Skip to content

モバイルデバイス管理(MDM)とは

モバイルデバイス管理(MDM)は、スマートフォンからノートパソコンまでのモバイルデバイスを、単一の管理ポイントを提供するソフトウェアを使用してリモートで管理する運用手法です。MDMソフトウェアを利用することで、IT部門は組織内のすべてのデバイスを一元的に管理し、企業データの保護、設定の標準化、許可されたソフトウェアやサービスへのユーザアクセスの確保を行うことができます。これらはすべて、エンドユーザの利用体験を損なうことなく実現されます。

MDMは、従業員が個人所有のスマートフォンを業務に使用するBYOD(Bring Your Own Device)の普及を背景に生まれました。現在では、エンドポイントセキュリティやコンプライアンスを維持するうえで重要な役割を担っています。多くの攻撃は、未適用パッチのソフトウェア、フィッシング、または安全でないWi-Fi接続を通じてエンドポイントを標的とします。モバイルデバイスには、悪意のあるアプリのダウンロードやデバイス紛失・盗難といったリスクがあります。そして、それらのデバイスが企業リソースへアクセスできる場合、企業の重要な情報も危険にさらされる可能性があります。

MDMソリューションはこうした課題に対応します。基本的な機能として、デバイスインベントリの管理、パスワード保護の強制、紛失したデバイスのリモートロックやワイプなどがあります。さらに、現在のMDMツールは、デバイスの利用状況の監視、インストール可能なアプリの制御、暗号化の強制、データセキュリティの強化など、より高度な機能も提供します。また、デバイス設定やソフトウェア環境の標準化、ユーザ主体のセットアッププロセスの確立にも対応します。

組織による統制を維持しながらユーザの利便性を高め、同時にパートナー企業や規制当局が求めるコンプライアンス基準を満たすことが、MDMの戦略的な目的です。ポリシーの策定は法律担当者、IT管理者、セキュリティ専門家が行う場合が多いですが、それを大規模に実行・適用できるようにするのがMDMソフトウェアです。

 

Apple MDMはどのように機能するのか

Apple MDMソフトウェアは、基本的にはクライアント・サーバー型アーキテクチャを採用しています。サーバーにはデバイスに適用されるパラメータ、設定、ポリシー、ユーザプロファイルなどが保存されます。

多くのMDMサーバーはクラウド上で提供され、MDMベンダーによって管理されていますが、一部のベンダーはオンプレミスで導入可能なサーバーソフトウェアも提供しています。管理者はサーバーの管理コンソールを使用して、デバイス設定の変更、ソフトウェア更新、セキュリティポリシーの適用をリアルタイムで実行できます。モバイルOSには、これらの制御を実現するためのAPIが用意されています。

MDMプラットフォームには、Android、Apple、Microsoftデバイスを横断して管理できるものもあれば、特定のプラットフォームに特化したものもあります。デバイスごとに利用可能な機能が異なるため、クロスプラットフォームMDMは共通機能を中心に提供し、プラットフォーム特化型MDMは特定OSの機能を最大限活用できます。そのため、多くの企業では両者を併用しています。

理想的には、ポリシーを慎重に設計し、初期設定と構成が完了した後はMDMの自動化機能に運用負荷を任せます。同時に、特定のニーズを持つユーザやデバイスに対しては、カスタマイズ設定で柔軟に対応できる必要があります。

MDM、EMM、UEMの違い

時間の経過とともに、企業はMDMにより多くの機能を求めるようになりました。もともとはスマートフォンの追跡とセキュリティ確保を目的とした仕組みでしたが、現在では多くの機能とデバイスを管理できるようになっています。今日のMDMソリューションは、複数のデバイス種別に対するセキュリティ設定の適用、データ暗号化、ユーザ単位のロールベース制御などを提供します。こうした機能拡張により、いくつかの関連カテゴリが生まれました。

EMM(Enterprise Mobility Management)

EMMはMDMを基盤とし、組織のディレクトリサービス(Microsoft Active Directoryなど)やID管理・アクセス管理ソリューション(OktaやPing Identityなど)と連携します。また、MAM(モバイルアプリケーション管理)機能を追加し、管理者が複数のデバイスに対してアプリを配布・更新できるようにします。さらに、MCM(モバイルコンテンツ管理)も含まれ、どのアプリが企業データへアクセスまたは転送できるかを制御します。

UEM(Unified Endpoint Management)

UEMはEMMをさらに拡張し、組織内のすべてのエンドポイントデバイス(デスクトップPCなどを含む)を管理対象とします。EMMの機能に加えて、企業のすべてのデバイスをプロビジョニングし、監視できる機能を提供します。多くのUEMソリューションではダッシュボードが提供され、各デバイスの状態(オフライン、オンライン、正しく設定済み、保護不十分など)を確認できます。ただし、さまざまなプラットフォームと頻繁なOSアップデートへの対応が必要なため、すべてのデバイスに対して高度な管理機能を提供するのは容易ではありません。

実際には、これらの略語の中で最も広く使われているのはMDMです。IT業界以外では、EMMやUEMの機能も含めて、デバイス管理全般をMDMと呼ぶケースが多く見られます。

モバイルデバイス管理のベストプラクティス

MDM導入を成功させるには、事前の計画が重要です。小規模な組織であっても、将来的に必要となる可能性のある機能を考慮し、拡張性のあるMDM戦略を策定する必要があります。

エンドポイントとアプリ環境を把握する
ITの他分野と同様に、現在利用されている環境の把握は想像以上に難しいものです。従業員は複数のデバイスを業務に使用することが多く、それぞれのOSに対応したMDMエージェントの導入が必要になります。また、業務に利用されているモバイルアプリや企業アプリケーションを把握し、包括的なアプリケーションセキュリティプロファイルを作成する必要があります。

セキュリティとコンプライアンスの目標を定める
ほとんどのMDMソリューションはエンドポイントセキュリティソフトと連携できますが、その容易さは製品によって大きく異なります。また、一部のMDM製品はエンドポイントセキュリティ機能を内蔵しており、MDMとサイバーセキュリティを同一の管理画面から運用できます。ISO/IEC 27001などの情報セキュリティ基準への対応が必要な業界もあるため、それらの要件を満たせる機能を備えたMDMソフトウェアを選ぶ必要があります。

導入前にMDMを試用する
必要機能のチェックリストだけでは十分とは言えません。MDM製品は使い勝手に大きな差があり、とくにユーザやデバイスのグループ管理、コンソールからの一括変更の操作性は製品によって異なります。幸い、多くのMDMはクラウド型のため、トライアル環境を簡単に利用して評価できます。

MDMの自動化機能を活用する
MDMの目的はデバイス設定の手作業を減らすことです。たとえば、OSやアプリケーションの更新を管理者の介入なしに自動配布できる機能は、運用負荷を大幅に削減します。管理者が手動で操作する必要が少ないほど理想的です。

監視とアラートを適切に設定する
MDMのダッシュボードでは、すべてのデバイスの状態を明確に確認できる必要があります。デバイスの紛失や侵害が発生した場合にはアラートが通知されるべきですが、誤検知が頻発しないよう適切な設定が必要です。分かりやすいレポートは、MDM運用の最適化や問題の早期発見に役立ちます。

MDMはポリシーの実装と適用を実現する仕組みとして理解すると分かりやすいでしょう。これらのポリシーはセキュリティ専門家の協力のもとで策定され、デバイス設定や制御のテンプレートとなります。また、MDM製品を選定する際の評価基準にもなります。ただしポリシーは変更されることがあるため、その変更をデバイス全体へ簡単に適用できることが重要です。

 

Apple MDMソリューション

MDMソリューションには、Android、iOS、macOS、Windowsを管理できるものもあれば、特定プラットフォームに特化したものもあります。Appleデバイスを管理するには、Apple MDMプロトコルをサポートしていれば基本的に対応できます。ほとんどのMDMベンダーがこれをサポートしています。

しかし、iOSやmacOSには独自の機能があり、それらを最大限活用できるのはAppleに特化したMDMソリューションです。

その代表例がApple Business Managerとの連携です。Apple Business Managerは、Appleデバイスを導入するほとんどの組織が利用している管理ポータルで、Appleハードウェアやソフトウェアの購入、デバイスインベントリの管理などを行えます。通常はMDMサーバーと組み合わせて使用され、新しいデバイスをネットワーク経由で自動設定するゼロタッチ導入などを実現します。

Apple Business ManagerとApple特化型MDMを組み合わせることで、さらに多くの利点があります。Apple Business Managerに登録されたデバイスは自動的にMDMに登録されます。また、組織のディレクトリサービスと連携することで、ユーザごとにManaged Apple IDが自動生成されます。これにより、ユーザとデバイスを紐づけたユーザプロファイルや権限管理が可能になります。

さらに、Apple特化型MDMでは自動修復(自動リメディエーション)も利用できます。デバイス設定が許可されていない状態に変更された場合でも、管理者の操作なしに自動的に元の設定へ戻されます。また、iOSやmacOSのパッチ適用や承認済みアプリの自動更新などの機能も提供される場合があります。

MDMのメリット

MDMソフトウェアは、IT運用において欠かせないツールとなっています。個人所有のモバイルデバイスに起因するセキュリティリスクへの対策として始まりましたが、現在ではデバイス管理の中核的なコントロールセンターとして、デバイスの追跡や保護だけでなく、ユーザやデバイスの種類に応じたソフトウェア環境の管理も可能にしています。

MDMシステムを導入することで、管理者の作業時間を大幅に削減できます。とくに自動化を活用すれば、更新作業などを手動で実施する必要がなくなります。もちろん、その効果は製品の機能や操作性に左右されますが、ユーザやデバイスのグループ単位で変更を管理できる機能は大きなメリットです。結論として、個人商店のような小規模な組織を除き、MDMなしでIT環境を運用することは現実的ではありません。

では、Apple MDMソリューションの価格はどの程度でしょうか。価格は製品や機能によって大きく異なりますが、一般的にはデバイス単位、または一定数のデバイス数に基づいた料金体系が採用されています。

最新情報をお届け

ITおよびセキュリティチームが常に先を行くための、Iruによる週次の最新記事、動画、リサーチをお届けします。