ワークフォース・アイデンティティ
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
Trust Center
IT 管理の世界には多くの略語があります。しかし、それらの意味や違いが必ずしも明確とは限りません。
特に、略語やその正式名称に明確な定義がない場合はなおさらです。場合によっては、Internet Engineering Task Force(IETF) や Wi-Fi Alliance のような標準化団体が定義することもありますが、新しい機能や製品を説明するために企業が独自に作るケースもあります。
このような曖昧さは、デバイス管理分野で特に多く見られます。ベンダーやプラットフォームによっては、MDM、EMM、UEM などさまざまな用語が使われます。ここでは、それぞれが現在どのような意味で使われているかを簡単に説明します。
最も一般的な用語は MDM(Mobile Device Management) です。MDM は、IT 管理者が組織のモバイルデバイス群を プロビジョニング、セキュリティ管理、監視 するためのソフトウェアツールを指します。MDM の主な目的は、企業内のすべてのエンドポイントの セキュリティとコンプライアンスを確保すること です。これには、業務メールや企業アプリへアクセスするために従業員が使用する 個人所有デバイス(BYOD) も含まれます。
EMM(Enterprise Mobility Management) は、MDM を拡張した概念です。EMM ツールは MDM を企業システムと連携させるとともに、モバイルアプリケーションやコンテンツの管理機能 を追加します。つまり、EMM はモバイルデバイス上で動作する ソフトウェアやデータ に対しても中央管理を適用します。たとえば、定期的なソフトウェア更新の強制や、利用可能なアプリや閲覧できるコンテンツの制限などを行うことがあります。
近年では UEM(Unified Endpoint Management) という用語も使われるようになりました。UEM は MDM や EMM をさらに拡張し、スマートフォンやタブレットだけでなく、ノート PC やデスクトップなど組織内のすべてのエンドポイントデバイスを管理対象にする概念です。
ただし、実際の会話では UEM や EMM という用語はそれほど一般的ではありません。多くの場合、人々は MDM をデバイス管理全体を指す略語として使っています。
モバイルデバイス管理(MDM)とは
従来、IT 管理者は Active Directory などのオンプレミスシステムと大規模なファイアウォールを利用して、社内に設置されたコンピュータの管理とセキュリティを行っていました。これらのコンピュータは常にオフィス内にあり、組織の管理システムへ高速なネットワーク接続(有線または無線)を持ち、ファイアウォールによって保護されていました(外部からの脅威に対しては保護されていましたが、内部からの脅威も同様に危険であることが後に明らかになりました)。
ユーザがオフィス外でもコンピュータを利用するようになると、多くの IT 部門は VPN(Virtual Private Network) を使って組織ネットワークに接続する設定を行い、管理やセキュリティを維持しようとしました。しかし、スマートフォンやタブレットなどのモバイルデバイスは、こうしたオンプレミス型の管理方法では十分に対応できない場合があります。
こうした背景から MDM(Mobile Device Management) が登場しました。MDM は、モバイルデバイスやコンピュータの利用によって生じるセキュリティリスクに対応するための仕組みです。特に、個人所有のデバイスを業務で利用する BYOD(Bring Your Own Device) 環境において重要な役割を果たします。MDM は、企業データを保護するための コンテナ化 などの技術を利用し、企業データの保護とユーザの個人データのプライバシーを両立させます。
初期の MDM 機能は比較的シンプルで、パスワードの強制や、管理者による リモートロックやリモートワイプ などが中心でした。しかし、年月とともに機能は進化し、現在では次のような機能を提供しています。
- データ暗号化の実装
- デバイスのリモート設定
- デバイス位置情報の追跡
- セキュリティ監視
- その他の管理機能
MDM ソリューションは通常、サーバーコンポーネントとデバイスにインストールされるエージェントで構成されます。多くの場合、MDM サーバーはクラウドで動作し、デバイスにコマンドを送信して設定変更、アクティビティ監視、企業アプリやデータへのアクセス制御、セキュリティポリシーの適用などを行います。つまり、MDM によって組織は コンプライアンスやデータセキュリティポリシーを適用しながら、デバイスを遠隔で効率的に管理できます。この仕組みは一般に OTA(Over-the-Air)管理 と呼ばれます。
一部の MDM ソリューションは Apple、Microsoft、Android など複数のプラットフォームを管理できますが、特定プラットフォーム向けの MDM の方がより細かな制御を提供できる場合があります。たとえば、Apple 向けの MDM は Apple Business Manager と密接に連携し、組織の Apple デバイスのインベントリ管理、デバイスの管理登録、エンドユーザ向けの Managed Apple ID の作成などを行えます。
どのプラットフォームであっても、MDM の自動化機能によって 中央管理でできることが増えるほど、管理者が手動で行う作業は減ります。これにより、IT 部門はデバイス管理に費やす時間を大幅に削減できます。
Enterprise Mobility Management(EMM)とは
EMM は、MDM を企業の セキュリティおよびコンプライアンス戦略全体の一部として位置付ける必要があるという認識から生まれました。これにはデータセキュリティも含まれます。MDM と EMM の境界は必ずしも明確ではありませんが、一般的には EMM では Microsoft Active Directory や Google Workspace などのディレクトリサービスとの同期 が追加されたとされています。この進化により、デバイス管理は単独の取り組みではなく、ネットワークの末端に至るまでセキュリティとコンプライアンスを拡張する仕組みとなりました。
EMM の主な構成要素
EMM ソリューションの具体的な機能は製品によって異なりますが、一般的に次のような機能を提供します。
IAM(アイデンティティとアクセス管理)
IAM は、ユーザ認証およびポリシーベースのアクセス権限管理を実現するためのフレームワークです。IAM 機能を備えた EMM を使用すると、IT チームはユーザをグループに割り当てることができ、各グループに対して同じ権限や制限を適用できます。これにはネットワークアクセス、デバイス設定などが含まれます。
MAM(モバイル・アプリケーション管理)
MAM は、モバイルデバイス上で動作するソフトウェア(市販アプリや社内開発アプリ)の 配布、保護、更新 を管理する機能です。MAM を使用すると、管理者は多数のデバイスに対して 同じアプリやアップデートを一括で配布 でき、手動でインストールする必要がありません。また、危険なアプリのインストールを防止したり、アプリの特定機能を許可または禁止したりすることも可能です。
MCM(モバイル・コンテンツ管理)
一般のユーザはモバイルデバイスでさまざまなコンテンツやサービスを利用しますが、企業では従業員に 機密データや重要な文書 を配布することがよくあります。特定のコンテンツにユーザやアプリケーションがアクセスできるかどうかは、ユーザの役割に紐づく権限やアクセス権 によって決定されるべきです。また、MAM ソフトウェアはユーザの位置情報を利用して、どのコンテンツを配布するかを判断する場合もあります。
なお、本記事で説明した IAM、MAM、MCM といった EMM の構成要素の一部またはすべてを、MDM ソリューションが実装している場合もあります。
MDM と EMM のメリット
MDM と EMM は、組織の データ漏えいやセキュリティ侵害のリスクを低減 するうえで重要な役割を果たします。また、各デバイスに適切なリソースを提供する能力も向上します。どれほど優れたポリシーを策定しても、それを 大規模に実装できなければ効果は限定的 です。多数のデバイスに対して、最小限の作業と最大限の自動化でポリシーを適用することが、MDM と EMM の運用上の目的です。
適切に設計された MDM や EMM ソリューションは、管理者の作業時間を削減し、より戦略的な業務に集中できるようにします。また、定期的なアップデートの自動実行や事前に定義された設定変更の適用、さらにユーザやデバイスのプロファイルを手動入力ではなくインポートで管理できることなどにより、人的ミスのリスクも低減 します。