今回は個々のセキュリティソリューションのご紹介ではなく、企業でスマートデバイスを導入するにあたって必要なセキュリティ対策が一通り備わっており、加えて資産管理の機能も充実している統合製品である「MDM」製品について取り上げたいと思います。
MDMとは、モバイルデバイスマネジメント(Mobile Device Management)の略称です。
世の中には様々なMDM製品が存在しており正式な定義は存在していませんが、一般的には「スマートデバイスの資産管理+セキュリティ対策機能を併せ持った製品」であると言えるでしょう。
対応OS、バージョンで異なるMDMの対応機能
MDMの主要機能は一般的には3つに分けられます。
解説に入る前に、iOSやAndroid、あるいはWindowsMobileをはじめとしたその他のモバイルOSの種類、そのバージョン毎に、MDMでできることが異なるという点を認識いただきたいと思います。
特に、Androidにおいては同じOSのバージョンであっても、製造ベンダーにより利用可能な機能が異なります。MDM製品の導入を検討する際には、導入端末がそのMDM製品の対象になっているかしっかりと確認することをお勧めします。
それでは早速3つの基本機能について見ていきましょう。
機能1 デバイスの情報収集・資産管理
MDMでは、企業において配布されたデバイスの情報を、リモートで取得し一元管理することができます。
具体的にはSSID、UDID、OSのバージョン、シリアルNoなどの端末の固有の情報や、インストール済みアプリケーション情報の取得が可能です。
一般的に、企業内でネットワークに接続されたPCについて「誰がどのPCを使っているか?」、「どのようなソフトウェアをインストールしているか」などのPC資産管理を行なっていると思います。
PC同等の機能を持ち、PCの代用としての使い方も期待されるスマートデバイスにおいても、この資産管理はセキュリティ・コンプライアンスの観点から必須であると言えるでしょう。
機能2 デバイスへの設定の一斉適応(セキュリティポリシーの一斉配布、機能の利用制限の設定配布)で効率的な管理が可能
MDM製品を用いることで、英数字混在や桁数指定のより詳細なパスワード設定など、セキュリティ機能のルールをデバイスに対しリモートで強制することが可能です。
また、iOSであれば、カメラ、Webブラウザ、アプリケーションのインストール、iTunes Store、画面キャプチャーなど、一部の機能の利用制限設定を一斉適用することもできます。(※1)
(※1): Androidは標準的にWi-Fiの制限のみ。HWベンダーやMDMベンダーによって付加機能もある。
これにより、企業は自社のセキュリティポリシーに則って、デバイスを1台1台設定することなく、リモートでMDM管理配下にある全てのデバイスの設定を一元的に管理できるようになります。
機能1、2のポイントとしては、ユーザー側での操作の必要はなく、管理者側からデバイスに対して「強制的かつリモートで適用できる」という点が挙げられます。
機能1の情報収集はデバイスの設定情報を見れば手動で集めることも可能ですし、機能2の設定変更も個々のデバイス毎に設定可能です。
しかし、どちらの場合もデバイス数が多ければ多いほど、単純に時間がかかってしまいます。
MDM製品を使えば、例えデバイスが手元に無くても管理者が設定画面上で操作するだけという圧倒的な効率性を実現することができるのです。
機能3 紛失・盗難対策
前回の講義でもご紹介しましたが、万が一デバイスを紛失してしまった際に遠隔でデバイスのデータを初期化/ロックすることができるリモートワイプ/ロックという機能が、機能の一部としてMDM製品に搭載されています。
この他にも、位置情報の取得(※2)も紛失・盗難対策には有効であると言えるでしょう。
(※2): Android 2.2以降。iOSは標準MDMとしては非搭載のため各MDMベンダーによる。
MDMというソリューションが脚光を浴び、モバイルデバイスの浸透に比例するように、日々新しいMDMサービスが増え続けています。
外部の調査機関によると、2012年11月現在、国内だけでも既に50社以上のMDMベンダーが存在していると言われています。
もちろんそれぞれのベンダーごとに様々な特徴を持っており、他社との差別化を図っているようです。
しかし、「正直どれも似たりよったりの機能ではないか?」、「一体どれを選べば良いのか?」と選定に悩まれる導入検討企業様も多いでしょう。
そこで、MDM製品を選定するにあたり注視すべき3つの選定ポイントをご紹介します。
(1)マルチOSプラットフォーム・マルチキャリア
一つ目は、管理対象のデバイスのOSや通信キャリアに対し、フラットに対応しているという点です。
数あるMDM製品の中には、Androidのみ/iOSのみ対応の製品や通信キャリアを限定した製品も多数存在しています。
しかし、特定OSや特定キャリアにしか対応していないMDM製品を導入していた場合、将来的なデバイス・通信キャリアの変更時にMDM製品自身も変更しなくてはならないというリスクが発生します。
また、従業員の多様なOS/キャリアに属する個人端末の持ち込みを認める、「BYOD(※3)」に対応する場合も必須となります。
よって、MDM製品入れ替えのコスト、新たな製品に管理者が慣れるまでの業務負荷を考えれば、OSやキャリアに依存せずにマルチに対応するベンダーを選択しておくのが正解です。
(※3): Bring your own deviceの略。私用デバイスの活用の意。
(2)標準MDMに搭載されていない付加機能
一般的にAppleもGoogleも、MDMで制御できる項目をAPI(Application Program Interface(※4))としてMDMベンダーに公開しており、MDMベンダーはそのAPIを元に機能を搭載しています。
そのため、上記で紹介した3つの基本機能をはじめ、どのMDM製品でも標準的な機能としては大した違いはありません。
では、一体どこで差別化されるのでしょうか。
それは、それぞれのMDMベンダーが独自に実装している付加機能です。
前回の講義でご紹介した、iOSデバイスのJailBreak検知、AndroidデバイスのRoot化検知もその一つです。
他にも、iOSでの位置情報の取得、アプリケーションの配信リストの作成、認証局からの証明書の自動取得、デバイスへのメッセージ機能など、より管理の面で利便性を高める付加機能が数多く存在します。
選定の際には、上記「MDMの3つの基本機能」でご紹介した機能「以外」の機能にも注目してみてください。
(※4)アプリケーションをプログラムするにあたって、プログラムの手間を省くため、簡潔にプログラムできるように設定されたインターフェースの事。 ここではApple社が「デバイスを遠隔で操作したり管理することをできるようにする機能」のAPIを指しています。
(3)価格
当然、価格面も大きな選定ポイントとなります。
企業にとっては安ければ安いほど魅力的ですが、一方で機能が片手落ちでは意味がありません。
まずは機能や操作性をしっかりと把握し、価格は最終的な判断材料とする事が重要です。
以下、スマビズ!掲載のお勧めMDMソリューションを2製品ご紹介します。
いずれも上記3つの選定ポイントをおさえた製品ですので、ぜひ導入の参考にご覧ください。
●MobiConnect for Business : インヴェンティット株式会社
http://smabiz.jp/solution/detail/solution-168.html
●CLOMO MDM : 株式会社アイキューブドシステムズ
http://smabiz.jp/solution/detail/solution-13.html
以上、MDMについてご紹介いたしました。
残念ながら、現時点ではスマートデバイスを企業で利用した際に考えうる、全てのリスク・業務負荷に対応できるセキュリティ製品は存在しておりません。
また、その対応方法の正解も、企業ごとに異なります。
そもそも「セキュリティ対策によるユーザー行動の抑制」と「ユーザーの利便性・管理者の業務負荷」はトレードオフの関係にあるため、最小限のリスク管理で最大の業務効率を実現する方法を考えることが、企業にとって重要であると考えます。
よって、MDMを導入すれば、全てのセキュリティ上の課題が解決するという訳ではありません。
しかし、数あるセキュリティ対策製品の中でも、企業のセキュリティに対するニーズの広範囲の部分をカバーできる製品の一つとして、MDM製品は非常に有効です。
第1回の講義でもお話しましたが、何より一番大事なことは、「デバイスをどのように使用したいのか?」という利用用途を明確にすることです。
その利用用途に応じて必要な機能を検討し、最終的にその機能を搭載しているMDM製品に絞って、価格面を含めた検討を行うとよいでしょう。
それでは今回の講義はここまで。また次回の講義でお会いしましょう。
この記事に掲載されているデータは2012年11月14日時点のものです。
[掲載日:2012/11/14]