従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
最新のデバイス管理に不可欠な要素
かつてデバイスの管理とは、USBドライブを持ってデスクからデスクへと歩くことだった。そのようなアプローチは、従業員が在宅勤務を始めたり、電子メールに個人の電話を使ったり、ノートパソコンが箱から出してすぐに動くことを期待したりした瞬間に機能しなくなった。
最新のデバイス管理は、企業のラップトップから従業員のスマートフォンに至るまで、あらゆるエンドポイントの保護、設定、監視方法を単一のプラットフォームで統一することで、この複雑さに秩序をもたらします。
TL;DR
この記事では、完全なデバイス管理戦略を構成する7つのコア・コンポーネントを分解し、それらがどのように連携するかを説明し、組織のプラットフォームを評価するためのガイダンスを提供します。
最新のデバイス管理の7つのコア・コンポーネント
7つのコンポーネントはそれぞれ、デバイス管理において明確な役割を果たしますが、別々のツールとして運用するのではなく、単一のプラットフォームに統合することで、最も効果的に機能します。
デバイスの登録とオンボーディング
登録は、管理プラットフォームにデバイスを登録するプロセスです。登録が完了すると、デバイスはIT部門からポリシー、設定、セキュリティ制御を受けられるようになります。煩雑なプロセスは従業員をイライラさせ、初日を迎える前にサポートチケットが発生することも少なくありません。
自己登録では、通常、会社の認証情報でサインインし、いくつかのプロンプトに従うというシンプルなワークフローを通じて、ユーザーが自分のデバイスを登録することができます。IT支援による登録では、特殊なハードウェアの設定や共有デバイスの設定など、より複雑なシナリオに対応します。いずれにせよ、目標はオンボーディングをシームレスにすることで、従業員が迅速に業務を開始できるようにする一方で、IT部門は初日から完全な可視性と制御を維持することです。
ゼロタッチ導入
ゼロタッチ・デプロイメントは、IT部門をセットアップ・プロセスから完全に排除することで、エンロールメントをさらに一歩進めます。このアプローチでは、IT部門は従業員の自宅に直接デバイスを発送することができます。従業員が初めて電源を入れると、デバイスが自動的に登録され、必要なすべての設定がダウンロードされます。ゼロタッチ・デプロイは、OS固有のプログラム(Apple Business Manager、Windows Autopilot、Android Zero-Touchなど)と、サポートされているデバイス調達チャネルに依存する。
この機能は、分散したワークフォースにとって不可欠なものとなっている。オフィスでデバイスをステージングし、手作業でコンフィギュレーションを適用してから出荷する代わりに、ITチームは、自分でコンフィギュレーションできる状態で届くデバイスをベンダーに発注できる。従業員はログインするだけで、デバイスは設定、アプリケーション、セキュリティ・ポリシーを自動的に引き出します。リモートの従業員を雇用したり、複数の拠点にまたがるオフィスを管理したりする企業にとって、ゼロタッチの導入は、従業員の生産性を高めるための時間とコストを劇的に削減します。
設定とポリシーの管理
デバイスが登録されると、ITチームは設定とポリシーをリモートでプッシュします。これらの設定は、ディスク暗号化の要求からインストール可能なアプリケーションの制限まで、デバイスの動作を定義します。注:ポリシーの深さと実施モデルはオペレーティング・システムによって異なり、すべてのOSがMDMフレームワークを通じて同じレベルの制御を公開するわけではありません。
一般的なポリシーの種類は以下のとおりです:
- セキュリティポリシー:暗号化要件、画面ロックのタイムアウト、パスワードの複雑さのルール
- ネットワーク設定:Wi-Fi認証情報、VPN設定、プロキシ設定
- デバイスの制限:機密エリアでのカメラの無効化、不明なソースからのアプリのインストールをブロック
ポリシーは、すべてのデバイスに広く適用することも、部署、役割、デバイスの種類に基づいて特定のグループをターゲットにすることもできます。より長いパスワードを要求するなど、ポリシーが変更された場合は、ユーザーがアクションを起こさなくても、更新が自動的にプッシュされます。
アプリケーション・ライフサイクル管理
アプリケーションの管理は、単にソフトウェアをインストールするだけではありません。アプリケーション・ライフサイクル管理は、デバイスへのアプリケーションのデプロイ、アップデートの維持、不要になったアプリケーションの削除など、すべてのプロセスを包括します。
アプリケーションのパッチ適用では、個々のソフトウェアプログラム(ブラウザ、生産性アプリケーション、開発ツール)が更新されますが、OSの更新では、コアとなるシステムコンポーネントが変更されます。そのため、多くの組織では、混乱を最小限に抑えるために、より厳格な延期ウィンドウ、段階的なロールアウト、調整されたメンテナンスウィンドウを備えた個別のポリシーによってOSの更新を処理しています。
ITチームは、承認されたアプリカタログを管理し、従業員が必要なツールにアクセスできるようにする一方で、未承認のソフトウェアが管理対象デバイス上で実行されるのを防ぐことができます。自動パッチ適用により、アプリケーションは常に最新の状態に保たれ、攻撃者に悪用される前にセキュリティの脆弱性を解消できます。また、従業員が退職したり、役割を変更した場合、デバイスの他の部分に触れることなく、アプリと関連データをリモートで削除できます。
セキュリティとエンドポイント保護
デバイス管理とセキュリティの重複はますます増えている。最新のプラットフォームには、脅威検出、マルウェア保護、侵害されたデバイスをリモートでロックまたはワイプする機能などの機能が搭載されています。
エンドポイント検出と対応(EDR)は、デバイスの不審な動作を継続的に監視し、脅威に対して自動的に対応することで、セキュリティをさらに強化します。デバイス管理プラットフォームと並行して個別のEDRツールを使用する組織もあれば、両方の機能を統合したソリューションを好む組織もある。統一されたアプローチの利点は、セキュリティ・ポリシーと脅威対応が同じデータに基づいて動作するため、システムが互いにうまく通信できない場合に発生するギャップをなくすことができる点です。
ヒント:プラットフォームを評価する際には、ID、デバイス管理、エンドポイント保護を統合したソリューションを探すこと。Iruのような統合プラットフォームは、これらの機能がサイロで動作する場合に発生するギャップをなくします。
コンプライアンス・モニタリングとレポート
コンプライアンス・モニタリングは、デバイスがポリシーを遵守しているかどうかを長期にわたって追跡します。従業員が暗号化を無効にした、必要なセキュリティ更新が適用されていない、デバイスがジェイルブレイクまたはルート化されているなど、さまざまな理由でデバイスがコンプライアンスから外れる可能性があります。
効果的なコンプライアンス監視は、デバイスの状態をダッシュボードでリアルタイムに表示します。デバイスがコンプライアンスから外れた場合、自動修復機能が作動し、ユーザーに問題の修正を促したり、デバイスが再び要件を満たすまで企業リソースへのアクセスを制限したりすることができます。監査では、コンプライアンス・レポートにより、何時間もかけて手動でデータを収集することなく、必要な文書を提供します。
アイデンティティとアクセス管理
アイデンティティは、新たなセキュリティ境界となりました。デバイスが企業リソースにアクセスする前に、誰がそのデバイスを使用しているのか、そしてそのデバイスを使用している人が許可されているのかを知る必要があります。アイデンティティとアクセス管理(IAM)は、認証(本人が本人であることを確認するプロセス)を通じて、ユーザーとデバイスを結び付けます。
最新のアプローチは、従来のパスワードを超える。例えば、パスワードレス認証は、バイオメトリクスやハードウェア・セキュリティ・キーのようなデバイスにバインドされたクレデンシャルを使用して本人確認を行う。この方法は、フィッシング攻撃やクレデンシャル・スタッフィングなど、パスワードに付随する多くの脆弱性を排除する。
ID管理がデバイス管理と直接統合されると、貴重なコンテキストが得られる。このユーザーは誰か」だけでなく、「どのデバイスを使用しているか、暗号化されているか、最新のセキュリティ・パッチが適用されているか」にも答えることになる。このユーザー・アイデンティティとデバイスの健全性の組み合わせは、どちらか一方だけで提供できるよりもはるかに強力なセキュリティ体制を構築する。
効果的なデバイス管理ソリューションの主な機能
7つのコア・コンポーネント以外にも、特定の機能が適切なソリューションと優れたソリューションを分けている。
クロスプラットフォームおよびマルチOSサポート
従業員は、Windows、macOS、iOS、Android、場合によってはLinuxを混在して使用している可能性が高い。それぞれのOSを異なるツールで管理することは、断片化と盲点を生み出します。最高のプラットフォームは、単一のコンソールからすべての種類のデバイスを一貫して管理できるため、インターフェイスを常に切り替えたり、複数のソースからのデータを調整したりする必要がありません。
自動化とAIによる洞察
手作業によるデバイス管理は拡張性に欠けます。デバイス・フリートが増大するにつれ、パッチ適用、コンプライアンス・チェック、ポリシー実施などのルーチン・タスクを、すべてのアクションにITの介入を必要とせずに処理するための自動化が不可欠になります。
AI主導の洞察は、デバイス・フリート全体のパターンを分析することで、別のレイヤーを追加します。AIは、問題が表面化するのを待つのではなく、セキュリティ・インシデントになる前に、デバイスの異常な動作やログイン試行失敗の突然の急増などの異常を特定することができます。IruのようなAIを活用するプラットフォームは、ITチームがデータ収集よりも意思決定に集中できるよう支援します。
IDプロバイダーやセキュリティ・ツールとの統合
デバイス管理が単独で動作することはほとんどありません。IDプロバイダーとの統合により、認証がシステム間でスムーズに流れるようになります。セキュリティ情報・イベント管理(SIEM)プラットフォームへの接続は、デバイス・データを他のセキュリティ遠隔測定と統合し、統合された可視性を実現します。デバイス管理プラットフォームが既存のインフラストラクチャと統合されればされるほど、より多くの価値を提供し、情報の関連付けに手作業で費やす時間を減らすことができます。
最新のデバイス管理と従来のMDMとの違い
従来のモバイルデバイス管理(MDM)は、スマートフォンが初めて職場に導入されたときに登場しました。モバイルデバイスに焦点を絞り、多くの場合オンプレミスのサーバーで実行され、IDやセキュリティシステムとは別に運用されていました。
現代のデバイス管理は、大きな進化を遂げています:
| 側面 | 従来のMDM | 最新のデバイス管理 |
|---|---|---|
| スコープ | モバイルデバイスのみ | ラップトップ、デスクトップ、IoTを含むすべてのエンドポイント |
| 展開 | 通常クラウド限定 | クラウドネイティブ |
| アイデンティティ | 別システム | 統合ID管理 |
| セキュリティ | 基本ポリシーの実施 | EDR、脅威検知、適応制御 |
| ユーザー・エクスペリエンス | ITに依存したセットアップ | ゼロタッチ、セルフサービス |
デバイス中心からユーザー中心の管理へのシフトは、仕事そのものがどのように変化したかを反映しています。もはやオフィスの壁内にとどまるデバイスを管理するのではなく、最も生産性の高いデバイスを使用して、どこからでも安全に仕事ができるようにするのです。
デバイス管理プラットフォームの評価と選択方法
プラットフォームを選択するには、機能を組織固有のニーズに適合させる必要があります。評価時には、ベンダーに尋ねることを検討してください:
- そのプラットフォームは、お客様の環境にあるすべてのオペレーティング・システムをサポートしていますか?
- アイデンティティ、デバイス管理、およびコンプライアンスを 1 か所で統合できるか。
- オンボーディングを合理化するためのゼロタッチ導入が可能か?
- そのプラットフォームは、デバイスの紛失、盗難、退職、再割り当てなどのデバイス・ライフサイクル・イベントをどのように処理するか。
- 既存のアイデンティティ・プロバイダやセキュリティ・ツールとの統合方法は?
- どのようなコンプライアンスフレームワークをネイティブにサポートしているか?
- デバイス・フリートが増加した場合の価格設定は?
ベンダーにデモを依頼し、お客様の環境から実際のシナリオを用いてテストしてください。適切なプラットフォームは、複雑さを増すのではなく、運用を簡素化します。
統一されたデバイス管理戦略の構築
断片的なツールは断片的なセキュリティを生み出します。IDが1つのシステムにあり、デバイス管理が別のシステムにあり、コンプライアンス追跡がスプレッドシートにある場合、それらの間にギャップが生じます。攻撃者は、まさにそのような隙間を狙っている。
統一されたアプローチは、これらの機能を単一のプラットフォームに統合し、コンテキストを共有します。デバイス管理システムがユーザーのアイデンティティ、デバイスのセキュリティ・ポスチャ、コンプライアンス・ステータスを一度に把握することで、適切な場合にはアクセスを許可し、何か問題があると思われる場合にはアクセスをブロックするというインテリジェントな判断が可能になります。
アプローチを簡素化する準備が整った組織は、Iru のデモを予約して、統合プラットフォームがアイデンティティ、エンドポイント保護、およびコンプライアンスをどのようにまとめるかを確認できます。
最新のデバイス管理に関するFAQ
以下は、現代のチームによくあるデバイス管理に関する質問です:
MDMとUEMの違いは何ですか?
MDM(モバイルデバイス管理)は、特にスマートフォンとタブレットに焦点を当てている。UEM(統合エンドポイント管理)は、単一のプラットフォームから、ラップトップ、デスクトップ、IoTデバイス、モバイルなど、あらゆる種類のエンドポイントに管理機能を拡張する。ほとんどの最新ソリューションはUEMに向かって進化しているが、会話の中でこの用語が同じ意味で使われることもある。
デバイス管理はどのようにゼロトラスト・セキュリティをサポートするのか?
ゼロ・トラスト・セキュリティは、場所やネットワークに関係なく、デフォルトではいかなるデバイスやユーザーも信頼されないことを前提としている。デバイス管理は、リソースへのアクセスを許可する前にデバイスの健全性とコンプライアンスを継続的に検証することで、このモデルをサポートします。企業ネットワーク上にあるという理由だけでデバイスを信頼するのではなく、ゼロトラストはアクセス要求ごとにアイデンティティとデバイスの姿勢の両方を検証します。
デバイス管理プラットフォームは個人用デバイスと企業用デバイスの両方を管理できるか?
BYOD(Bring Your Own Device)シナリオでは、コンテナ化を使用して、同じデバイス上で業務データと個人データを分離します。IT部門は、従業員の個人用アプリ、写真、閲覧履歴を管理することなく、業務用コンテナを管理し、保護します。従業員が退職した場合、個人データはそのままで、仕事用のコンテナだけが消去されます。BYOD の実装は特定の OS によって異なり、制限のあるものやまったく異なる構成のものもあります。
デバイス管理は、組織がどのようなコンプライアンスフレームワークに対応するのに役立つのか?
デバイス管理は、SOC 2、HIPAA、GDPR、PCI-DSS、ISO 27001などのフレームワークをサポートしています。プラットフォームは、暗号化やアクセス制限などの必要なセキュリティ管理を実施し、デバイスのアクティビティに関する監査ログを保持し、コンプライアンス・レポートを自動的に生成します。