従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
デバイス管理の仕組み:ITチームのための必須ガイド
デバイス管理とは、ラップトップ、電話、タブレットなど、組織のエンドポイントを単一の集中プラットフォームから登録、設定、保護、監視するプロセスです。ITチームは、本社オフィスにあるデバイスであろうと、地球の裏側にある自宅のワークスペースにあるデバイスであろうと、企業データに触れるすべてのデバイスの可視性と制御を維持することができる。
TL;DR
この記事では、デバイス管理の実際の仕組み、それを可能にするコア・コンポーネント、そして組織のニーズに合ったプラットフォームの評価方法について説明します。
デバイス管理の仕組み
デバイス管理は、サーバー・エージェント・モデルと呼ばれるものに従います。一方には管理サーバーがあり、IT管理者がポリシーを作成し、デバイスのステータスを表示します。もう一方では、各エンドポイントにインストールされた軽量のソフトウェア・エージェントが、それらのポリシーを受け取り、それに基づいて動作し、報告します。最新のデバイス管理では、OSベンダーがデバイス上にネイティブの「エージェント」を出荷し、管理フレームワークとプロトコルを介してやり取りされます(Iruのようなサードパーティー・ベンダーが構築してデプロイするエンドポイントエージェントに加えて)。モバイルデバイス(iOS/Android)は、OSネイティブの管理フレームワークプロトコル対MDMベンダーエージェントにほぼ完全に依存している。
プロセス全体は、1回限りのセットアップではなく、継続的なループとして動作する。デバイスは定期的にチェックインし、更新された設定を受け取り、コンプライアンス・データをサーバーに送り返す。この継続的な通信により、IT チームは、デバイスがネットワーク、場所、ユーザーの間を移動しても、制御を維持することができます。注:デバイスのチェックイン頻度と動作は、OS と管理モデルによって異なります。プラットフォームやOSのバージョンによっては、常時ポーリングするのではなく、イベント・ベースやプッシュ通知のトリガーで動作するものもあります。
登録とデバイス登録
デバイスを管理する前に、管理プラットフォームに参加する必要があります。このステップは登録と呼ばれ、デバイスの所有者や組織の運営方法によって異なります。
会社所有のデバイスの場合、登録はApple Business Manager、Windows Autopilot、Android Zero-Touch Enrollmentなどのプログラムを通じて自動的に行われることが多い。新しいノートパソコンが従業員に直接出荷され、初めて電源を入れると、自動的に管理サーバーに接続され、適切な設定がダウンロードされます。ITの介入は不要です。
BYODシナリオの個人用デバイスの場合、登録には通常、ユーザーがセルフサービス・ポータルにアクセスするか、QRコードをスキャンするか、リンクをたどって管理プロファイルをインストールする必要があります。このアプローチでは、従業員がプロセスをある程度制御できる一方で、デバイスを IT の可視性の下に置くことができます。
ポリシーの設定と展開
デバイスが登録されると、ITチームはコンフィギュレーション・プロファイルをデバイスに無線(OTA)でプッシュする。これらのプロファイルには、実施したい実際の設定や制限が含まれています:
- Wi-FiやVPNの設定:Wi-FiとVPNの設定:ユーザーが認証情報を手動で入力することなく、自動的に企業ネットワークに接続します。
- パスコードの要件:最小の長さ、複雑さ、有効期限のルールを適用する。
- アプリの制限:特定のアプリケーションをブロックしたり、特定のセキュリティツールのインストールを要求したりする。
- 暗号化設定:デバイスが機密リソースにアクセスする前に、ディスク暗号化が有効になっていることを確認する。
ポリシーは、組織内のすべてのデバイスに広く適用することも、特定のグループをターゲットにすることもできます。例えば、エンジニアリングチームと営業チームでは要件が異なる場合があります。このような柔軟性により、さまざまな役割において、セキュリティと使いやすさのバランスをとることができます。
継続的なモニタリングとコンプライアンスチェック
デバイス管理は初期設定だけで終わりません。プラットフォームは、各エンドポイントを定義したポリシーに照らして継続的に評価し、オペレーティング・システムのバージョン、暗号化の状態、セキュリティ・ソフトウェアが実行されているかどうかなどの要素をチェックします。
このリアルタイムのモニタリングが、最新のデバイス管理と旧式のインベントリスプレッドシートとの違いです。四半期ごとの監査で問題を発見するのではなく、デバイスがコンプライアンスから外れた瞬間に問題を発見するのです。システムは問題にフラグを立て、ユーザーに通知し、問題が修正されるまで自動的にアクセスを制限することもできます。
一般的なコンプライアンスチェックには、デバイスがサポートされている OS バージョンを実行していることの確認、ディスク暗号化が有効であることの確認、ジェイルブレイクまたはルート化されたデバイスの検出、必要なアプリケーションがインストールされていることの確認などが含まれます。
リモートアクションと脅威の修復
何か問題が発生した場合、ITチームはデバイスに物理的に触れることなく対応することができます。この機能は、従業員が最寄りのITオフィスから何千マイルも離れているような分散型ワークフォースにとって特に価値があります。
リモート・アクションには通常、デバイスの紛失が報告された場合の即時ロック、不正アクセスを防止するための企業データ(またはデバイス全体)のワイプ、ソフトウェア・アップデートやセキュリティ・パッチのプッシュ、デバイスのコンプライアンスが回復するまでの企業アプリケーションへのアクセス権剥奪などが含まれます。
ここで重要なのはスピードだ。空港に置き去りにされたノートパソコンは、紛失届が出されてから数分で、誰かがその中のデータにアクセスする機会を得る前に消去することができる。しかし、デバイスを即座に、あるいは数分以内にワイプしたりロックしたりすることは、そのデバイスがオンラインであり、アクセス可能であることを前提としている。デバイスがオフラインの場合、これらのアクションは通常、再接続するまでキューに入れられます。
デバイス管理ツールのコア・コンポーネント
デバイス管理の構成要素を理解することは、さまざまなプラットフォームを評価し、問題が発生したときにトラブルシューティングするのに役立ちます。4つの主要コンポーネントが連携してシステムを機能させます。
管理サーバーと管理コンソール
管理サーバーは、デバイスのインベントリ、ポリシー定義、およびコンプライアンス・データを保存する中心的なハブです。管理コンソール(通常は Web ベースのインターフェイス)は、ポリシーの作成、レポートの表示、デバイスのグループ化、個々のエンドポイントに対するアクションの実行など、IT チームが実際の作業を行う場所です。
サーバーは頭脳で、コンソールはコントロールパネルだと考えてください。すべてがこのセントラル・ポイントを通って流れます。
デバイスエージェントと構成プロファイル
エージェントは、各エンドポイントにインストールされる小さなソフトウェアです。デバイスと管理サーバー間の通信を処理し、ポリシーの更新を受け取り、ステータス情報を送り返します。構成プロファイルは、Wi-Fi認証情報、セキュリティポリシー、アプリ構成など、デバイスに適用される設定の実際のパッケージです。
モバイルデバイスでは、これらのエージェントは、従来のインストール可能なサービスではなく、OSネイティブの管理フレームワークであることが多い。エージェントは、オペレーティングシステムに組み込まれた管理フレームワーク(アップルのMDMプロトコルやアンドロイドのデバイスポリシーコントローラーなど)と統合する。ラップトップやデスクトップでは、通常バックグラウンドサービスとして実行される。
ポリシーエンジンと自動化ルール
ポリシーエンジンは、特定の条件が満たされたときに何が起こるかを決定するロジックレイヤーです。例えば、デバイスのオペレーティング・システムのバージョンが2つ以上遅れている場合、電子メールへのアクセスを自動的にブロックするルールを作成することができます。あるいは、デバイスが30日間チェックインしていない場合にアラートを発することもできる。最も一般的な実例として、OS のバージョンに基づいて電子メールへのアクセスをブロックすることは、通常、デバイス管理ツール自体で直接行うのではなく、デバイスのコンプライアンス・シグナルを消費するアイデンティティ・システムや条件付きアクセス・システムを介して行われます。
この自動化により、手作業が減り、一貫した実施が保証されます。IT スタッフがすべてのデバイスを手動でレビューする代わりに、システムがルーチン決定を自動的に処理します。
レポートと分析ダッシュボード
生のデータは、コンテキストなしでは特に役に立ちません。レポート・ダッシュボードは、フリート全体の情報を集約し、コンプライアンス率、デバイスの健全性の傾向、および経時的なセキュリティ状況を表示します。
これらのレポートには2つの目的があります。第一に、ITチームが問題を発見し、作業の優先順位をつけるのに役立ちます。2つ目は、SOC 2、HIPAA、ISO 27001などのコンプライアンス・フレームワークに対する監査証拠を提供することです。監査人からデバイスの管理方法を尋ねられた際、どのようなポリシーが適用され、どのデバイスがコンプライアンスに準拠しているかを正確に示すことができます。
デバイス管理ソリューションの種類
デバイス管理の状況は、過去10年間で大幅に進化しました。基本的な携帯電話管理から始まったデバイス管理は、組織が使用するあらゆるタイプのエンドポイントをカバーするまでに拡大しています。
| 種類 | 対象範囲 | 最適なソリューション |
|---|---|---|
| モバイルデバイス管理(MDM) | スマートフォンおよびタブレット | 主にモバイルエンドポイントを管理する組織 |
| エンタープライズモビリティ管理(EMM) | モバイルデバイス+アプリ+コンテンツ | 特にBYODのためにアプリレベルの管理が必要な企業 |
| 統合エンドポイント管理(UEM) | デスクトップ、ラップトップ、IoTを含むすべてのエンドポイント | オペレーティング・システム全体にわたるフリート管理 |
モバイル・デバイス管理 MDMソフトウェア
MDMは、スマートフォンやタブレットを管理するための基本的なアプローチです。iOS、Android、その他のモバイル・オペレーティング・システムにわたって、デバイス設定、アプリの展開、セキュリティ・ポリシーの制御を提供します。
MDMプラットフォームは、パスコードの強制、Wi-Fi設定のプッシュ、アプリの展開、紛失したデバイスのリモートワイプなどを行うことができる。しかし、従来のMDMはモバイルエンドポイントに特化しており、組織のセキュリティリスクの大部分を占めるラップトップやデスクトップには対応していない。
エンタープライズモビリティ管理
EMMは、モバイル・アプリケーション管理(MAM)とモバイル・コンテンツ管理(MCM)を追加することで、MDMを拡張します。MAMを使用すると、デバイス全体を管理することなく、特定のアプリ内の企業データを制御できます。
この違いは、BYODシナリオにとって重要です。従業員は、IT部門が個人の携帯電話を管理することを望まないかもしれませんが、通常は、IT部門が業務用の電子メール・アプリや企業文書だけを管理することは問題ありません。EMMは、個人のプライバシーを尊重しながら、会社のデータを保護する境界線を引くことができます。
統合エンドポイント管理
UEMは最も包括的なアプローチであり、ラップトップ、デスクトップ、モバイルデバイス、IoTエンドポイントをまとめて管理するための単一プラットフォームです。デバイスの種類ごとに別々のツールを実行するのではなく、ITチームは全デバイスを1つのコンソールで管理できます。
この統合は、現代の仕事が実際にどのように行われているかを反映している。従業員は1日中、携帯電話、タブレット、ノートPCを切り替えながら、同じアプリケーションやデータにアクセスしています。これらのデバイスをサイロで管理すると、ギャップが生じ、労力が重複します。UEMプラットフォームや、Iruのようにデバイス管理をアイデンティティとコンプライアンスに統合することでさらに進化したプラットフォームは、この分断に直接対処します。
ITチームにとってのモバイルデバイス管理のメリット
デバイス管理は、抽象的なセキュリティ向上だけでなく、実用的な価値をもたらします。これらのシステムを導入することで、ITチームが実際に得られるものは以下のとおりです。
すべてのエンドポイントを一元的に可視化
見えないものを保護することはできません。デバイス管理は、ハードウェアの仕様、インストールされているソフトウェア、オペレーティング・システムのバージョン、コンプライアンス・ステータスなど、登録されているすべてのエンドポイントのインベントリをリアルタイムで提供します。セキュリティの意思決定、予算計画、インシデント対応はすべて、環境にどのようなデバイスが存在するかを知ることによって決まります。
より強固なセキュリティ体制と脅威対策
強制的な暗号化、パスコード要件、リモートワイプ機能は、具体的な方法で侵害リスクを低減します。すべてのデバイスが基本的なセキュリティ基準を満たしていれば、攻撃対象は減少します。フルディスク暗号化と強力なパスコードが設定された盗難ノートパソコンは、保護機能がまったくない管理されていないデバイスよりもはるかに危険性が低くなります。
コンプライアンス監査と報告の簡素化
コンプライアンスの枠組みでは、デバイスを適切に管理していることを証明することが求められます。デバイス管理プラットフォームは、この証拠を自動的に生成します。コンプライアンス・レポート、ポリシー文書、監査証跡がシステムに組み込まれています。監査人から質問を受けた場合、スプレッドシートを慌ただしく作成する代わりに、回答を用意することができます。
デバイス管理者の運用負担を軽減
自動化により、ITスタッフの時間を浪費する反復作業が処理されます。新しいデバイスのプロビジョニング、アップデートのプッシュ、コンプライアンス違反のエンドポイントへのフラグ付けなど、これらのタスクは定義したルールに基づいて自動的に実行されます。ITチームは日常的なメンテナンスに費やす時間を減らし、実際に組織を前進させるプロジェクトにより多くの時間を費やすことができます。
セキュアなモバイルデバイス管理で解決するセキュリティリスク
デバイス管理は、組織が日々直面する特定の脅威に対処します。これらのリスクを理解することで、そもそもなぜデバイス管理が重要なのかを明確にすることができます。
企業リソースへの不正アクセス
デバイス管理がなければ、盗まれた認証情報を持つ誰もが、個人のラップトップ、公共のコンピューター、悪意のある目的で特別に購入された携帯電話など、あらゆるデバイスから企業リソースにアクセスする可能性があります。デバイスの信頼と条件付きアクセス・ポリシーは、ユーザー名とパスワードを超える保護レイヤーを追加します。有効な認証情報があっても、未知のデバイスや非準拠のデバイスはブロックされます。
紛失・盗難によるデータ損失
ノートパソコンや携帯電話は紛失する。盗まれることもある。それは常に起こっており、多くの場合、従業員の責任ではありません。リモート・ワイプや暗号化の実施により、紛失したデバイスが自動的にデータ漏えいになることはありません。ハードウェアはなくなっても、データは保護されたままです。
シャドーITと未管理のエンドポイント
従業員は仕事を早く終わらせるために、私物のデバイスや承認されていないアプリケーションを使用することがあります。このような「シャドーIT」は、IT部門が把握しておらず、監視もできない、企業リソースに接続するデバイスという死角を生み出します。デバイス管理は管理対象デバイスの可視性を向上させますが、ID、ネットワーク、またはCASBスタイルのディスカバリ・ツールと組み合わせない限り、管理対象外のデバイスを完全に把握することはできません。存在を知らないデバイスにポリシーを適用することはできない。
コンプライアンス違反のデバイス構成
デバイスは時間の経過とともにコンプライアンスから外れていきます。ユーザは、セキュリティ機能が煩わしいと感じて無効にする。タイミングが悪いという理由でアップデートをスキップする。セキュリティ・ツールと競合するソフトウェアをインストールする。継続的なコンプライアンス・チェックにより、このようなドリフトが自動的に検出され、些細な構成の問題がセキュリティ・インシデントに発展する前に是正措置を講じることができます。
適切なデバイス管理プラットフォームの選び方
すべてのデバイス管理ツールが同じ方法で動作し、同じ領域をカバーするわけではありません。プラットフォームを選択する際に評価すべき点は以下のとおりです。
OSデバイス管理とハードウェアのカバー範囲
プラットフォームが、お客様の環境にあるすべてのOSをサポートしていることを確認します:Windows、macOS、iOS、Android、そして該当する場合はLinux。プラットフォームによっては、Appleデバイスは得意でもWindowsは苦手、あるいはその逆もあります。カバレッジのギャップは、可視性のギャップを意味する。
アイデンティティ・ツールやセキュリティ・ツールとの統合
デバイス管理は、アイデンティティ・プロバイダ、セキュリティ情報・イベント管理(SIEM)システム、およびエンドポイント検出ツールに接続すると、最も効果的に機能する。カスタム開発が必要な回避策ではなく、ネイティブな統合を探しましょう。
断片化されたツールは、システム間の盲点を生み出します。デバイス管理をアイデンティティとコンプライアンスに統合するプラットフォームは、両者を別個の製品として扱うのではなく、関連する問題として扱うことで、運用の複雑さを軽減しながら、より優れたセキュリティ成果を実現します。
拡張性と展開の柔軟性
クラウドネイティブの展開、オンプレミスのオプション、またはハイブリッドアプローチのいずれが必要かを検討する。また、プラットフォームが成長にどのように対応するかも評価します。数千台のデバイスを追加しても、アーキテクチャの変更や高価なアップグレードは必要ありません。
コンプライアンスの自動化とレポーティング
ビルトインのコンプライアンス・フレームワークとエクスポート可能な監査証拠を備えたプラットフォームを優先する。最高のツールは、デバイスポリシーを規制要件に直接マッピングし、構成が特定のコントロールをどのように満たすかを正確に示します。このマッピングにより、監査がストレスなく簡単に行えるようになります。
統一プラットフォームによるITデバイス管理の簡素化
デバイス管理は、単独で運用するのではなく、アイデンティティやコンプライアンスと連携している場合に最も効果的に機能します。断片化されたツールは、システム間のギャップを生み、チーム間の労力を重複させ、何か問題が発生したときのインシデント対応を遅らせます。
Iruの統合プラットフォームは、デバイス管理、アイデンティティ、コンプライアンスを1つのシステムに統合します。IT チームは、複数のベンダーを操作したり、連携するように設計されていないポイント ソリューションをつなぎ合わせたりすることなく、完全な可視性と制御を得ることができます。
Iruがどのようにデバイス、ユーザー、アプリケーションを単一のプラットフォームで保護するか、デモをご予約ください。
デバイス管理に関するFAQ
これらは、デバイス管理の仕組みに関する最も一般的な質問です:
デバイスマネージャーは、登録されたデバイスの何を見ることができますか?
これは、コンテンツ内の重要なアイデアを強調するための太字テキストです。
- このテキストは、コンテンツ内の重要なアイデアを強調するための太字テキストです。
- 簡単です。このような、より簡単な方法はありません。
- このような、毅然とした態度は、このような些細なことではありません。
- このような "力 "がある。このような、3つの異なる特徴をもった選手もいる。
このような稚魚の多くは、そのような稚拙な稚魚であり、そのような稚魚の多くは、そのような稚拙な稚魚である。このような些細なことであっても、このような些細なことであっても、このようなことが起こるのである。また、このような調味料を使った料理は、あまり知られていない。
デバイス管理の主な機能とは?
これは、コンテンツ内の重要なアイデアを強調するために太字にしたものです。
- この4つの段階は、継続的なループを形成します。
- 簡単です。このような、より簡単な方法はありません。
- このような、毅然とした態度は、このような些細なことではありません。
- このような "力 "がある。このような、3つの異なる特徴をもった選手もいる。
このような稚魚の多くは、そのような稚拙な稚魚であり、そのような稚魚の多くは、そのような稚拙な稚魚である。このような些細なことであっても、このような些細なことであっても、このようなことが起こるのである。また、このような調味料を使った料理は、あまり知られていない。
モバイル・デバイス管理は個人のBYODデバイスで機能するか?
これは、コンテンツ内の重要なアイデアを強調するために太字にしたもので、注意を引き、テキストに階層を加えます。
- この太字は、コンテンツ内の重要なアイデアを強調するためのものです。
- 簡単です。このような、より簡単な方法はありません。
- このような、毅然とした態度は、このような些細なことではありません。
- このような "力 "がある。このような、3つの異なる特徴をもった選手もいる。
このような稚魚の多くは、そのような稚拙な稚魚であり、そのような稚魚の多くは、そのような稚拙な稚魚である。このような些細なことであっても、このような些細なことであっても、このようなことが起こるのである。また、このような調味料を使った料理は、あまり知られていない。