MDMとは？モバイルデバイス管理を柔軟に実現できるツール

MDM（モバイルデバイス管理）

MDMとはモバイルデバイス管理（Mobile Device Management）の略語で、組織で利用するスマートフォン、タブレット、ノート型PCなど、持ち運びができる端末をツールを用いて適切に管理していくことです。

モバイルデバイスを使う上で、まず思い浮かべるリスクが「端末の紛失による情報漏えい」です。ほかにも「不正なアプリをダウンロードしウイルス感染」や「パッチ適用を怠っていたノート型PCでマルウェア感染」など、不適切なモバイルデバイス管理が引き起こす問題は数多くあります。

一方で多くの企業では、社員へのスマートフォンの貸与、外回りの多い営業社員へのタブレット配布、リモートワーク用ノートPCの貸与など、モバイルデバイスが浸透しています。場所を問わない働き方も広がっており、モバイルデバイスのセキュリティリスクは年々高まっている状況です。

おすすめ資料：なぜモバイルデバイス管理は重要なのか？ 知っておくべき4つのリスクと対処法 https://www.manageengine.jp/products/Endpoint_Central/mdm-ebook-lp.html

MDMツール　Endpoint Centralの4つの特長

統合エンドポイント管理（UEM）ソフトEndpoint Centralは、モバイルデバイス管理に求められる機能をすべて網羅しています。現在のビジネス環境におけるモバイルデバイス管理の課題を解決できる4つの便利な特長を持っています。

1．MacもWindowsもスマホも。幅広いOSに対応

iOS/Android/Windows/mac/ChromeOSなど幅広いOSに対応しています。

iOSデバイス管理
　iPhone、iPad、iPod touchなどのiOSデバイスの管理を実現します。

Androidデバイス管理
​　Androidデバイスの企業データの監視・監査・管理を実現します。

2．柔軟なデバイス管理が可能

グループをカスタマイズし、部署や役職ごとにデバイスを柔軟に管理できます。またモバイルデバイスの利用状況を把握しやすく、デバイスごとのアプリケーションのインストール状況などのインベントリ情報や位置情報を取得し、どのように利用されているか、OSやアプリケーションパッチは最新の状態になっているか等、デバイスの基本的な利用状況の把握ができます。

3．企業のポリシーに準拠したデバイス運用が可能

プロファイルの一括適用やアプリケーションの一括インストールを実施できます。アプリのインストール・アンインストール等の利用制限や、アプリケーションのブラックリスト/ホワイトリストを作成した利用制限の設定を、デバイスに一括または個別に設定ができます。

4．デバイス紛失/盗難時の対策が可能

デバイス紛失/盗難時に最終位置情報の確認だけでなく、即座にリモートロック/ワイプできます。紛失や盗難など偶発的なケースに遭遇した際に、リモートからのアラーム発生やデバイスの強制ロック、場合によってはデータを完全消去するためのワイプの実施をすることで、重要なデータ漏えいの防止対策ができます。

Endpoint Central のMDM機能一覧

Endpoint Centralには上記のMDM（モバイルデバイス管理）の基本機能だけでなく、多くの機能が搭載されています。

簡単に登録・管理ができるデバイス管理

iOS/Android/Windows/mac/Chrome OSなど幅広いOSのデバイスを管理できます。登録方法はOSによって異なりますが、QRコードや招待メールなど様々な方法で登録できます。また登録したデバイスを作成したグループごとに管理できます。

【QRコードによるデバイス登録画面】

セキュリティを確保できる資産管理

デバイスのOS情報やSIM情報などのインベントリ情報を取得できるだけでなく、デバイスの位置情報や位置情報の履歴も取得できます。

また、紛失/盗難時に、リモートからロック/ワイプするなど、企業のセキュリティポリシーを満たす資産管理機能を備えています。

【位置情報の表示画面】

細かな設定が可能なプロファイル管理

デバイスのプロファイルを作成し、一括適用できます。例えば、パスコードポリシーの強制化 / Wi-Fiの接続先の指定 / カメラ・YouTubeなど業務に不要なアプリケーションの利用制限など、多数のプロファイルを作成・適用できます。

【Wi-Fiプロファイルの設定画面】

怪しいアプリを見つけるアプリケーション管理

インストール済みのアプリケーション一覧の取得や、アプリケーションのリモート配信、アプリケーションのブラックリスト/ホワイトリスト登録など、アプリケーション管理を支援する機能を多数搭載しています。

【デバイス内にインストール済みのアプリケーション一覧】

メール管理

各OSごとのメール設定やExchange ActiveSyncの設定を一元管理することで、企業のメール管理をよりセキュアにできます。例えば、メール本文のHTML形式をブロックする設定や、メールアプリケーション以外（ブラウザーなど）でのメールアカウント利用のブロック設定、メールの転送や移動をブロックする設定など、メール設定を一元管理できます。

コンテンツ管理

各デバイスに対して、pdf/txt/docx/xlsx/pptなどのファイルを配布できます。ユーザーがモバイル勤務や客先訪問などの際に、必要なデータのみを共有できます。

コンテナ化

BYOD環境のデバイスも柔軟に管理できます。BYOD用のデバイスグループを作成し、企業のポリシーに合わせて、プロファイル設定やアプリケーションのインストールが可能です。

またMDMの管理下からデバイスを除外する際、企業データのみを消去することで、ユーザーが離職した場合に、企業データを保護できます。

リモート制御

Androidデバイス向けにリモート制御機能、iOSデバイス向けにリモートビュー機能を備えています。リモート制御機能により、ユーザーのトラブルシューティングを支援します。

セキュリティ管理

OSアップデートの自動化や、Microsoft 365/Exchange Serverに対して管理デバイス以外からのアクセス制御、Webコンテンツフィルター、証明書の追加、ストア以外からのアプリケーションインストールのブロックなど、モバイルデバイスのセキュリティを保護する機能を多数備えています。

監査レポート

監査対応に役立つレポートを多数用意しています。例えば、ブラックリスト登録済みのアプリケーションがインストールされているデバイス一覧、ルート化されたデバイス一覧、ジェイルブレイクされたデバイス一覧などがございます。これらのレポートをスケジュール設定し、定期的に受領できます。

Endpoint CentralのMDM機能一覧

Endpoint Centralには上記のMDM（モバイルデバイス管理）の基本機能だけでなく、多くの機能が搭載されています。

簡単に登録・管理ができるデバイス管理

iOS/Android/Windows/mac/Chrome OSなど幅広いOSのデバイスを管理できます。登録方法はOSによって異なりますが、QRコードや招待メールなど様々な方法で登録できます。また登録したデバイスを作成したグループごとに管理できます。

【QRコードによるデバイス登録画面】

セキュリティを確保できる資産管理

デバイスのOS情報やSIM情報などのインベントリ情報を取得できるだけでなく、デバイスの位置情報や位置情報の履歴も取得できます。

また、紛失/盗難時に、リモートからロック/ワイプするなど、企業のセキュリティポリシーを満たす資産管理機能を備えています。

【位置情報の表示画面】

細かな設定が可能なプロファイル管理

デバイスのプロファイルを作成し、一括適用できます。例えば、パスコードポリシーの強制化 / Wi-Fiの接続先の指定 / カメラ・YouTubeなど業務に不要なアプリケーションの利用制限など、多数のプロファイルを作成・適用できます。

【Wi-Fiプロファイルの設定画面】

怪しいアプリを見つけるアプリケーション管理

インストール済みのアプリケーション一覧の取得や、アプリケーションのリモート配信、アプリケーションのブラックリスト/ホワイトリスト登録など、アプリケーション管理を支援する機能を多数搭載しています。

【デバイス内にインストール済みのアプリケーション一覧】

メール管理

各OSごとのメール設定やExchange ActiveSyncの設定を一元管理することで、企業のメール管理をよりセキュアにできます。例えば、メール本文のHTML形式をブロックする設定や、メールアプリケーション以外（ブラウザーなど）でのメールアカウント利用のブロック設定、メールの転送や移動をブロックする設定など、メール設定を一元管理できます。

コンテンツ管理

各デバイスに対して、pdf/txt/docx/xlsx/pptなどのファイルを配布できます。ユーザーがモバイル勤務や客先訪問などの際に、必要なデータのみを共有できます。

コンテナ化

BYOD環境のデバイスも柔軟に管理できます。BYOD用のデバイスグループを作成し、企業のポリシーに合わせて、プロファイル設定やアプリケーションのインストールが可能です。

またMDMの管理下からデバイスを除外する際、企業データのみを消去することで、ユーザーが離職した場合に、企業データを保護できます。

リモート制御

Androidデバイス向けにリモート制御機能、iOSデバイス向けにリモートビュー機能を備えています。リモート制御機能により、ユーザーのトラブルシューティングを支援します。

セキュリティ管理

OSアップデートの自動化や、Microsoft 365/Exchange Serverに対して管理デバイス以外からのアクセス制御、Webコンテンツフィルター、証明書の追加、ストア以外からのアプリケーションインストールのブロックなど、モバイルデバイスのセキュリティを保護する機能を多数備えています。

監査レポート

監査対応に役立つレポートを多数用意しています。例えば、ブラックリスト登録済みのアプリケーションがインストールされているデバイス一覧、ルート化されたデバイス一覧、ジェイルブレイクされたデバイス一覧などがございます。これらのレポートをスケジュール設定し、定期的に受領できます。

MDM（モバイルデバイス管理）を導入せずに運用を続けるリスクとは？

MDMツールを利用せずにモバイルデバイスを運用する場合、基本的にはエンドユーザーに管理を委ねるため、次のようなリスクが考えられます。

対策としてセキュリティポリシーの策定やセキュリティ教育の実施などで、社員の意識を変えていくことも重要です。しかし、ビジネスにスピードが求められる今、モバイルワークのメリットを今後も維持したいと考える企業・社員は多く、モバイル端末の確実な管理が強く求められています。

BYODへの対策

BYODとは「Bring Your Own Device」の略語で、従業員がプライベートで使用しているスマートフォン、タブレット、PCなど個人のデバイスを仕事で使うことです。「私用のスマホで会社のメールチェックを行う」「自宅のノートPCで書類の修正を行う」など、スピードが問われる現在のビジネスにおいて、BYODはとても便利なのが本音です。

一方で懸念されるのがセキュリティです。私用の端末のため様々なアプリケーションがダウンロードされ、閲覧するWEBサイトも本人の自由。そのためウイルス感染や不正アクセスのリスクが常に付きまといます。

しかしBYODを禁止にすると、かえってシャドーITが増える可能性があります。社員の利便性を考え、柔軟な運用ルールを定め、各々のスマホ・タブレット・ノート型PCを細かく管理していく必要があります。

参考ページ：BYODのメリットとデメリット： https://www.manageengine.jp/products/Endpoint_Central/bring-your-own-device-byod.html

Endpoint Centralの MDMのアーキテクチャー

コンピューター/サーバーの管理だけでなく、モバイルデバイスの一元管理も可能です。プロファイル管理、資産管理、アプリケーション管理、コンテンツ管理など多様な機能を利用できます。

• Endpoint Centralからデバイスへの通信は、iOSデバイスでは、TCPポート2195でAppleプッシュ通知サービス（APNs）を通過し、Androidデバイスでは、TCPポート80でGCMを通過します。
• Apple iOS MDMプロトコルと同様に、すべてのiOSデバイスは、TCPポート5223のAPNで専用のTCP接続を維持します。Endpoint Centralは、これを活用して、APNによりデバイスを起動します。
• デバイスは、ポート8383を用いてEndpoint CentralサーバーとHTTPS通信します。
• LAN外のデバイスを管理する場合、各デバイスが常時Endpoint Centralサーバーと接続するために、Endpoint Centralサーバーにグローバル IP アドレスを設定し、Endpoint Central サーバーのプライベートIPアドレス をグローバルIPアドレス にネットワークアドレス変換（NAT）する必要があります。 ※ LAN内のみの管理の場合、NAT設定は不要です。