数千・数万台規模に適した設計、インヴェンティットのMDM「MobiConnect」
プロファイルを勝手に削除させない工夫も
インヴェンティット株式会社は、MDM(Mobile Device Management:モバイル機器管理)のシステムとして、SaaS型の「MobiConnect」とNTTドコモのMDMサービス「スマートフォン遠隔制御サービス」に採用されているオンプレミス型の「IT-MOM」の2種類を提供している。
今回は、このMobiConnectを取り上げる。
■オンプレミスとSaaS版を用意、AndroidとiOSともに対応
MobiConnectは、AndroidとiOS、一部Windows Mobileに対応したMDMサービスだ。端末のリモートロック・ワイプ、遠隔デバイス利用制限、遠隔設定、遠隔情報取得、遠隔監視、アプリ管理といったMDMの基本的な機能を一通り備えるとともに、電子証明書とのシームレスな連携を実現する。
料金は、リモートロックやリモートワイプなどの基本的なセキュリティー機能の「エントリープラン」が1台1800円/年、遠隔での端末設定といったスマートフォン管理に対応した「ベーシックプラン」が1台2400円/年、遠隔監視なども含むすべての機能を持つ「スタンダードプラン」が1台3000円/年となる。
 |  |
| オンプレミスとSaaS版を用意する | MobiConnectの優位点 |
■数千台・数万台の大規模管理に適した設計
 |
| 山形浩一氏 |
数あるMDMシステムの中での位置づけとしては、“端末台数が数千や数万などの大規模ユーザーでの管理に適するように作られたシステム”といえる。
たとえば、端末を階層的なグループで束ねて管理し、グループごとに管理者を割り当てられるようになっている。また、管理者ごとに多数の項目にわたる権限をそれぞれ付与するかどうか設定できる。インヴェンティット株式会社 執行役員 営業本部長の山形浩一氏は、「項目が多くて、(UIは)わかりやすくはない」と言いながらも、「たとえば、地方営業所の端末1台を紛失したときに、リモートロックするために本社に連絡するような必要はない。営業所のアシストの女性に、営業所の端末について、リモートロックの権限だけ与えておく、といったことができる」と、大規模環境で柔軟に職務分掌を実現できる点を語る。
 |  |
| 99階層までグループを設定可能 | グループの各管理者ごとに機能の利用権限を設定できる |
■MDMの構成プロファイルを削除不可能に
MobiConnectで最も特徴的なのが、iOSでMDMの構成プロファイルを削除不可能にする機能だ。
iOSではMDMのための基本機構を持っており、各ベンダーのMDMシステムも、ほぼこの標準機構をベースにしている。この標準のMDM機構では、端末に構成プロファイルを設定することで、エージェントソフトをインストールせずに管理できる(AndroidはMDMの機能を持たないため、エージェントを必須とするのが一般的だ)。
ただし、この構成プロファイルはユーザー側で削除できてしまうという弱点があるという。そこでMobiConnectでは、iOSの標準機構のかわりに独自の「IVI-MDM」方式を採用し、MDMの構成プロファイルを削除できないようにした。IVI-MDMでは、エージェントを端末にインストールして利用する。
 |  |
| iOS標準のMDM方式では構成プロファイルはユーザー側で削除できてしまう。削除されてしまうと当然、端末は管理下から外れてしまう | そこで削除できない独自の「IVI-MDM方式」を採り入れた。IVI-MDM方式では削除ボタンが表示されなくなる |
 |
| 山田智裕氏 |
「正確には、iPhone構成ユーティリティで構成プロファイル自体は削除できないようにできます。しかし、MDMで配布するとMDMの構成プロファイルの配下に入るので、結局消せてしまう。それを避けるには、構成プロファイルの配布にMDMを使わず、1台1台iTunesで入れることになりますが、それは(大規模な現場では)現実的ではありません」とインヴェンティット株式会社 営業本部 営業部の山田智裕氏は説明する。
実際のサービスとしては、iOS標準のMDM方式とIVI-MDM方式の両方を使った(いいとこ取りをした)ハイブリッドな方式も提供している。これは、iOS標準のMDM方式は端末から取得できる情報が多いことによる。そのため、多機能なハイブリッド方式が最も多く採用されているのだという。
なお、IVI-MDM方式やハイブリッド方式では、iPhone構成ユーティリティを使わずにプロファイルを作成できる。その初期設定の一斉配信機能による自動キッティングも特徴だ。
■ベリサインの電子証明書の配布機能にも対応
そのほか、ユーザーの使っている機能の監視機能などもある。特定の機能について、ポリシーで禁止するのではなく、禁止はしないが利用状況を取得する機能だ。これにより、好ましくない機能の利用が頻発するようであればポリシーで禁止する、といった対応がとれる。
他社でも対応しているところがある機能だが、iOSのJailbreakやAndroidのroot取得の検知の機能も備えている。AndroidでSIMを抜き取るとロックする機能などもある。
また、最近追加された機能として、ベリサイン電子証明書オプションがある。MDMから端末ごとに証明書を発行し、VPNで社外から社内のシステムにアクセスするときの認証に使うものだ。これにより、管理下にあるスマートフォンやタブレットのみアクセスできるように制限できる。
 |  |
| MobiConnectによる電子証明書の発行と管理イメージ | 電子証明書によるセキュアな接続を実現 |
 |  |
| MobiConnectで端末に発行した証明書を確認する | iOSから証明書を確認する |
端末の認証にはUDIDのような端末IDを利用する方法などもある。しかし、スマートフォンではUDIDを偽れてしまう問題などもあり、厳密な端末認証には適していない。実際、インヴェンティットでも、証券会社などのユーザー企業からの要求を受けて対応したというのが背景で、「VPNには証明書が必要」という認識だ。
iOSでは8月にサービスを開始し、Androidでは近日開始予定。料金は、1台2400円/年。「ベリサインの証明書はスマートデバイス向けに利用しやすい価格になっている。それによってニーズが広がるはず」と山形氏は見ている。