MDMとは
MDMとは、モバイルデバイス管理(Mobile Device Management)を意味します。
企業組織において、モバイルデバイスは必須のツールとなりつつありますが、モバイルデバイスをそのまま社員に渡すと、様々な問題が発生することがあります。セキュリティ上危険なアプリのインストール、カメラ撮影やPCへのUSB接続による情報の勝手な持ち出し、未許可クラウドサービスの利用による情報漏えい、デバイスの紛失など……。こうした問題を未然に防ぐには、モバイルデバイスの導入とあわせてモバイルデバイス管理ツールの導入が有効です。
参考:MDMを導入せずに運用を続けるリスクとは?
モバイルデバイス管理ツール(以下 MDMツール)は、企業組織のモバイルデバイス(スマートフォン、タブレット、ノートパソコンなど)を監視、管理、保護するためのセキュリティソリューションです。MDMツールはセキュリティの維持、デバイス管理の効率化、生産性向上を支援する、ビジネスの現場において不可欠なツールです。
ManageEngineのMDMツール「Endpoint Central」は、Android、iOS/iPadOS(=iPhoneやiPad)、Windows、macOS、ChromeOS(=Chromebook)など、幅広いOSに対応しています。これにより、ひとつのコンソール画面からすべてのモバイルデバイスを管理・保護できるため、企業組織全体に散らばる様々なデバイスの効率的な管理・運用が可能です。また、情報システム部門はデバイスの登録、設定管理、セキュリティポリシーの適用などをEndpoint Centralから行うことによって、異なるOSデバイスを確実にセキュリティ基準へ準拠させることができるようになります。
MDMツール「Endpoint Central」の4つの特長
統合エンドポイント管理(UEM)ツールであるEndpoint CentralにはMDM機能が含まれるため、モバイルデバイス管理に求められる機能をすべて網羅しています。現在のビジネス環境におけるモバイルデバイス管理の課題を解決できる4つの便利な特長を持っています。
1.MacもWindowsもスマホも。幅広いOSに対応
iOS、iPadOS、Android、Windows、macOS、ChromeOSなど幅広いOSに対応しています。
特に幅広く用いられているiOS/iPadOS、Androidについては以下をご覧ください。
iOSデバイス管理
iPhone、iPad、iPod touchなどのiOSデバイスの管理を実現します。
Androidデバイス管理
Androidデバイスの企業データの監視・監査・管理を実現します。
2.柔軟なデバイス管理が可能
部署や役職ごとにグループを作成したり、Active Directoryからユーザー情報を連携したりすることで、デバイスを柔軟に管理できます。電話番号や端末番号などの基本情報に加え、各デバイスにおけるアプリのインストール状況などのインベントリ情報、位置情報、OSやアプリのバージョン情報など、デバイスの利用状況の把握ができます。
3.企業のポリシーに準拠したデバイス運用が可能
デバイスの機能制限などをプロファイル化し、プロファイルの一括適用やアプリケーションの一括インストールを実施できます。アプリのアンインストール制限や、ブラックリスト/ホワイトリストに基づくアプリのインストール制限を、デバイスごとやグループごとに設定できます。
4.デバイス紛失/盗難時の対策も可能
デバイスの紛失・盗難時に、最終位置情報の確認や、遠隔ロック(リモートロック)や遠隔データ削除(リモートワイプ)を実行できます。紛失や盗難など偶発的なケースに遭遇した際に、リモートからのアラーム発生やデバイスの強制ロック、場合によってはデータを完全消去するためのワイプの実施をすることで、重要なデータの漏えいを防止できます。
Endpoint CentralのMDM機能一覧
Endpoint Centralには上記のMDM(モバイルデバイス管理)の基本機能に加えて、デバイスの管理に便利な多くの機能が搭載されています。
簡単な登録・管理
iOS/Android/Windows/mac/ChromeOSなど幅広いOSのデバイスを管理できます。登録方法はOSごとに異なり、また管理モード(iOSの場合「監視モード」にするかどうか、Androidの場合「デバイスオーナー」にするかどうか)によっても異なりますが、QRコードや招待メールなど様々な方法で登録できます。また登録したデバイスを作成したグループごとに管理できます。
【QRコードによるデバイス登録画面】セキュリティを確保できる資産管理
デバイスのOS情報やSIM情報などのインベントリ情報を取得できるだけでなく、デバイスの位置情報や位置情報の履歴も取得できます。
また、紛失/盗難時に、リモートからロック/ワイプするなど、企業のセキュリティポリシーを満たす資産管理機能を備えています。
【位置情報の表示画面】細かな設定が可能なプロファイル管理
デバイスのプロファイルを作成し、一括適用できます。例えば、パスコードポリシーの強制化 / Wi-Fiの接続先の指定 / カメラ・YouTubeなど業務に不要な機能やアプリケーションの利用制限などのプロファイルを作成・適用できます。
【Wi-Fiプロファイルの設定画面】怪しいアプリを見つけるアプリケーション管理
インストール済みのアプリケーション一覧の取得や、アプリケーションのリモート配信、アプリケーションのブラックリスト/ホワイトリスト登録など、アプリケーション管理を支援する機能を多数搭載しています。
【デバイス内にインストール済みのアプリケーション一覧】メール管理
各OSごとのメール設定やExchange ActiveSyncの設定を一元管理することで、企業のメール管理をよりセキュアにできます。例えば、メール本文のHTML形式をブロックする設定や、メールアプリケーション以外(ブラウザーなど)でのメールアカウント利用のブロック設定、メールの転送や移動をブロックする設定など、メール設定を一元管理できます。
コンテンツ管理
各デバイスに対して、pdf/txt/docx/xlsx/pptなどのファイルを配布でき、それらのスクリーンショットの取得などを禁止できます。ユーザーがモバイル勤務や客先訪問などの際に、必要なデータのみを共有できます。
コンテナ化
BYOD環境のデバイスも柔軟に管理できます。BYOD用のデバイスグループを作成し、企業のポリシーに合わせて、プロファイル設定やアプリケーションのインストールが可能です。
またMDMの管理下からデバイスを除外する際、企業データのみを消去することで、ユーザーが離職した場合に、企業データを保護できます。
リモート制御
Androidデバイス向けにリモート制御機能、iOSデバイス向けにリモートビュー機能を備えています。リモート制御機能により、ユーザーのトラブルシューティングを支援します。
セキュリティ管理
OSアップデートの自動化や、Microsoft 365/Exchange Serverに対して管理デバイス以外からのアクセス制御、Webコンテンツフィルター、証明書の追加、ストア以外からのアプリケーションインストールのブロックなど、モバイルデバイスのセキュリティを保護する機能を多数備えています。
監査レポート
監査対応に役立つレポートを多数用意しています。例えば、ブラックリスト登録済みのアプリケーションがインストールされているデバイス一覧、ルート化されたデバイス一覧、ジェイルブレイクされたデバイス一覧などがございます。これらのレポートをスケジュール設定し、定期的に受領できます。
MDM(モバイルデバイス管理)を導入せずに運用を続けるリスクとは?
MDMツールを利用せずにモバイルデバイスを運用する場合、基本的にはエンドユーザーに管理を委ねるため、次のようなリスクが考えられます。
対策としてセキュリティポリシーの策定やセキュリティ教育の実施などで、社員の意識を変えていくことも重要です。しかし、ビジネスにスピードが求められる今、モバイルワークのメリットを今後も維持したいと考える企業・社員は多く、モバイル端末の確実な管理が強く求められています。
BYODへの対策
BYODとは「Bring Your Own Device」の略語で、従業員がプライベートで使用しているスマートフォン、タブレット、PCなど個人のデバイスを仕事で使うことです。「私用のスマホで会社のメールチェックを行う」「自宅のノートPCで書類の修正を行う」など、スピードが問われる現在のビジネスにおいて、BYODはとても便利なのが本音です。
一方で懸念されるのがセキュリティです。私用の端末のため様々なアプリケーションがダウンロードされ、閲覧するWEBサイトも本人の自由。そのためウイルス感染や不正アクセスのリスクが常に付きまといます。
しかしBYODを禁止にすると、かえってシャドーITが増える可能性があります。社員の利便性を考え、柔軟な運用ルールを定め、各々のスマホ・タブレット・ノート型PCを細かく管理していく必要があります。
参考ページ:BYODのメリットとデメリット: https://www.manageengine.jp/products/Endpoint_Central/bring-your-own-device-byod.html
Endpoint Centralの MDMのアーキテクチャー
コンピューター/サーバーの管理だけでなく、モバイルデバイスの一元管理も可能です。プロファイル管理、資産管理、アプリケーション管理、コンテンツ管理など多様な機能を利用できます。
- Endpoint Centralからデバイスへの通信は、iOSデバイスでは、TCPポート2195でAppleプッシュ通知サービス(APNs)を通過し、Androidデバイスでは、TCPポート80でGCMを通過します。
- Apple iOS MDMプロトコルと同様に、すべてのiOSデバイスは、TCPポート5223のAPNで専用のTCP接続を維持します。Endpoint Centralは、これを活用して、APNによりデバイスを起動します。
- デバイスは、ポート8383を用いてEndpoint CentralサーバーとHTTPS通信します。
- LAN外のデバイスを管理する場合、各デバイスが常時Endpoint Centralサーバーと接続するために、Endpoint Centralサーバーにグローバル IP アドレスを設定し、Endpoint Central サーバーのプライベートIPアドレス をグローバルIPアドレス にネットワークアドレス変換(NAT)する必要があります。 ※ LAN内のみの管理の場合、NAT設定は不要です。
