従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
MDM、EMM、UEMを理解する:違いとユースケース
かつてデバイスの管理は、ハードウェアを管理すればそれで済むというシンプルなものでした。その後、スマートフォンが登場し、従業員はどこからでも仕事をするようになり、ITチームは突然、携帯電話、ラップトップ、タブレット、IoTデバイスを、多くの場合、それぞれに異なるツールを使って管理することになった。
TL;DR
MDM、EMM、UEMは、この問題に対する3世代のソリューションであり、それぞれが前者を発展させたものです。このガイドでは、各アプローチが何をするのか、どのように異なるのか、そしてどれが組織のニーズに合うのかを説明します。
モバイルデバイス管理(MDM)とは
MDM、EMM、UEMは、組織がデバイスを管理する方法における3つの段階を表しています。MDMが最初に登場し、パスコード、暗号化、リモートワイプなどの基本的なデバイスセキュリティに焦点を当てました。EMMは、アプリケーションやコンテンツにまでアプローチを拡大し、業務データと個人データを分離するコンテナ化を導入した。UEMは、モバイル・デバイス、デスクトップ、ラップトップ、IoTなど、あらゆる種類のエンドポイントを単一のコンソールで管理し、多くの場合、ゼロ・トラスト・セキュリティの原則を取り入れることで、さらなる進化を遂げた。
モバイルデバイス管理は、スマートフォンがオフィスに普及し始めた2000年代後半に登場した。従業員が個人のiPhoneやBlackBerryを会社の電子メールに接続しており、それらを保護する方法がなかったのだ。MDMは、デバイスを登録し、セキュリティ設定をプッシュし、何か問題が発生した場合に対処するための一元化されたコンソールをIT部門に提供することで、その解決策を提供した。
MDMのコア機能
MDMは、ITチームに4つの重要な機能を提供する。まず、デバイスの登録では、スマートフォンやタブレットを管理コンソールに登録します。第二に、ポリシーの適用により、パスコード、暗号化設定、Wi-Fiプロファイルなどのセキュリティ設定が、登録されたすべてのデバイスに適用されます。
第三に、リモート・アクションにより、IT部門は紛失や盗難にあったデバイスをロック、ワイプ、検索できる。そして4つ目は、デバイスのハードウェア、オペレーティング・システムのバージョン、インストールされているアプリケーションの可視性を維持するインベントリー・トラッキングです。これらの機能を組み合わせることで、企業はモバイル・フリートに対するコントロールを得ることができる。
MDM の限界と BYOD の台頭
MDMが問題に直面するのは、デバイス全体を管理することです。従業員が個人所有の携帯電話を仕事に使い始めたとき、BYOD(Bring Your Own Device)と呼ばれるトレンドが発生しました。
従業員の立場で考えてみよう。個人の携帯電話を紛失し、IT部門が遠隔操作でそれを消去した場合、会社の電子メールとともに家族の写真や音楽ライブラリ、個人用アプリも失うことになる。これでは売れない。従業員は個人所有のデバイスを登録することに抵抗があり、ITチームはセキュリティ要件と従業員の反発の間で身動きが取れなくなっていた。業界は、より微妙なソリューションを必要としていました。
エンタープライズモビリティ管理(EMM)とは
エンタープライズモビリティ管理は、アプリケーション、コンテンツ、アイデンティティのレイヤーを追加することで、MDMの上に構築されます。EMM は、デバイス全体を制御する代わりに、企業データとアプリケーションだけを保護し、個人情報は保護しません。
この違いは重要だ。EMM を使用することで、IT 部門は所有者の写真、ソーシャル・メディア・アプリ、個人的な電子メールに触れることなく、個人の携帯電話上の企業リソースを保護できます。このトレードオフにより、BYODプログラムが初めて実用化されたのです。
EMM デバイス管理が MDM を超える方法
EMM には、MDM が提供するすべてのものに加え、3 つの管理レイヤーが追加されています:
-
モバイル・アプリケーション管理(MAM):モバイル・アプリケーション管理(MAM):どのアプリが企業データにアクセスできるかを制御し、業務アプリと個人アプリ間のコピー・ペーストの防止など、アプリケーション・レベルでのポリシーを実施する。
注:このコントロールはプラットフォームやアプリに依存する(多くの場合、マネージド・アプリ/アプリSDKのサポートやOSレベルのマネージド・アプリ・ポリシーが必要)。すべてのアプリで普遍的に利用できるわけではない。
-
モバイルコンテンツ管理(MCM):モバイルデバイス上でのドキュメント共有、保存、およびコラボレーションの保護
-
モバイルアイデンティティ管理(MIM):ユーザーを認証し、企業リソースへのアクセスを管理する。
これらのレイヤーが連携することで、仕事とプライベートの境界を尊重した、より柔軟なモバイルセキュリティのアプローチが実現します。
モバイル・アプリケーション管理
MAMは、デバイスそのものではなく、個々のアプリケーションに焦点を当てます。IT部門は、企業アプリケーションをデバイスにプッシュし、リモートで設定し、それらのアプリケーションの動作を管理するポリシーを設定することができる。
例えばMAMは、誰かが仕事のEメールからテキストをコピーして、個人的なメッセージングアプリに貼り付けるのを防ぐことができる。あるいは、誰かが企業アプリを開くたびに認証を要求することもできる。従業員が退社する際、IT 部門はデバイス上の他のものには一切触れることなく、管理対象のアプリケーションとそのデータだけを削除します。
BYODセキュリティのためのコンテナ化
コンテナ化により、デバイス上に暗号化されたワークスペースが作成され、企業データは個人データから完全に分離されます。携帯電話内の安全な保管庫をイメージしてください。コンテナ内のすべてが IT 管理下にあり、外部にあるものはプライベートなままです。
この分離により、組織は従業員のプライバシーを尊重しながら、業務データに対して厳格なセキュリティ・ポリシーを適用することができる。IT部門が企業データを消去する必要がある場合は、コンテナだけを消去します。個人の写真、アプリ、メッセージはそのまま残ります。
統合エンドポイント管理(UEM)とは
統合エンドポイント管理は、EMMのアプローチをモバイル・デバイスだけでなく、すべてのエンドポイント・タイプに拡張します。デスクトップ、ラップトップ、タブレット、IoTデバイス、ウェアラブルのすべてが1つの管理の傘下に入る。
UEMの背後にある論理は単純だ。現代の職場はスマートフォンだけで動いているわけではない。従業員は通勤中にスマホでメールをチェックし、オフィスではラップトップで仕事をし、自宅ではデスクトップでプロジェクトを終わらせるかもしれない。それぞれのデバイスを別々のツールで管理することは、複雑さ、一貫性のないポリシー、セキュリティ・ギャップを生み出します。
EMMを超える機能
UEMは、EMMに欠けている管理機能を追加します。パッチ管理は、Windows、macOS、Linux マシンのオペレーティングシステムを常に最新の状態に保ちます。ソフトウェアデプロイメントにより、デスクトップやラップトップにアプリケーションをプッシュします。より高度な構成管理は、モバイルに特化したツールでは対応する必要のなかった設定にも対応する。
真の価値は統合である。ITチームは、セキュリティ・ポリシーを一度設定すれば、Windowsラップトップ、macOSデスクトップ、iOS携帯電話、Androidタブレットに、すべて同じコンソールから適用できる。複数のオペレーティング・システム間で機能が完全に一致することは稀である。多くのポリシーには、OS固有の同等物が必要だ。一般的に、1つのポリシーインテントをOS固有の実装にマッピングする必要があることがある。
UEMが管理するエンドポイント
一般的なUEMプラットフォームでは、さまざまな種類のデバイスを扱います:
- iOSやAndroidを搭載したスマートフォンやタブレット
- Windows、macOS、Linux上のラップトップとデスクトップ
- デジタルサイネージ、センサー、キオスク端末などのIoTデバイス
- 現場作業で使用されるウェアラブルデバイスや堅牢なデバイス
この幅の広さは、現代のエンドポイント環境がいかに多様化しているかを反映している。1つの組織で、何十ものフォームファクタにまたがる何千ものデバイスが存在する可能性がありますが、UEMはそれらすべてを1つのビューに集約します。
MDM対EMM対UEMの主な違い
MDM、EMM、UEMの違いは、スコープに集約される。3つのアプローチを比較してみましょう:
| 機能 | MDM | EMM | UEM |
|---|---|---|---|
| デバイスレベルの制御 | ✓ | ✓ | ✓ |
| アプリケーション管理 | - | ✓ | ✓ |
| コンテンツ管理 | - | ✓ | ✓ |
| アイデンティティ管理 | - | ✓ | ✓ |
| デスクトップとラップトップの管理 | - | - | ✓ |
| IoTとウェアラブル | - | - | ✓ |
| すべてのエンドポイントに単一のコンソール | 限定的 | モバイルのみ | すべてのエンドポイント |
違いを覚える最も簡単な方法MDMはデバイスを管理し、EMMはモバイルエクスペリエンスを管理し、UEMはすべてを管理します。
MDM、EMM、UEMの選択方法
適切な選択は、デバイスの状況、所有モデル、セキュリティ要件によって異なります。普遍的な答えはなく、それぞれのアプローチが異なる組織のニーズに適合します。
MDMを選択する場合
MDMは、企業所有のモバイル・デバイスをIT部門が完全に管理している組織に適しています。従業員が個人データを業務用デバイスに保存せず、スマートフォンやタブレットだけで構成されている場合、MDMは不必要な複雑さを伴わない、わかりやすい管理を提供します。
例えば、小売チェーンで従業員が会社所有のタブレットを使用している場合、EMMやUEMのような追加レイヤーは必要ないでしょう。
EMM を選択する場合
EMM は、BYOD をサポートする組織や、アプリケーションやコンテンツのきめ細かな管理を必要とする組織に適しています。従業員が私物のデバイスを業務用の電子メールやアプリケーションに使用する場合、プライバシーを尊重しながら企業データを保護するためにコンテナ化が不可欠になる。
企業所有のデバイスと個人所有のデバイスが混在する中堅企業では、通常、EMM の柔軟性が役立ちます。
UEM を選択するタイミング
UEM は、多様なエンドポイントを管理し、統合された可視性とポリシーの適用を求める企業に適しています。ラップトップ、デスクトップ、モバイルデバイス、そしておそらく IoT エンドポイントなどの環境を個別に管理すると、運用上のオーバーヘッドや潜在的なセキュリティギャップが生じます。
大企業や分散したワークフォースでは、複数の管理ツールを使いこなすよりも、UEMの統一されたアプローチの方が効率的であることが一般的です。
MDM、EMM、UEMの使用例
それぞれのソリューションがどのような場合に意味を持つかは、実際のシナリオを見れば一目瞭然です。
企業所有のデバイスフリート向け MDM
ある物流会社は、ルートナビゲーションや荷物のスキャン用に、配送ドライバーに会社所有のスマートフォンを持たせている。デバイスに個人データが保存されることはなく、IT部門がアップデート、セキュリティポリシー、デバイス紛失時のリモートワイプを行います。MDM は、アプリケーションやコンテンツ管理のオーバーヘッドなしに、このシナリオを効率的に処理します。
BYOD 対応組織の EMM
あるコンサルティング会社では、従業員が個人のスマートフォンで業務用の電子メールやドキュメントにアクセスできるようにしています。この会社では、コンテナ化によってクライアント・データを保護し、企業リソースを確保する一方で、個人のコンテンツはそのままにしています。コンサルタントが退職する際、IT 部門は個人用アプリや写真に影響を与えることなく、業務用コンテナを削除します。
分散型およびハイブリッド型ワークフォースのための UEM
あるテクノロジー企業には、複数のタイムゾーンにまたがるホームオフィス、カフェ、本社で働く従業員がいます。会社のラップトップを使用する社員もいれば、個人所有のデバイスを使用する社員もいますが、全員が同じアプリケーションやデータにアクセスしています。UEMは、このような多様な分散環境において、一貫したセキュリティポリシーと管理をすべて1つのコンソールから提供します。
組織がUEMに移行する理由
UEMへのトレンドは、いくつかの職場の現実を反映しています。デバイスの多様性は劇的に増加しており、従業員は以前よりも多くの種類のデバイスを使用しているため、それぞれを個別に管理することは拡張性に欠ける。コンソールを1つにすることで、ツールの乱立を抑え、トレーニングを簡素化し、ライセンスコストを削減できるため、運用効率も向上する。
セキュリティの一貫性は、もう一つの推進力です。すべてのエンドポイントに統一されたポリシーを適用することで、デバイスの種類によって異なるルールに従った場合に攻撃者が悪用するギャップをなくすことができる。また、リモートワークがシフトを加速させている。分散したチームは、働く場所や使用するデバイスに関係なく、シームレスな管理を必要としているからだ。
多くの企業は、エンドポイント管理だけでは十分ではないことも認識している。デバイス管理とユーザー・アイデンティティおよびアクセス制御を連携させることで、どちらかの機能単体で提供するよりも強力なセキュリティが実現する。
エンドポイント管理とアイデンティティ管理の統合
最新のセキュリティは、デバイスを単独で管理するだけにとどまりません。エンドポイント管理をアイデンティティ、アクセス制御、およびコンプライアンスの自動化と連携させることで、企業はスタンドアロン・ツールでは提供できないコンテキストを得ることができます。デバイスのセキュリティ・ポスチャがアクセスに関する意思決定に反映され、ユーザー・アイデンティティがデバイス・ポリシーを形成することができます。
Iru のようなプラットフォームは、エンドポイント保護、アイデンティティ管理、およびコンプライアンスを 1 つのシステムに統合します。ITチームは、IDプロバイダーと一緒にMDM、EMM、またはUEMツールを個別に管理するのではなく、脅威への迅速な対応を支援するAI主導の洞察とともに、統合された可視性と制御を得ることができます。
デモを予約して、Iruがどのようにエンドポイント管理とアイデンティティ管理を統合するかをご覧ください。
MDM、EMM、UEMに関するFAQ
これらはよくある質問で、ほとんどがUEMに関するものです:
Iru EndpointはUEMかMDMか?
Iru Endpoint ManagementはUEMソリューションに分類される。MDMツールとして始まったが、IruはWindows、Android、Appleのデスクトップをモバイルデバイスと一緒に管理するように拡張し、統合エンドポイント管理プラットフォームとして認定された。
UEMはID管理とどのように統合するのか?
UEM プラットフォームは通常、ID プロバイダと接続してデバイスベースのアクセス・ポリシーを適用します。この統合により、コンプライアンスに準拠し、管理されたデバイスのみが企業リソースにアクセスできるようになり、ユーザー認証だけでは不十分なセキュリティ層が追加されます。
中小企業はUEMの恩恵を受けられるか?
従業員のラップトップ、携帯電話、タブレットなど、さまざまな種類のデバイスを持つ中小企業では、エンドポイントのカテゴリごとに別々のツールを維持するよりも、UEMを使用してIT管理を簡素化できます。多くの場合、運用効率は追加機能を上回ります。
UEMとEDRの違いは何ですか?
UEMはデバイス管理、設定、ポリシー実施に重点を置く。EDR(Endpoint Detection and Response)は、脅威の検知とインシデントレスポンスに重点を置く。多くの組織では、両者を併用している:UEM はエンドポイントの管理と構成を行い、EDR はセキュリティ脅威の検出と対応を行います。 多くの UEM プラットフォームは、EDR シグナルに基づいてデバイスのロック、ワイプ、隔離などのレスポンス・アクションをトリガできますが、通常、EDR レベルの検出とテレメトリを単独で提供することはありません。