モバイルデバイス管理(MDM)とは?


 国内でのスマートフォンの普及率は、Google社の調査によると20%だという。企業においても、スマートフォンやタブレット端末が導入され、活用され始めている。

 急激に進む導入に対して、企業での管理体制は追いついているとは言いがたい。そこで注目されているのが、MDM(Mobile Device Management:モバイル機器管理)のシステムだ。

 この記事では、MDMとはどのようなものか、概要を解説する。


MDMが必要とされる背景

 MDMが必要とされるのは、スマートフォンやタブレット端末が、携帯電話とPCの両方の側面を持つからだ。

 携帯電話はほぼすべての人が持ち、常に持ち歩く身近なデバイスだ。企業で契約して営業担当に持たせる場合でも、重要情報は電話帳やメール程度だ。紛失時に回線経由で端末をロックするリモートロックや、データを消去するリモートワイプの機能も整備されている。

 PCは最近、セキュリティなどのためのため、企業で一元管理に取り組むようになった。Active Directoryなどを使ったPC管理やセキュリティポリシーの強制、ウイルス対策ソフトの徹底などだ。

 スマートフォンも携帯電話の一種で、やはり気軽に持ち歩く。その一方で、PCのように高機能でもある。携帯電話より自由に、アプリケーションをインストールしたり、企業内システムにアクセスしたり、データを保存したりできる。タブレット端末ともなれば、情報を持ち歩いて見せることについてはPC以上に便利で、業務上のデータを持ち歩く機会も多くなる。

 その一方で、携帯電話やPCに比べて、情報漏洩対策など企業で安全に使うための対策がまだ遅れている。そこで、スマートフォンやタブレット端末を管理しようというシステムがMDMだ。

 最近ではBYOD(Bring Your Own Device:個人所有の端末の業務利用)も論議されるようになった。管理外の端末から業務上のデータを扱うのを避けるためにも、MDMが必要とされるようになっている。


提供する機能は、大きく分けて3つ

 MDMのシステムに求められる機能は、大きく分けて3つ。「端末自身とその状態の管理」「端末の認証によるアクセス権限の管理」「端末の利用の管理」だ。

 MDMの基本となるのが「端末自身とその状態の管理」の機能だ。使われているスマートフォンやタブレット端末を一元的に把握し、紛失のときなどにはリモートロックやリモートワイプを適用して情報漏洩を防ぐ。また、セキュリティポリシーを配布して、たとえばパスワードロックやパスワードの複雑さなどを強制する。そのほか、Jailbreak・root取得などの検出や、アプリケーションの配布、位置情報の取得などに対応したシステムもある。

 企業で本格的にスマートフォンやタブレット端末を利用する場合に必要になるのが、「端末の認証によるアクセス権限の管理」の機能だ。端末証明書を発行するなどの手段により端末を認証し、それを元にVPNでの社外からのアクセスや、社内のアプリケーションやデータへのアクセスなどを、業務レベルに応じて許可する。

 スマートフォンやタブレット端末の利用をより厳密に管理する企業が求めるのが、「端末の利用の管理」の機能だ。特定のアプリケーションの利用の禁止、カメラ機能の禁止、アプリのインストールの禁止など、情報漏洩につながる可能性のある機能を禁止する機能だ。また、ブラウザでアクセスするサイトやアプリの利用頻度などの制限やモニタリングなどの機能を持つシステムもある。

 そのほか、ネットワークやディレクトリサービス、セキュリティソフト、PCの管理ソフトなどと連動する機能や、端末を配布するときの初期設定のためのキッティングの機能など、3つの機能を補完する機能も、システムによっては備えている。


MDMの分類

 MDMシステムの分類としては、まず「SaaS型」と「オンプレミス型」に分けられる。SaaS型はベンダーが用意したMDMのサーバーからデバイスを管理するもので、オンプレミス型は自社のデータセンター内にMDMのサーバーを設置するものだ。

 一般的には、オンプレミス型は設備の構築や運用のコストがかかるため、小規模からスタートするにはSaaS型が向いている。一方、企業の方針として情報を社内で管理するということであればオンプレミス型となる。また、SaaS型は台数に応じた料金体系となるため、大規模な利用の場合にはオンプレミス型のほうがコストを抑えられる場合もある。

 最近では携帯キャリアもMDMのシステムを提供してきている。これもSaaS型のMDMといえる。

 ほかの分類としては「エージェント型」と「エージェントレス型」の区分がある。エージェントとは管理のために端末側にインストールするソフトウェアで、エージェント型はエージェントのソフトが必要なもの、エージェントレス型は不要なものだ。

 一般的には、iOSではエージェントレス型、Androidではエージェント型が多いようだ。これは、iOSではある程度MDMのための機能を持っていることによる。なお、iOSでもAndroidでも「Exchange ActiveSync」クライアント機能を持っているため、Exchange Serverをエージェントレスの簡易的なMDMとすることもできる。

 そのほか、MDMごとに、対応するOSやバージョン、対応機種などに違いがある。

 次回以降は、具体的なMDMソリューションについて見ていく。

関連情報