Skip to content

デバイス管理はどのように機能するのか

ITチームのためのデバイス管理ガイド

デバイス管理とは、ノートPC、スマートフォン、タブレットなど、組織のエンドポイントを登録、設定、保護、監視するプロセスを指します。これらはすべて、単一の集中管理プラットフォームから実行されます。デバイスが本社オフィスにあっても、世界のどこかの自宅オフィスにあっても、企業データにアクセスするすべてのデバイスに対してITチームが可視性と統制を維持するための仕組みです。

要点(TL;DR)

本記事では、デバイス管理が実際にどのように機能するのか、その基盤となる主要コンポーネント、そして組織のニーズに適したプラットフォームをどのように評価すべきかについて解説します。

デバイス管理の仕組み

デバイス管理は一般的に「サーバー・エージェントモデル」と呼ばれる仕組みに基づいて動作します。
一方には、IT管理者がポリシーを作成したりデバイスの状態を確認したりする管理サーバーがあります。
もう一方には、各エンドポイントにインストールされた軽量なソフトウェアエージェントがあり、そのエージェントがポリシーを受け取り、実行し、その結果をサーバーへ報告します。

現在のデバイス管理では、OSベンダーがデバイス上にネイティブの「エージェント」を組み込んで提供していることが多く、それらは管理フレームワークやプロトコルを通じて操作されます(これに加えて、Iruのようなサードパーティベンダーが独自のエンドポイントエージェントを開発し、配布する場合もあります)。モバイルデバイス(iOSやAndroid)の場合は、ほとんどの場合、MDMベンダー独自のエージェントではなく、OSに組み込まれた管理フレームワークやプロトコルに依存して管理が行われます。

このプロセスは、一度設定して終わるものではなく、継続的なサイクルとして動作します。デバイスは定期的に管理サーバーへ接続し、最新の設定を受信し、コンプライアンス情報をサーバーへ送信します。この継続的な通信により、デバイスがネットワーク、場所、利用者の間を移動しても、ITチームは管理と統制を維持することができます。

なお、デバイスのチェックイン頻度や動作は、OSや管理モデルによって異なります。常に定期的なポーリングを行う仕組みだけでなく、イベントベースやプッシュ通知によって動作するプラットフォームやOSバージョンも存在します。

デバイス登録 (Enrollment)

デバイスを管理するには、まず管理プラットフォームへ参加させる必要があります。このステップは「登録(Enrollment)」と呼ばれ、デバイスの所有形態や組織の運用方法によって方法が異なります。

会社支給デバイスの場合、登録はApple Business Manager、Windows Autopilot、Android Zero-Touch Enrollmentなどの仕組みを通じて自動的に行われることが一般的です。新しいノートPCが従業員へ直接配送され、初めて電源を入れると自動的に管理サーバーへ接続し、必要な設定をダウンロードします。IT部門が手動で作業する必要はありません。

BYOD(個人デバイスの業務利用)の場合、登録は通常ユーザ自身が行います。セルフサービスポータルにアクセスしたり、QRコードを読み取ったり、リンクから管理プロファイルをインストールすることで登録が行われます。この方法により、従業員が一定のコントロールを保ちながらも、IT部門はそのデバイスを可視化し管理できるようになります。

ポリシー設定と展開

デバイスが登録されると、ITチームはOTA(Over-the-Air)で設定プロファイルをデバイスへ配布します。これらのプロファイルには、実際に適用される設定や制限が含まれています。たとえば次のような内容です。

  • Wi-FiやVPN設定: ユーザが手動で認証情報を入力しなくても、企業ネットワークへ自動的に接続できるようにします。
  • パスコード要件: パスコードの最小文字数、複雑さ、更新期限などのルールを強制します。
  • アプリケーション制限: 特定のアプリケーションをブロックしたり、特定のセキュリティツールのインストールを必須にしたりします。
  • 暗号化設定: デバイスが機密リソースへアクセスする前に、ディスク暗号化が有効になっていることを確認します。

ポリシーは組織内のすべてのデバイスに一括適用することもできますし、特定のグループに対してのみ適用することも可能です。たとえば、エンジニアリングチームと営業チームでは異なる要件を設定することができます。この柔軟性により、役割ごとにセキュリティと使いやすさのバランスを取ることができます。

継続的な監視とコンプライアンスチェック

デバイス管理は初期設定で終わるものではありません。管理プラットフォームは各エンドポイントを継続的に監視し、定義されたポリシーに照らして評価します。具体的には、OSのバージョン、暗号化の状態、セキュリティソフトが稼働しているかどうかなどを確認します。

このリアルタイム監視こそが、従来のインベントリ管理(スプレッドシートなど)と現代のデバイス管理の大きな違いです。四半期ごとの監査で問題を発見するのではなく、デバイスがコンプライアンスから外れた瞬間に把握できます。システムは問題を検出すると、警告を表示したりユーザへ通知したり、問題が解決されるまでアクセスを自動的に制限することも可能です。

一般的なコンプライアンスチェックには、サポートされているOSバージョンで動作しているかの確認、ディスク暗号化が有効であることの確認、ジェイルブレイクまたはルート化されたデバイスの検出、必要なアプリケーションがインストールされているかの確認などが含まれます。

リモート操作と脅威のリメディエーション

問題が発生した場合でも、ITチームはデバイスに物理的に触れることなく対応できます。この機能は、従業員が最寄りのIT拠点から何千キロも離れた場所で働いている分散型の職場環境において特に重要です。

一般的なリモート操作には次のようなものがあります。

紛失が報告された場合にデバイスを即座にロックする
不正アクセスを防ぐために企業データ(またはデバイス全体)を消去する
ソフトウェアアップデートやセキュリティパッチを配布する
デバイスが再びコンプライアンスを満たすまで企業アプリへのアクセスを停止する

ここでは対応の速さが重要です。たとえば空港で置き忘れられたノートPCも、紛失の報告があってから数分以内にワイプすることができます。これにより、第三者がデータにアクセスする前に情報を保護できます。

ただし、デバイスを即時または数分以内にロックまたはワイプできるのは、デバイスがオンラインで接続可能な状態にある場合です。デバイスがオフラインの場合、これらの操作は通常キューに登録され、次にネットワークへ接続した時点で実行されます。

デバイス管理ツールの主要コンポーネント

デバイス管理の基本構成を理解することで、さまざまなプラットフォームを評価したり、問題が発生した際にトラブルシュートを行いやすくなります。システムを機能させるためには、主に4つのコンポーネントが連携して動作します。

管理サーバーと管理コンソール

管理サーバーは、デバイス管理の中心となるハブであり、デバイスインベントリ、ポリシー定義、コンプライアンスデータなどを保存します。管理コンソール(通常はWebベースのインターフェース)は、ITチームが実際に作業を行う場所です。ここでポリシーの作成、レポートの確認、デバイスのグループ化、個別のエンドポイントへの操作などを実行します。

管理サーバーを「頭脳」、管理コンソールを「操作パネル」と考えるとわかりやすいでしょう。すべての管理処理は、この中央ポイントを通じて行われます。

デバイスエージェントと構成プロファイル

エージェントは、各エンドポイントにインストールされる小さなソフトウェアです。デバイスと管理サーバーの間の通信を担当し、ポリシー更新を受信したり、デバイスの状態情報をサーバーへ送信したりします。構成プロファイルは、デバイスへ適用される実際の設定パッケージであり、Wi-Fi認証情報、セキュリティポリシー、アプリ設定などが含まれます。

モバイルデバイスでは、これらのエージェントは従来のインストール型ソフトウェアではなく、OSに組み込まれた管理フレームワークとして提供されることが多くあります。これらはAppleのMDMプロトコルやAndroidのDevice Policy Controllerなど、OSの管理フレームワークと統合されています。一方、ノートPCやデスクトップでは、通常バックグラウンドサービスとしてエージェントが動作します。

ポリシーエンジンと自動化ルール

ポリシーエンジンは、特定の条件が満たされたときにどのような処理を実行するかを決定するロジック層です。たとえば、OSのバージョンが最新より2世代以上遅れているデバイスについて、メールへのアクセスを自動的にブロックするルールを設定することができます。また、30日間チェックインしていないデバイスを検出した際にアラートを発生させることも可能です。なお、実際の運用では、OSバージョンに基づいてメールアクセスを制御するようなケースは、デバイス管理ツール自体ではなく、デバイスのコンプライアンス情報を利用するID管理や条件付きアクセスシステムによって実行されることが一般的です。

このような自動化により、手作業による管理を減らし、一貫したポリシー適用を実現できます。IT担当者がすべてのデバイスを個別に確認する必要はなく、システムが日常的な判断や処理を自動的に実行します。

レポートおよび分析ダッシュボード

コンテキストがなければ、生のデータはあまり役に立ちません。レポートダッシュボードは、組織全体のデバイス群からデータを集約し、コンプライアンス率、デバイスの健全性の傾向、セキュリティ状況の推移などを可視化します。

これらのレポートには主に2つの目的があります。1つ目は、ITチームが問題を把握し、対応の優先順位を決めるための情報を提供することです。2つ目は、SOC 2、HIPAA、ISO 27001などのコンプライアンスフレームワークに対する監査証跡を提供することです。監査担当者からデバイス管理の方法を問われた際には、どのポリシーが設定されているか、どのデバイスがコンプライアンスを満たしているかを具体的に示すことができます。

デバイス管理ソリューションの種類

デバイス管理の分野は、この10年で大きく進化しました。もともとはスマートフォンの基本的な管理から始まりましたが、現在では組織が使用するあらゆるエンドポイントを対象とするまでに拡張されています。

種類 対象範囲 最適な利用ケース
モバイルデバイス管理(MDM) スマートフォンおよびタブレット 主にモバイルデバイスを管理する組織
エンタープライズモビリティ管理(EMM) モバイルデバイスに加えてアプリとコンテンツ 特にBYOD環境でアプリ単位の管理が必要な企業
統合エンドポイント管理(UEM) デスクトップ、ノートPC、IoTを含むすべてのエンドポイント 複数のOSにまたがるデバイス群を包括的に管理する組織

モバイルデバイス管理 (MDM) ソフトウェア

MDMは、スマートフォンやタブレットを管理するための基本的なアプローチです。iOS、AndroidなどのモバイルOSを対象に、デバイス設定、アプリ配布、セキュリティポリシーの管理を行うことができます。

MDMプラットフォームでは、パスコードの強制、Wi-Fi設定の配布、アプリの展開、紛失したデバイスのリモートワイプなどを実行できます。ただし、従来のMDMはモバイルエンドポイントに特化しており、ノートPCやデスクトップの管理には対応していません。これらのデバイスは多くの場合、組織にとってより大きなセキュリティリスクとなる可能性があります。

エンタープライズモビリティ管理 (EMM)

EMMは、MDMを拡張し、モバイルアプリケーション管理(MAM)やモバイルコンテンツ管理(MCM)を追加したものです。MAMを利用することで、デバイス全体を管理することなく、特定のアプリ内の企業データのみを管理することができます。

この違いはBYOD環境において特に重要です。従業員は個人のスマートフォンをIT部門に完全管理されることを望まない場合がありますが、業務用メールアプリや企業ドキュメントなど、仕事用アプリのみを管理されることには抵抗が少ないことが多いです。EMMはこの境界を明確にし、個人のプライバシーを尊重しながら企業データを保護します。

統合エンドポイント管理 (UEM)

UEMは最も包括的なアプローチであり、ノートPC、デスクトップ、モバイルデバイス、IoTデバイスを単一のプラットフォームで管理します。デバイスの種類ごとに別々のツールを使用するのではなく、ITチームはすべてのデバイスを1つのコンソールから管理できます。

この統合は、現代の働き方を反映しています。従業員は1日の中でスマートフォン、タブレット、ノートPCを切り替えながら、同じアプリケーションやデータへアクセスします。これらのデバイスを個別に管理すると、セキュリティの抜け漏れや運用の重複が発生します。UEMプラットフォーム、そしてIruのようにデバイス管理をID管理やコンプライアンスと統合するソリューションは、この分断を直接的に解消します。

ITチームにとってのモバイルデバイス管理のメリット

デバイス管理は、単なる抽象的なセキュリティ強化にとどまらず、ITチームに具体的な価値をもたらします。デバイス管理を導入することで得られる主なメリットは次のとおりです。

すべてのエンドポイントを一元的に可視化

「見えないものは守れない」という原則があります。デバイス管理を導入すると、登録されているすべてのエンドポイントについて、ハードウェア仕様、インストールされているソフトウェア、OSバージョン、コンプライアンス状態などをリアルタイムで把握できます。この可視性はあらゆる運用の基盤となります。セキュリティ判断、予算計画、インシデント対応のいずれも、環境内にどのようなデバイスが存在しているかを把握していることが前提になります。

より強固なセキュリティ体制と脅威の予防

暗号化の強制、パスコード要件、リモートワイプなどの機能により、データ侵害のリスクを具体的に低減できます。すべてのデバイスが一定のセキュリティ基準を満たすことで、攻撃対象となる範囲(アタックサーフェス)は小さくなります。たとえば、フルディスク暗号化と強力なパスコードが設定された盗難ノートPCは、何の保護もない未管理デバイスと比べてはるかにリスクが低くなります。

コンプライアンス監査とレポート作成の簡素化

コンプライアンスフレームワークでは、デバイスが適切に管理されていることを示す証拠が求められます。デバイス管理プラットフォームは、コンプライアンスレポート、ポリシー文書、監査ログなどの証跡を自動的に生成します。監査担当者から質問された場合でも、スプレッドシートを急いで作成する必要はなく、必要な情報をすぐに提示できます。

デバイス管理者の運用負荷を軽減

自動化により、ITスタッフの時間を消費する反復的な作業を削減できます。新しいデバイスのプロビジョニング、アップデートの配布、コンプライアンス違反のデバイスの検出といった作業は、定義したルールに基づいて自動的に実行されます。ITチームは日常的なメンテナンスに費やす時間を減らし、組織の成長に貢献する戦略的なプロジェクトに集中できます。

安全なモバイルデバイス管理によって解決できるセキュリティリスク

デバイス管理は、組織が日常的に直面する具体的な脅威に対応します。これらのリスクを理解することで、なぜデバイス管理が重要なのかが明確になります。

企業リソースへの不正アクセス

デバイス管理がない場合、認証情報が盗まれると、個人のノートPCや公共のコンピュータ、さらには攻撃目的で用意されたスマートフォンなど、どのデバイスからでも企業リソースにアクセスできてしまいます。デバイスの信頼性や条件付きアクセスのポリシーを導入することで、ユーザ名とパスワードだけに依存しない追加の防御層を構築できます。たとえ正しい認証情報であっても、未知のデバイスやコンプライアンスを満たしていないデバイスからのアクセスはブロックされます。

紛失・盗難デバイスによるデータ漏えい

ノートPCやスマートフォンは紛失したり盗難に遭ったりするものです。これは珍しいことではなく、従業員の責任ではない場合も多くあります。リモートワイプや暗号化の強制によって、デバイスが失われても自動的にデータ漏えいにつながらないようにできます。ハードウェアが失われても、データは保護されたままです。

シャドーITと未管理デバイス

従業員が作業を早く進めるために、個人デバイスや未承認アプリを利用することがあります。こうした「シャドーIT」は、IT部門が把握していないデバイスが企業リソースへ接続する状況を生み、可視性の欠如を招きます。デバイス管理は管理対象デバイスの可視性を高めますが、ID管理、ネットワーク監視、CASBなどの検出ツールと組み合わせない限り、未管理デバイスを完全に把握することはできません。存在を把握できないデバイスにはポリシーを適用できないからです。

コンプライアンスから逸脱したデバイス設定

デバイスは時間の経過とともにコンプライアンスから逸脱する可能性があります。ユーザがセキュリティ機能を無効化したり、更新を後回しにしたり、セキュリティツールと競合するソフトウェアをインストールしたりすることがあります。継続的なコンプライアンスチェックは、このような逸脱を自動的に検出し、小さな設定ミスがセキュリティインシデントへ発展する前に修正対応を行うことができます。

適切なデバイス管理プラットフォームの選び方

すべてのデバイス管理ツールが同じ機能や範囲を提供しているわけではありません。プラットフォームを選定する際には、次のポイントを評価する必要があります。

OS管理とハードウェア対応範囲

環境内で使用しているすべてのOS(Windows、macOS、iOS、Android、必要に応じてLinux)をサポートしているかを確認します。Appleデバイスの管理に強いがWindowsに弱い、またはその逆といったツールもあります。対応範囲にギャップがあると、可視性にもギャップが生じます。

アイデンティティ管理およびセキュリティツールとの連携

デバイス管理は、IDプロバイダー、SIEM(Security Information and Event Management)、エンドポイント検知ツールなどと連携することで効果を最大化します。カスタム開発が必要な回避的な連携ではなく、ネイティブ統合を提供しているかを確認することが重要です。

分断されたツール環境では、システム間に可視性の欠落が生じます。デバイス管理、ID管理、コンプライアンスを別製品として扱うのではなく統合的に扱うプラットフォームは、運用の複雑さを増やすことなく、より高いセキュリティ効果を実現できます。

スケーラビリティと導入形態の柔軟性

クラウドネイティブ型、オンプレミス型、またはハイブリッド型など、どの導入モデルが必要かを検討します。また、組織の成長にどのように対応できるかも重要です。数千台のデバイスを追加しても、アーキテクチャの変更や高額なアップグレードが必要にならないことが理想です。

コンプライアンス自動化とレポート機能

コンプライアンスフレームワークが組み込まれており、監査証跡をエクスポートできるプラットフォームを優先するとよいでしょう。優れたツールは、デバイスポリシーを規制要件へ直接マッピングし、どの設定がどのコントロール要件を満たしているのかを明確に示します。この仕組みにより、監査対応が大きな負担ではなく、比較的容易な作業になります。

統合プラットフォームでITデバイス管理を簡素化

デバイス管理は、単独で運用するよりも、ID管理やコンプライアンス管理と連携している場合に最も効果を発揮します。ツールが分断されていると、システム間に可視性のギャップが生じ、チーム間で作業が重複し、問題が発生した際のインシデント対応も遅くなります。

Iruの統合プラットフォームは、デバイス管理、ID管理、コンプライアンスを1つのシステムに統合します。ITチームは複数のベンダーを管理したり、本来連携を前提としていないツールを組み合わせたりすることなく、完全な可視性とコントロールを得ることができます。

Iruが単一のプラットフォームでデバイス、ユーザ、アプリケーションをどのように保護するのか、ぜひデモでご確認ください

デバイス管理に関するよくある質問 (FAQ)

以下は、デバイス管理の仕組みに関してよく寄せられる質問です。

登録されたデバイス上でデバイス管理者は何を見ることができますか?
デバイス管理者は、ハードウェア情報、インストールされているアプリケーション、OSバージョン、暗号化の状態、コンプライアンス状況などを確認できます。BYODデバイスでワークプロファイルが設定されている場合、IT部門は写真、メッセージ、閲覧履歴などの個人データにはアクセスできません。管理および可視化の対象となるのは、企業用コンテナのみです。
デバイス管理の主な機能は何ですか?
主な機能は、登録(デバイスをプラットフォームに追加する)、設定(設定やポリシーを適用する)、監視(コンプライアンスやデバイスの状態を確認する)、リメディエーション(コンプライアンス違反や侵害されたデバイスに対して対応する)の4つです。これらの4つの段階は、一度きりの作業ではなく、継続的なサイクルとして機能します。
モバイルデバイス管理は個人所有のBYODデバイスでも利用できますか?
はい。多くのMDMプラットフォームは、ワークプロファイルやコンテナ機能を通じてBYODに対応しています。これにより、企業データと個人データを分離することができます。IT部門は業務用アプリやデータを管理できますが、個人のコンテンツにはアクセスしません。また、従業員が退職した場合でも、デバイス全体を消去することなく、企業データのみを削除することが可能です。
新しいデバイスのMDM登録にはどれくらい時間がかかりますか?
通常、登録は数分以内に完了します。ユーザはガイドに従って管理プロファイルをインストールし、その後ポリシーはOTA(Over-the-Air)で自動的に適用されます。ゼロタッチ登録を利用する会社支給デバイスの場合、従業員の手元に届く前にすでに設定が完了していることもあります。
IT管理者はデバイス管理を通じて従業員の位置情報を追跡できますか?

位置情報の追跡は、組織が有効化している場合に限り、登録されたデバイスで技術的には可能です。ただし、その可否はOSの権限設定、デバイスの所有形態、ユーザの同意に大きく依存します。プラットフォームによっては、有効化していても正確に位置情報を取得できない場合があります。

たとえばAppleでは、会社支給デバイスであっても、MDMベンダーがエージェントに対する位置情報アクセスの許可を強制することはできません。Appleはエンドユーザのプライバシーを重視しているため、ユーザ自身が位置情報の利用を無効化することが可能です。

そのため、多くの企業ではプライバシーの観点から常時の位置追跡は行わず、紛失時のデバイス回収など特定の用途に限って位置情報機能を有効化しています。位置情報に関するポリシーは、組織ごとに大きく異なります。

最新情報をお届け

ITおよびセキュリティチームが常に先を行くための、Iruによる週次の最新記事、動画、リサーチをお届けします。