企業において、パソコンだけでなくスマートフォンやタブレットなど、さまざまなデバイスが利用されてきている。それらを効率よく安全に管理しようという考え方で生まれたのがモバイルデバイス管理(MDM)と呼ばれるソリューションだ。
マルチOS、マルチデバイスに対応し、実際にユーザーが使うPCやスマホ、アプリケーション、WebアクセスをマネージメントできるNTTコミュニケーションズの『Workspace MDM』について取材した。
導入のメリットや機能の特徴について、NTTコミュニケーションズ アプリケーション&コンテンツサービス部の大亀譲治氏と平尾拓氏に聞いた。
マルチOS、マルチデバイスを一元管理
2016年から働き方改革が叫ばれるようになり、テレワークによるモバイルデバイスの持ち出しが必須になってきている。
個人情報保護法などもあり、これまでは情報漏えいを防ぐために、モバイル端末でありながら、社外への持ち出しを禁止してきた企業も方針転換を迫られている。セキュリティをしっかり管理した上で持ち出しできるようにする必要が出てきたのだ。これを実現するためにMDMが注目を集めている。
NTTコミュニケーションズの『Workspace MDM』は、2016年にサービスを開始したSaaS型のMDMで、マルチOSに対応したデバイス管理ができるのが特徴だ。また、オンプレミスのシステムを組むのとは異なり、初期費用がかからず、利用台数で月額利用料が決まるシステムなので、導入しやすいのも売りの1つである。
利用できる機能は大きく分けて4つある。
1. デバイスの情報取得やポリシーの管理、ユーザー管理、デバイスの位置情報の取得など資産管理の機能。
2. リモート削除やロック、カメラやUSBの利用制限などといったセキュリティ管理機能。
3. アプリの配信や起動禁止、インストール制限などアプリケーション管理機能。
4. WebフィルタリングやWi-Fiフィルタリング、アクセス履歴のログなどWebアクセス管理機能。
これらの機能は、マルチOSに対応しているので、Windowsはもちろん、AndroidやiOS。Mac OSのデバイスを一元管理できる。各機能は、OSが公開しているAPIによって、できたりできなかったりするものの、働き方改革を実現するには十分な機能をこのMDMだけで賄える。
テレワークに必要なセキュリティ対策もバッチリ
管理コンソールは、Webブラウザーを利用しサーバーへアクセスするもの。
各種ポリシーを作成したりデバイスを新規に登録したり、リモートロックやデバイス内にあるデータの消去を行ったりといったことが、Webブラウザーを開けばどこからでもアクセスして実行できる。CSV形式で登録されているデバイス一覧を出力も可能なので、棚卸しのチェックなどでデータを活用することも可能だ。
デバイスの管理は、ユーザー単位と組織単位で登録でき、各デバイスがどの組織に属するのか登録すれば、組織ごとに設定した制限やポリシーが自動的に反映される。デバイス側はエージェントソフトをインストールしてライセンス認証するだけ。最初に各デバイスの運用ポリシーをどうするかという設定さえ済んでしまえば、管理すること自体はとても簡単だ。運用する負担が軽減されることは、MDMを導入する理由の1つでもある。
危険のあるものには触らせない、そのための機能も
セキュリティ対策も、以前ならセキュリティソフトをインストールして、ウイルスやマルウェアの侵入を防げばよかったが、最近はゼロデイ攻撃や標的型攻撃などもある。
とにかく余計な情報に触れさせないよう、MDMで組織ごとにセキュリティポリシーを設定し、アクセスできないようにしておくことが重要だ。
Workspace MDMでは、WindowsではWebサイトへのアクセス制限やアプリケーションの起動禁止、スマホではアプリ自体をインストールできなくしたり、アプリの利用制限をするといった対策ができる。iOS向けに『アプリカタログ』が用意されていて、使って良いアプリだけを掲載し、その中から自由にインストールできる。また、ユーザーへ通知を送り、導入すべきアプリのインストールを促すことも可能だ。
データをクラウドストレージへ保存するケースも増えているが、個人が勝手にクラウドストレージへアップロードできると、情報漏えいの原因になりかねない。この場合は、会社で決められたストレージのみ扱うよう、アプリの制限やインストールの禁止といった制限をかければいい。セキュリティリスクを排除することも、Workspace MDMなら簡単にできるわけだ。
さらに、USB端子を利用してメモリーやメディアへデータをコピーされてしまったり、USBメモリー経由でウイルスに感染してしまったり、というケースも多発している。このようなトラブルを防ぐため、USBやSDカードスロット、光学ドライブを無効化することが可能だ。
ただ、USB端子を完全に塞いでしまうと、マウスやキーボードを使いたいときなどに不便だ。そこで、USB機器固有のインスタンスパスを利用して、登録された機器のみ利用できるようにする仕組みも用意されている。ちなみに、VAIO Proの場合、ACアダプターにUSB端子が備わっている。スマートフォンの充電はそこからできるため、USBの機能が塞がれていても大丈夫だ。
セキュリティ対策として、Wi-Fiフィルターもテレワークには重要だ。外出時、ネットカフェや漫画喫茶などのフリーWi-Fiを使えば利便性は高いが、反面盗聴の危険性もある。そのため、それを利用して業務を行うにはリスクが高い。このため、事前に登録しておいたSSIDやMACアドレスだけ接続可能にすることで、セキュリティを高められる。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります