モバイルデバイス管理（MDM）とは？

モバイルデバイス管理（MDM）とは、スマートフォンからラップトップまで、モバイルデバイスをリモートで管理することです。MDMソフトウェアを使用することで、IT部門は組織のデバイスインベントリ全体を管理し、企業データの保護、設定の標準化、許可されたソフトウェアやサービスへのユーザーアクセスを保証することができます。

従業員が個人所有の携帯電話を業務で使用するようになったBYOD（Bring-your-own-device）のトレンドから生まれたモバイル・デバイス管理ソフトウェアは、エンドポイントのセキュリティと規制コンプライアンスを維持する上で重要な役割を果たすようになりました。悪用の大半は、パッチが適用されていないソフトウェア、フィッシング、安全でないWi-Fi接続を介して、モバイルまたはその他のエンドポイントを標的としています。モバイル・デバイスは、ユーザーが悪意のあるモバイル・アプリをダウンロードしたり、デバイスが悪意のある人の手に渡ったりするリスクを伴う。また、これらのモバイル・デバイスが企業のリソースにアクセスできる場合、企業のリソースが悪用される可能性もあります。

モバイルデバイス管理ソリューションは、（最低限）デバイスのインベントリを管理し、パスワード保護を実施し、紛失した管理対象デバイスをリモートでロックまたはワイプする機能を提供することで、このような課題に対処する。しかし、今日の最新のMDMツールは、デバイス・アクティビティの監視、インストール可能なアプリの制御、暗号化の義務付け、データ・セキュリティの促進など、さらに進んだ機能を備えている。モバイル・デバイス管理は、標準化されたデバイス構成とソフトウェア環境、およびユーザー主導のセットアップ・ルーチンの確立にも及んでいる。

ユーザーに権限を与えながら組織をコントロールし、同時にパートナーや管理当局が求めるコンプライアンス基準を満たすことが、MDMの戦略的目標である。弁護士、IT管理者、セキュリティ専門家がこれらのポリシーを策定することもできますが、MDMソフトウェアによって、IT部門はそれらを大規模に実施することができます。

Apple MDMの仕組み

Apple MDMソフトウェアは、伝統的なクライアント・サーバー・アーキテクチャを採用しています。サーバーは、ポリシーやユーザープロファイルとともに、デバイスのすべてのパラメータ、コンフィギュレーション、設定を保持する。

ほとんどのMDMサーバーはクラウド上に存在し、MDMプロバイダーによって管理されているが、一部のプロバイダーはローカルにインストール可能なサーバーソフトウェアも提供している。管理者はサーバー・コンソールを使用して、デバイスの設定を調整し、ソフトウェアを更新し、リアルタイムでセキュリティ・ポリシーを実行する。モバイルデバイスのオペレーティングシステムには、エージェントに必要なコントロールを与えるためのAPIが含まれている。

MDMプラットフォームには、Android、Apple、Microsoftのデバイス間で動作するものもあれば、プラットフォーム固有のものもある。デバイスにはさまざまな機能があるため、クロスプラットフォームMDMソリューションはすべてのデバイスに共通する機能に焦点を当て、プラットフォーム特化型MDMソリューションは特定のオペレーティングシステムが提供する機能をフルに活用することができる。多くの企業は、クロスプラットフォームMDMソフトウェアとプラットフォーム特化型MDMソフトウェアを並行して運用することで、この二律背反を解消している。

理想的なのは、ポリシーを慎重に作成し、さまざまなセットアップとコンフィギュレーションのハードルをクリアしたら、メンテナンスの負担をMDMオートメーションにシフトすることだ。同時に、管理者はカスタマイズされた設定によって、独自のニーズを持つユーザーやデバイスに対応する能力を持たなければならない。

MDM対EMM対UEM

時が経つにつれ、組織はMDMにより多くのことを求めるようになった。スマートフォンをリモートで追跡し保護する方法として始まったMDMは、多くの追加機能とデバイスに拡張された。今日、MDMソリューションは最低限、さまざまなタイプのデバイスにセキュリティ設定を適用し、データ暗号化機能を提供し、管理者が個々のユーザーにロールベースのコントロールを適用できるようになっている。これらの機能を超える拡張機能が、他のいくつかのサービス・ファミリーを生み出した：

EMM（エンタープライズ・モビリティ管理）

MDMを基盤として、EMMは組織のディレクトリサービス（Microsoft Active Directoryなど）やID・アクセス管理ソリューション（OktaやPing Identityなど）との同期をサポートする。EMMはまた、MAM（モバイル・アプリケーション管理）を追加し、管理者がデバイス群に対して同時にソフトウェアを配布・更新し、さまざまなデバイス・タイプにわたって特定のアプリケーションのポリシーを確立できるようにする。MCM（モバイルコンテンツ管理）は、どのアプリケーションが組織のデータにアクセスしたり転送したりできるかを管理するもので、これもEMMの傘下に入る。

UEM（統合エンドポイント管理）

UEMはEMMをさらに進め、デスクトップ・システムを含む組織内のあらゆるエンドポイント・コンピューティング・デバイスを含む。EMMソリューションのすべての機能が適用され、さらに企業のノード・カタログ全体をプロビジョニングおよび監視する機能も追加される。UEMソリューションには通常、ダッシュボードがあり、デバイスがオフラインか、オンラインか、正しく設定されているか、あるいはオンラインだが不適切に保護されているかなど、各デバイスのステータスを確認できる。UEMは魅力的なコンセプトだが、実現は難しい：UEMは魅力的なコンセプトだが、実現は難しい。プラットフォームの多様性とオペレーティングシステムの継続的なアップデートにより、深いデバイス管理機能を全面的に提供することは難しい。

事実、これらの他の頭字語はどれも、MDMの普及率の近くには達していない。ハイテク業界以外では、ほとんどのビジネス顧客は、EMMやUEMに関連するものも含めて、デバイス管理機能のカタログ全体をMDMと呼んでいる。

モバイルデバイス管理のベストプラクティス

綿密な計画を立てることで、MDMイニシアチブを成功に導くことができる。デバイスの追跡とセキュリティのために最小限のMDM機能が必要だと考えている小規模な組織でも、将来的にどのような他の機能が必要になるかを検討し、それに合わせて拡張可能なMDM戦略を策定する必要があります。

エンドポイントとアプリケーション環境を知る：ITの他の側面と同様、現在の状況を把握することの難しさを過小評価することはできない。従業員は通常、業務に複数のデバイスを使用しており、それぞれに使用中のオペレーティング・システムと互換性のあるMDMエージェントをプロビジョニングする必要がある。完全なアプリケーション・セキュリティ・プロファイルを作成するためには、どのモバイル・アプリが業務に使用され、どのエンタープライズ・アプリケーションにユーザがアクセスしているのかを特定する必要もあります。

セキュリティとコンプライアンスの目標を決定する：事実上すべてのMDMソリューションがエンドポイント・セキュリティ・ソフトウェアと統合しているが、その統合の容易さは千差万別である。また、MDMソリューションの中には、エンドポイントセキュリティ機能の完全なスイートが付属しているものもあり、MDMとサイバーセキュリティを同じ管理ポイントから管理することができます。ISO/IEC 27001のような情報セキュリティ標準に準拠することが義務付けられている業界もあるため、企業はそのために必要な機能をすべて備えたMDMソフトウェアを選択する必要がある。

MDMソリューションにコミットする前に、実際に試してみること：必要な機能と互換性のチェックリストだけでは、ここまでたどり着けません。MDMソフトウェアは、特にユーザーとデバイスをグループ化し、コンソールから1回の操作で全体的な変更を行う場合、その使い勝手に大きな違いがある。幸い、ほとんどのMDMソリューションは（オンプレミスではなく）クラウドベースなので、トライアルアカウントにサインアップして試してみるのは簡単だ。

MDMの自動化を活用する：MDMの要点は、デバイスの手動設定を避けることだ。例えば、最小限の管理者の介入でオペレーティング・システムやアプリケーションのソフトウェア・アップデートをダウンロードして配布するMDMソリューションの機能は、時間と労力を大幅に節約できる。管理者がMDMソリューションに触れる必要は、少なければ少ないほどよい。

モニタリングとアラートの設定を慎重に行う：MDMのダッシュボードは、デバイス・フリート全体のステータスを明確に表示する必要がある。エンドポイントの紛失や侵害はアラートを発するべきだが、パラメータを調整することで、誤ったアラームが発生することはほとんどない。完全で読みやすいレポートは、MDM導入を最適化し、潜在的なトラブル・スポットを特定するためのフォレンジックを提供することができる。

MDMを、ポリシーを実装し、実施するための手段として見るのは良い方法だ。これらのポリシーは、セキュリティの専門家の支援を受けて策定する必要があり、その結果、デバイスの構成と制御のテンプレートが作成され、MDMソリューションを選択するための基本的な評価手段となります。ただし、ポリシーの変更は必然的に発生するものであり、デバイス・フリート全体でそのような変更を実施することは、可能な限り簡単でなければならない。

Apple MDMソリューション

一般的なMDMソリューションの中には、Android、iOS、MacOS、Windowsデバイスを管理できるものもあれば、サブセットに特化したものもある。Appleデバイスを管理するには、MDMソフトウェアはApple MDMプロトコルをサポートする必要がある。しかし、iOSとMacOSデバイスには、アップル専用のMDMソリューションだけが利用できるユニークな機能が数多くある。

その筆頭が、アップル製デバイスを導入するほぼすべての組織で使用されているApple Business Managerと密接に連携する機能だ。Apple Business Managerは、管理者がアップルのハードウェアとソフトウェアを購入し、アップル製デバイスの在庫を追跡するために使用できるウェブポータルです。Apple Business Managerは、Apple MDMサーバと組み合わせることを想定しており、この組み合わせにより、管理者は、ユーザ主導の完全なセットアップルーチンを使って、ネットワーク経由で新しいデバイスを事前設定する、ゼロタッチデプロイメントが可能になります。

Apple Business ManagerとApple専用のMDMソリューションには、他にも利点がある。Apple Business Managerに登録されているすべてのデバイスは、自動的にMDMシステムに登録されます。さらに、組織のディレクトリサービスと統合すると、Apple Business Managerは各AppleユーザのManaged Apple IDを自動的に生成し、ユーザとデバイスを関連付け、さまざまな権限と許可を定義するユーザプロファイルを作成する最初のステップとなります。

Apple専用のMDMソリューションのもう一つの利点は、自動修復機能です：Appleデバイスに不正な変更が加えられた場合、管理者の介入なしに自動的に修正される。Apple MDMソリューションによって機能は異なりますが、管理者はiOSとMacOSの自動パッチ適用や、組織が承認したすべてのアプリケーションの自動アップデートを利用することができます。

MDMのメリットとは？

MDMソフトウェアは、ITにとって不可欠なツールとしての地位を確立している。個人所有のモバイル・デバイスのセキュリティ脆弱性への回答として始まったMDMは、組織のデバイス群を追跡して保護するだけでなく、特定のデバイス・タイプとそのユーザーに合わせた複数のソフトウェア環境を管理するための強力なコントロール・センターへと拡大しました。

管理者は日常的に、MDMシステムを使用することで節約できる時間の多さ、特によく練られた自動化によってアップデートを手動で実施する必要から解放されることに注目している。もちろん、そのメリットの程度は、特定のソリューションが提供する機能や使いやすさ、特にユーザーやデバイスのグループ間の変更を管理する場合に依存する。しかし要するに、中小企業以上の規模の組織では、MDMソリューションを導入しない手はないということだ。

そういえばApple MDMソリューションの価格は？価格だけでなく、機能も大きく異なる。通常、デバイスごとに、またはデバイス数の範囲ごとに価格が設定されている。