の2つが挙げられます。
●目的1:設定・管理の効率化
利用する端末が1台であれば、設定やアプリケーションの追加はそれほど手間ではありませんが、台数が増えたときには、一元管理での効率化が求められます。
●目的2:セキュリティ対策
PCと同様、モバイルデバイスを利用する際も、情報漏えい対策をはじめとするセキュリティ面への対応が求められます。
あらかじめ定められた情報セキュリティポリシーにしたがって、
・どの情報を誰にアクセスさせ、誰にアクセスさせないか
・どの操作を誰に対して許可し、誰に許可しないか
といったことを、全ての端末にもれなく適用し、ポリシーの改定があったときには、迅速に全ての端末に再適用できる仕組みが必要です。
また、端末の紛失・盗難があった場合に備え、遠隔からのロックやデータ削除など、情報漏えい対策を実施できるようにしておかなければなりません。
このような目的を実現する基盤となり、管理を格段に改善するのが、MDMなのです。
MDMの機能:端末の管理・制御・監視
一般的にMDMが提供する主な機能として、次の3つが挙げられます。
●機能その1:設定管理
モバイルデバイスの設定を、端末使用者(各社員)に任せるのではなく、管理者にて行うことができます。例えば、次のような設定が考えられます。
・端末導入時に必要となる初期設定(メールやネットワークの設定)
・導入後の管理(OSのアップデート、アプリケーションのインストール・アンインストールなど)
・セキュリティ関連の設定(パスワード設定を必須にする、セキュリティソフトの設定、特定アプリケーションやカメラなど端末機能の制限、VPN設定など)
●機能その2:遠隔操作・制御
遠隔での操作が可能になります。
例えば、遠隔から操作をしてロックをかける、またはデータの一部またはすべてを削除する(「ワイプ」と呼ばれる操作)といった、主にモバイルデバイスを紛失した際に役立つ機能が提供されます。
遠隔からの操作で、端末の画面上にメッセージを表示する、通話機能やカメラ機能をオンにして端末周囲の映像や音声を収集するなどの機能を備えるものもあります。
●機能その3:利用情報の収集
各モバイルデバイスの利用情報を収集することで、業務上定められた運用ルールに従って正しく利用されているかどうかを確認できます。例えば、GPSを使った端末の位置・移動情報や、特定アプリケーションがどのように使用されているかといった情報や記録を、遠隔から収集することが可能です。
【2】MDMのメリット:システム化で情報トラブルのリスクを格段に軽減
個別の対応で手間をかけてでも、全てのモバイルデバイスに対して設定や操作ができれば、MDMを導入する必要はないと考える人もいるかも知れません。しかし、セキュリティ面のリスクを考えると、MDMによる一括管理や一括設定の機能は必須といえます。
情報漏えいの原因の多くは、ヒューマンエラーによるものです。
例えば、2018年にインターネット上に公開された個人情報漏えいインシデント情報を対象に行われた調査によると、漏えいの原因は「紛失・置き忘れ」26.2%、「誤操作」24.6%、「管理ミス」12.2%と、合計63%の半数以上が自らによるヒューマンエラーに該当します。
引用元:『2018年 情報セキュリティインシデントに関する調査報告書【速報版】』日本ネットワークセキュリティ協会
https://www.jnsa.org/result/incident/2018.html
モバイルデバイスの扱いを徹底しても人為的なミスの可能性を0%にすることはできませんが、MDMの機能は人為的なミスの可能性を格段に軽減し、また、万が一の時にも、素早く対処することができるでしょう。
【3】MDMのデメリット:基本的には導入が正解。セキュリティと利便性のバランスが鍵
MDMは、管理効率やセキュリティを大きく向上させますが、次のような点は、デメリットとして捉えることもできるので、導入を検討する際は、考慮しておきましょう。
●デメリット1:導入コストがかかる
当然ながら、MDMの導入にはコストがかかります。
と言っても、MDMを導入しなくても、社員のモバイルデバイスの管理には、必ずコストが発生します。
MDMを導入していない場合、全社員の端末において、セキュリティポリシーに反する点がないか、担当者が1台1台チェックし、必要に応じて設定変更やアップデート等の操作を(これも1台1台)行う必要が発生します。また、その際のチェックや設定の漏れなどの人的ミスや、端末紛失時のリスクも忘れてはいけません。
導入に際しての投資が自社にとって総合的にメリットとなるかデメリットとなるか、MDMを導入した場合の運用工数とリスクの削減効果を考慮し、判断しましょう。
●デメリット2:学習・教育コストがかかる
MDMを導入すれば、セキュリティ面のリスクを低減することができますが、モバイルデバイス利用者の意識やリテラシーによっては、期待したセキュリティ効果が発揮されない可能性もあります。
例えば、MDMで定期的にパスワード変更を指示しても、端末利用者が、過去のパスワードを使いまわしたり、簡単なパスワードに設定したりすれば、セキュリティは脆弱になります。また、利用者が端末紛失時、即座に遠隔ワイプ操作を行わずに端末を探し続け、長時間セキュリティリスクに晒され続けるというケースも多く見つかっています。
こういった事態を防ぐためには、やはり端末利用者にも、基本的なセキュリティ上のリテラシーを身につけてもらわなければなりません。
MDMを導入したからといって、セキュリティ対策の研修などの実施コストが完全に不要になるわけではないことを考慮しておきましょう。
また、管理者側でも、MDMの操作を修得するという労力が発生しますが、このコストについては、操作性の高いシステムを採用することで、軽減が期待できるでしょう。
●デメリット3:利便性の低下
セキュリティ管理を重視するあまり、モバイルデバイス本来の利便性が発揮できなくなる可能性もあります。
例えば、業務上有用なアプリケーションの利用を制限する、長すぎるパスワードの設定を強制する、端末利用が承認されるまでのプロセスに時間がかかりすぎてしまうといった場合、利便性は低下します。
その結果、社員が許可なく私用端末を業務に利用してしまうことにつながり、かえって情報セキュリティ上のリスクが大きくなってしまう可能性もあります。
業務上でのモバイルデバイスの活用において本来期待していた効果を維持できるよう、セキュリティと利便性のバランスを考慮した運用が必要です。
【4】MDMと混同されやすい「MAM」とは
モバイルデバイスを一元管理する方法には、MAMという方法もあります。
MAMとは:モバイルのアプリケーションを管理するシステム
MAMは、Mobile Application Management(モバイル・アプリケーション・マネジメント)の略で、モバイルアプリケーションを管理する仕組み、またはそれを実現するソフトウェアやサービスなどを指します。
MDMとの違い:OSレベルでの管理ではなく、アプリレベルでの管理
MDMが端末のOSレベルでの管理を行うのに対し、MAMは、端末内のアプリケーションレベルでの管理を行います。
そのため、MAMを社員の私用のスマートフォンやタブレットに適用すれば、個人使用のアプリ・データに干渉せず、業務用アプリ・データのみを切り離して管理することができます。
業務用データを個人用ファイルへコピーできないよう制限したり、対象のアプリ・データだけを削除したりすることも可能となります。
MDM(Mobile Device Management)
機能:端末のOSレベルでの管理
活用例:企業から社員へ貸与する端末を管理する
MAM(Mobile Application Management)
機能:端末内のアプリケーションレベルでの管理
活用例:社員の私物端末の、業務用アプリ・業務データのみを管理する
MAMとMDMを組み合わせる:私用端末の業務利用にも
したがって、もし、業務用の端末だけでなく、社員の私用端末を利用しなければならない場面が想定されるのであれば、MAMとMDMのシステムの2つを組み合わせて管理するのがよいでしょう。
業務用の端末をMDM(あるいはMDMとMAM)で管理し、私用の端末はMAMで管理するのです。
MDMとMAMは混同されやすいですが、違いを理解し、合理的なセキュリティ対策を行いましょう。
【5】MDM導入の流れ
MDMを導入する場合、次の流れで進めていくとよいでしょう。
– ステップ1:MDM利用条件の検討
– ステップ2:自社のセキュリティポリシーの確認
– ステップ3:各MDMサービスを比較検討
– ステップ4:導入・運用開始
– ステップ5:モニタリングと改善
ステップ1:MDM利用条件の検討
管理対象とする範囲、利用サイクルなど条件を検討します。
●管理対象とする範囲
MDMによって、対象範囲に制約があることも想定されるため、自社が管理対象とすべき範囲を明確にしておきましょう。
(管理対象の整理項目例)
– 端末のタイプ(携帯電話/スマートフォン/タブレット)
– 接続の種類(キャリア通信/Wi-Fi通信/構内無線LAN)
– 接続エリアの範囲(社内/国内/海外)
– 端末台数規模(初期段階から段階的な増加規模まで含め)
– 端末の使用歴(既に使用している端末/これから新規で使用予定の端末 など)
– 管理対象端末のOS(iOS/Android など、またそのバージョン)
●利用サイクル
適切な管理を、適切な時期に、適切なコストで実現するために、利用サイクルを整理しておくことをおすすめします。基本的には、以下のような6つのフェーズが想定されるでしょう。
– 企画
MDM導入の目的、システムへの要求事項をまとめ、実施計画を策定する。
– 調達
構築するシステムの仕様を明確にし、ネットワーク回線・機器・ソフトウェア等を選定のうえ、実際のシステムを調達する。
– 導入
MDMを実際に導入する。各端末をシステムに登録し、端末利用者(社員)に貸与する。
– 運用
計画した内容に従って、MDMを運用する。
– インシデント発生
MDMを適切に運用している場合、インシデント(ここではモバイルデバイスの特製を加味し、紛失・盗難を想定)が発生した端末に対してリモートでロックやワイプ等が可能。現在位置を確認するなど、発見・回収に向けて対応。回収できた端末は再び運用フェーズへ、回収できなかった端末は終了のフェーズへ。
– 終了
端末に対してデータの消去指示を行い、完了後、システムから管理登録を抹消する。
ステップ2:自社のセキュリティポリシーの確認
MDMに求めるべき機能を判断するため、自社のセキュリティポリシーを明確にしておくことが必要です。
企業によっては、社内PCに関するポリシーのみしか取り決めがなく、モバイルデバイスに関して考慮されていない状態である場合も少なくないようです。
自社のセキュリティポリシーの内容・状況を確認しておきましょう。
また、ほとんどのMDMでは、多数の機種を一括コントロールできる機能を持っており、一括設定を行うことになります。そのため、このタイミングで、利用シーンごとに組織グループ別のセキュリティポリシーをテンプレート化しておくと、導入後の設定もスムーズです。
テンプレートのグルーピング例
・営業職向け:外部接続を想定したテンプレート
・社内スタッフ向け:構内作業を想定したテンプレート
・個人所有端末向け:私用端末の業務利用を想定したテンプレート
・事業サービス専用端末向け:セルフオーダリング専用端末、GOT発注端末などを想定したテンプレート
また、端末側でのセキュリティポリシー設定の変更を許可するかどうかなど、権限についても取り決めておきましょう。
ステップ3:各MDMサービスを比較検討
MDMは、一般的に、サードベンダーが提供するMDMサービスを契約することで導入します。多くのサービスが存在し、それぞれ仕様やサポートの充実度、価格などは様々なので、自社の要件を明確にして、選定を行いましょう。
選定のポイントは次章で解説します。
ステップ4:導入・運用開始
MDMサービスを契約し、いよいよ実際に導入・運用します。
端末の設定など具体的な操作は、サービスによって異なるので、導入したサービスのマニュアルやサポートを活用しましょう。
この導入直後の初期設定時、前述のテンプレートにて、セキュリティポリシーパラメータの登録を行うこととなります。
なお、使用者の使いまわしによる不正利用の防止と混乱を防ぐために、端末ごとの権限による例外設定を許可する場合は、「テンプレートによる標準設定」と「固体ごとの例外設定」を整理しておくことも重要です。
ステップ5:モニタリングと改善
導入後は、モバイルデバイスの活用状況と、 MDM導入の効果を適宜モニタリングし、必要に応じて取り決めや設定、運用方法の見直しを実施します。
モニタリングと改善を繰り返していくことで、効果的な活用を維持していきましょう。
【6】MDMサービスの選び方
多くのMDMサービスの中からどのサービスを採用すべきか、選定のポイントを解説します。
●提供形態
MDMサービスの提供形態は、大きく次の2つのタイプがあります。
– クラウド型:
利用者が管理している施設の外部に提供される(クラウドサーバーに構築されたものを提供)
– オンプレミス型:
利用者が管理している施設の内部に提供される(ネットワーク機器やサーバー等を構築して提供)
どちらが自社に適しているか、様々な観点から検討しましょう。
◎クラウド型がおすすめのケース
・費用を抑えたい場合
(オンプレミス型と比較して初期費用が安価。維持費用も使用量に合わせて最小で済む)
・導入を早く進めたい場合
(構築された環境を利用するため、オンプレミス型と比較して導入が早い)
・災害等もできるだけシステムの稼働を確保したい場合
(環境を切り替えて対応しやすい)
・サーバーの管理・運用を自社で行いにくい場合
(アップデートの際の動作環境の確認や設定を含め、サーバー運用はベンダー側の対応となる)
◎オンプレミス型がおすすめのケース
・運用費の予算化が求められる場合
(高額になりがちだが、月々の運用費が定額となり予算化しやすい)
・自社の状況に合わせて多岐にわたるカスタマイズが求められる場合
(自由にセットアップできるため、カスタマイズ性が高い)
・コンプライアンス上、外部のサーバーが利用できない場合
●利用可能な環境
そのMDMサービスが、自社のモバイルデバイスや使い方に対応しているかどうか、対応環境のチェックが必要です。
そのためにも、前章のステップ1で例に挙げたような、端末の種類やOS、接続環境などの条件を整理してから、サービスの選定を行いましょう。
●セキュリティ対策のレベル
MDMサービスは、基本的にセキュリティ対策の機能を備えていますが、どこまで高度な管理ができるかはサービスによって様々です。自社が求めるセキュリティレベルを実現できるものを候補として検討しましょう。
中には、ウィザードの質問に答えるだけで、おすすめのレベルでのセキュリティ設定を提供してくれる機能をもつサービスもあるので、自社に必要なセキュリティ設定を整理できていないという場合は、そういった機能の手を借りるのも一つの方法です。
●サポート
モバイルデバイスのOSは、頻繁にアップデートが行われます。
したがって、MDMサービスもこれに素早く対応しなければなりませんが、中には、OSのアップデートに追いついていないサービスもあるようです。
アップデート対応・不具合の修正の報告は、一般的にサービスの公式サイトにて行われているので、適宜の対応が行われているかどうか確認するとよいでしょう。
●コスト面
当然ながら、料金が低くても機能が不足していれば、管理コスト・リスクが軽減されず、損失に繋がる可能性があります。
まずは自社が必要とするポイントを押さえたMDMサービスを選定したうえで、導入した場合の費用と、軽減が予想される管理コスト・リスクを算出し、費用対効果を確認することをおすすめします。
費用を検討する際は、初期段階だけでなく、今後の段階的な導入端末数の増加を見越して算出することも忘れないようにしましょう。
●無料トライアルの有無
機能が充実していても、使い勝手が悪くては、かえって業務負担が増えることに繋がりかねません。できるだけ本導入前にトライアルを利用し、使用感を確認しましょう。
【7】まとめ:モバイルデバイスの業務利用には、管理システムの導入が必須
今回は、MDMの基本的な機能、導入・検討のポイントを解説しました。
モバイルデバイスを業務に取り入れる企業は、同時に、自社の情報を守るために最大限の対策を行うことが必要だといえます。
モバイルデバイスの利便性を取り入れつつ、端末管理やセキュリティ面の対策を疎かにしないことが、本当の意味での業務効率の向上につながります。
自社に合うMDMを上手に取り入れて、新しい時代に相応しい、安全で快適な業務を実現しましょう。
なお、弊社が提供するIT資産管理ツールISM CloudOneは、PCだけでなくモバイルデバイスを管理するMDMの機能も搭載。PC/モバイルデバイスで管理ツールを別々に用意する必要がないので、管理の無駄を省くことができます。
「MDM(Mobile Device Management)」機能について詳しくはこちら
その他機能一覧 | ISM(アイエスエム)CloudOne
https://ismcloudone.com/function/
また、 ISM CloudOneの魅力を実感していただくために、無料の30日間トライアルをご用意しています。
インストール後には、診断レポートが確認できます。
現状の把握と次にすべき措置を把握することが、次へのステップです。
この機会にぜひお試しください!
\ 実際の環境で30日間の無料お試し! /
ISM CloudOne トライアル申込みページへ