MDMとは
MDMとは「Mobile Device Management」の略で、モバイル端末を社内で一元管理するツールです。紛失・盗難時に端末をロック・制御し、情報を保護します。他にも業務アプリの一括配布や、利用制限を設けることで端末を適切な形で管理できます。
BYODに対応できる
BYODとは「Bring Your Own Device」の略で、個人のスマートフォンやタブレットを業務利用することです。専用端末に比べてデバイスを低コストで業務に活用できるのがメリットです。
しかし、個人端末に業務データが残ると情報漏えいの危険があり、セキュリティリスクが懸念されます。そこで、システム上から遠隔で端末の制御・監視を一元的に管理できるMDMが活用されます。MDMは企業のBYOD化が増加する要因の一つともいえるでしょう。
MDMの仕組み
MDMは、登録した端末とMDMサーバが通信することで、プログラムや命令を実行する仕組みです。Apple社の端末では、APNsサーバと呼ばれる米Apple社のプッシュ配信サーバを経由し、Android端末は、複数の方式でMMサーバと端末間でやりとりします。
例えば、従業員がスマホを紛失した例で考えてみましょう。管理者は該当のスマホにロックをかけるため、PCからMDMのサーバへ「スマホをロックする」と指示を出します。すると、プッシュ配信サーバなどを通じてスマホへ命令が届き、スマホがMDMサーバへと接続してロック処理を完了します。
また、MDMは通信の頻度に応じて大きく2種類に分けられます。
- ■ポーリング方式
- MDMサーバと端末間を直接繋ぎ定期的に通信する方法。プッシュ配信サーバを介さない分仕組みは簡単だが、サーバとの頻繁な通信により端末のバッテリー消耗が早い。
- ■プッシュ方式
- SMSや端末のプッシュ通知サービスを活用して管理者の端末操作権を認証する方法。必要に応じて通信するためバッテリーの節約が可能。
MDMでできること・できないこと
MDMを導入すると、業務で使用するスマートフォンやタブレットなどのモバイル端末を一元的に管理できます。ただし、すべてのセキュリティ対策をMDMだけで完結できるわけではありません。ここでは、MDMで対応できることと、対応が難しいことを整理します。
MDMでできること
MDMの主な役割は、モバイル端末の状態を可視化し、必要に応じて遠隔操作や利用制限を行うことです。代表的な機能には、以下のようなものがあります。
- ●端末情報の一元管理
- ●紛失・盗難時の遠隔ロックやリモートワイプ
- ●パスワード設定や画面ロックの強制
- ●業務アプリの一括配布・削除
- ●カメラや外部ストレージ、アプリ利用などの制限
- ●OSやアプリの利用状況の確認
例えば、従業員がスマートフォンを紛失した場合でも、管理者が遠隔で端末をロックしたり、端末内のデータを削除したりできます。また、業務に不要なアプリの利用を制限することで、情報漏えいや私的利用のリスクを抑えられます。
MDMだけでは対応が難しいこと
一方で、MDMはモバイル端末そのものを管理する仕組みであり、すべての脅威に対応できるわけではありません。例えば、以下のような対策はMDM単体では不十分な場合があります。
- ●マルウェアや不正アプリの高度な検知
- ●メールやWebサイト経由のフィッシング対策
- ●アプリ内データの細かな制御
- ●ファイルや文書単位でのアクセス制限
- ●従業員のセキュリティ教育や運用ルールの徹底
そのため、MDMを導入する際は、必要に応じてウイルス対策ソフトやEDR、MAM、MCMなどの関連ツールと組み合わせることも検討しましょう。特に、端末だけでなくアプリやコンテンツ単位で管理したい場合は、MDM製品ごとの対応範囲を確認することが重要です。
自社に必要な機能を見極めることが重要
MDM製品は、対応OSや管理できる範囲、セキュリティ機能、サポート体制などが製品ごとに異なります。社用端末を管理したいのか、BYODに対応したいのか、紛失・盗難対策を強化したいのかによって、選ぶべき製品は変わります。
導入後に「必要な機能がなかった」「管理したい端末に対応していなかった」とならないよう、複数のMDM製品を比較し、自社の運用にあうものを選びましょう。
各製品の対応OSや機能、サポート体制などをまとめて確認したい方は、以下から資料を請求できます。
端末との連携
続いて端末ごとにMDMの仕組みを詳しく見ていきましょう。
Apple社の端末の場合
iPhoneやiPad、MacなどのApple社の端末では、MDMと端末間の通信にAPNs(Apple Push Notification Service)サーバが使用されます。これはApple社の作成したプッシュ配信サービスで、登録した端末に向けてMDMサーバへの接続を命令できます。なお利用にはAPNs証明書をはじめ、各種証明書が必要です。
Androidの場合
Android端末はメーカーや機種により通信方式が複数あり、例をあげると以下のとおりです。
- ●通信事業者のSMSサーバを介した通信方式
- ●Google社の提供するプッシュ通知技術「FCM(Firebase Cloud Messaging)」を用いた方式
- ●ベンダーが独自に開発したプッシュ配信サーバを介した方式
MDM製品を比較する際のチェックポイント
MDM製品は、対応できる端末やOS、管理機能、セキュリティ機能などが製品によって異なります。導入後に「管理したい端末に対応していなかった」「必要な機能が使えなかった」とならないよう、以下のポイントを確認しましょう。
対応OS・端末の種類
まずは、自社で管理したい端末やOSに対応しているかを確認しましょう。iPhoneやiPadなどのiOS・iPadOS端末、Android端末、Windows端末、Macなど、製品によって管理できる対象は異なります。社用端末だけでなくBYODにも対応する場合は、個人端末の管理範囲も確認しておくと安心です。
必要なセキュリティ機能
MDM製品を選ぶ際は、自社のセキュリティポリシーに必要な機能が備わっているかも重要です。例えば、紛失・盗難時の遠隔ロックやリモートワイプ、パスワード設定の強制、カメラや外部ストレージの利用制限、アプリのインストール制限などが挙げられます。
端末をどのようなリスクから守りたいのかを整理したうえで、必要な機能を比較しましょう。
アプリやコンテンツの管理範囲
業務アプリを効率よく管理したい場合は、アプリの一括配布や更新、削除に対応しているかを確認しましょう。また、製品によってはアプリ単位の利用制限や、業務データの持ち出し制御に対応しているものもあります。
端末管理だけで十分なのか、アプリやファイルなども細かく管理したいのかによって、適した製品は変わります。
「自社に合うMDM製品を診断してから資料請求したい」、「どんな観点で選べばいいかわからない」という方向けの診断ページもあります。
簡単な質問に答えるだけで、最適なシステムを案内します。
無料で今すぐ利用できますので、下のリンクから診断を開始してください。
MDMに必要な「証明書」とは
OSにより種類や数は異なりますが、SSL通信に必要な証明書の取得が必要です。
Apple社の端末をMDMで管理したい場合、APNsサーバを使用するための許可証を発行してもらい、MDMサーバに設置しなくてはなりません。また、このプッシュ証明書は一年ごとに更新が必要で、更新を忘れると端末を管理できなくなるため注意が必要です。
一般的な発行手順は以下のとおりです。
- 1.導入するMDMツールのベンダーからCSRを取得する
- 2.Apple Push Certificates Portal (APCP) にCSRファイルをアップロードし申請する
- 3.PUSH証明書を入手し、MDMツールに登録する
なお、Apple社のサイトによると、必要な証明書について次のように記されています。
MDMソリューションには、デバイスと通信するためのAPNs証明書、安全に通信するためのSSL証明書、および構成プロファイルに署名するための証明書などの複数の証明書が必要です
これらの取得・設定手順は、MDMツールを導入する際にベンダーからマニュアルなどで案内されることがほとんどです。操作に不安がある方は導入サポートの手厚い製品を選ぶとよいでしょう。
参考:APNを利用できるようにデバイスを構成する|Apple サポート (日本)
MDMで業務に利用するモバイル端末を管理しよう
MDMは社内の業務改革を推進する画期的な手段です。スマートフォンを情報漏えいのリスクから守る役割を担います。また、ポーリング方式やプッシュ方式などの認証方法により、安心して使用できます。
MDMを有効活用し、業務に利用するモバイル端末を安全に管理しましょう。
