従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
IT管理の世界には略語があふれている。しかし、それらの略語が何を意味し、どのように異なるのかは、必ずしも完全に明確ではありません。
頭字語やそれを短縮した用語に正式な定義がない場合は特にそうだ。 インターネット技術タスクフォース(IETF)のような標準化団体やWi-Fiアライアンスのような業界団体によって定義されることもある。また、企業が新機能や新製品を市場に説明するために作った略語である場合もある。
このような曖昧さは、特にデバイス管理ビジネスで多く見られます。ベンダーやプラットフォームによっては、 MDM、EMM、UEMなどへの言及を目にするかもしれない。ここでは、これらの用語が現在どのような意味を持っているのかを簡単に説明する。
最も一般的な用語MDMは「モバイル・デバイス管理」の略で、IT管理者が組織のモバイル・デバイスのプロビジョニング、セキュア化、リアルタイム監視に使用できるソフトウェア・ツールを指す。MDMの主な目的は、従業員が購入した個人用デバイスを業務用電子メールや企業アプリケーションへのアクセスに使用するなど、組織内のすべてのエンドポイントのセキュリティとコンプライアンスを確保することである。
「EMM」とは、「エンタープライズモビリティ管理」の略である。EMMツールは、モバイル・アプリケーションとコンテンツの両方を管理するツールを追加しながら、MDMを他の企業システムと統合するのに役立つ。EMMは、MDMの集中管理をモバイル・デバイス上で実行されるソフトウェアにまで拡張する。EMMは、定期的なソフトウェア・アップデートを実施したり、実行可能なアプリケーションやデバイス・ユーザーが閲覧可能なコンテンツを制限したりすることができる。
最近、ハイテク業界ではUEM(統合エンドポイント管理)も注目されている。UEMはMDMやEMMよりもさらに進んで、スマートフォンやタブレットなどのデバイスや、ラップトップやデスクトップなどのコンピュータを含む、組織内のあらゆるエンドポイントコンピューティングデバイスを包含する。しかし、"UEM "も "EMM "も、一般的な用語としては浸透していない。ほとんどの人は、すべてのデバイス管理機能を指す略語として「MDM」を使用している。
モバイルデバイス管理(MDM)とは何か?
歴史的に、IT管理者はActive Directoryのようなオンプレミスシステムと大きなファイアウォールを使って、常にオフィスにあるコンピュータを管理し、セキュアにしていた。つまり、コンピュータは組織の管理システムとの高速接続(有線または無線)が保証され、常にファイアウォールで保護されていた(少なくとも外部の脅威からは保護されていたが、内部の脅威も同様に危険であることが判明している)。
ユーザーがオフィスの外でコンピューターを使用するようになると、多くのIT部門は、管理とセキュリティを容易にするために、組織のネットワークへの仮想プライベート・ネットワーク(VPN)接続を使用するようにコンピューターを設定し始めた。しかし、電話やタブレットのようなモバイル・デバイスは、そのようなオンプレミスの管理ソリューションでは必ずしも機能しない。
そこで始まったのがMDMだ。MDMによって、管理者はモバイル・デバイスやコンピューターによってもたらされる潜在的な脆弱性に対処できるようになる。(いわゆるBYOD(Bring Your Own Device)現象である)コンテナ化などの技術をサポートし、企業データと個人データのプライバシーを保護する。
当初、MDMの対策は、パスワード保護を義務付けたり、管理者がリモートでデバイスをロックしたりワイプしたりできるようにしたりといったシンプルなものだった。しかし、MDMの機能は年々進化し、データ暗号化の実装、デバイスのリモート設定、デバイスの所在追跡、セキュリティ監視などが含まれるようになった。
MDMソリューションは、IT管理者に中央制御ポイントを提供するサーバー・コンポーネントと、モバイル・デバイスにインストールされるエージェントで構成される。ほとんどの場合、MDMサーバー・ソフトウェアはクラウド上で実行され、デバイスにコマンドを発行して設定を調整し、アクティビティを監視し、企業アプリやデータへのアクセスを規制し、デバイスのセキュリティを強化する。基本的にMDMは、企業がコンプライアンスとデータ・セキュリティ・ポリシーを実施し、デバイスに触れることなく(しばしばOTAと呼ばれる)効率的にデバイスを設定することを可能にする。
MDMソリューションの中には、アップル、マイクロソフト、アンドロイドの各プラットフォームで動作するものもあるが、プラットフォーム固有のソリューションでは、macOS、iOS、iPadOSオペレーティングシステム(デスクトップを含む)を使用するデバイスに対して、よりきめ細かなデバイス制御を行うことができる。例えば、Apple MDMソリューションは、管理者が組織のAppleデバイスのインベントリを管理し、それらのデバイスを管理下に登録し、エンドユーザーにManaged Apple IDを生成することを可能にするWebポータルであるApple Business Managerと密接に連携します。
プラットフォームに関係なく、管理者がMDM自動化機能を使って一元的に達成できることが多ければ多いほど、手動でデバイスを管理する時間を減らすことができます。
エンタープライズ・モビリティ管理(EMM)とは?
EMMは、MDMがデータセキュリティを含む企業の全体的なセキュリティとコンプライアンス態勢の一部である必要があるという認識から派生しました。MDMとEMMの境界線は曖昧だが、EMMはMicrosoft Active DirectoryやGoogle Workspaceなどのディレクトリ・サービスとの同期を追加したものだと一般的に受け止められている。この進歩により、デバイス管理は独立した取り組みではなくなり、セキュリティとコンプライアンスをネットワークの外縁まで拡張するようになった。
EMMの主要コンポーネント
EMMソリューションによって具体的な機能は異なるが、いくつかの共通機能は提供されている:
IAM(アイデンティティとアクセス管理)
IAM(Identity and Access Management)は、ユーザー認証やポリシーベースの権限と許可を実装するためのフレームワークを提供する。IAM 機能を備えた EMM では、IT チームが個々のユーザーをグループに割り当て、各グループに同じ権限と制限(ネットワークへのアクセス、デバイスの設定など)を与えることができます。
MAM(モバイル・アプリケーション管理)
MAMは、市販のソフトウェアであれ、特注のアプリケーションであれ、モバイル・デバイス上で動作するソフトウェアの配布、保護、更新を可能にする。MAMソフトウェアを使えば、管理者は一挙に同じアプリやアップデートをデバイス群にプロビジョニングすることができ、実際にインストールする必要はない。MAMソリューションには、安全でないアプリのインストールを防止したり、個々のアプリの機能をブロックしたり許可したりする機能も含まれている。
MCM(モバイル・コンテンツ管理)
消費者はモバイル・デバイスを使って、あらゆるコンテンツやサービスを享受している。しかし組織では、機密データやドキュメントを従業員に配布することが多い。ユーザー(またはアプリケーション)が特定のコンテンツにアクセスできるかどうかは、ユーザー・ロールに関連付けられた権利と権限に依存するはずだ。さらに、MAMソフトウェアは、どのコンテンツを送信すべきかを決定するために、ユーザーの所在地を使用することができる。
MDMソリューションは、この記事で定義したEMMの一部またはすべてのコンポーネント(IAM、MAM、MCM)を実装している可能性があることを覚えておいてほしい。
MDMとEMMの利点とは?
MDMとEMMは、データ損失やその他のセキュリティ侵害に対する組織の脆弱性を軽減し、デバイスに適切なリソースを提供する能力を強化する上で重要な役割を果たす。最も注意深く作成されたポリシーであっても、大規模に実装できなければ、その有用性は限定的であり、最小限の労力と最大限の自動化で、デバイス・フリート全体で日常的にこれを実行することが、MDMとEMMの運用目標である。
うまく構築されたMDMとEMMソリューションは、管理者の時間を解放し、より戦略的な取り組みに従事できるようにする。また、これらのソリューションは、スケジュールされたアップデートや事前に計画された設定変更などの自動化された機能や、ユーザーやデバイスのプロファイルを手動で入力する代わりにインポートする機能により、ヒューマンエラーの可能性を低減します。