MDM・EMM(モバイルデバイス管理)のITreview Grid

 MDM・EMM(モバイルデバイス管理)とは、スマートフォンやタブレットなどの携帯情報端末(モバイルデバイス)を管理する仕組みのこと。企業が配布、または社内持ち込み(BYOD:Bring Your Own Device)を認められたモバイルデバイスに対し、ポリシーに従ったシステム設定(ネットワークやセキュリティ)を課して必要な機能の有効化、不要な機能の制限などを行う。モバイルデバイスを管理するMDM(Mobile Device Management)、業務に必要/不要なモバイルアプリの利用/禁止を制御するMAM(モバイルアプリケーション管理)、モバイルデバイスを紛失した際に遠隔操作によってデータを保護するMCM(モバイルコンテンツ管理)を含むことが多く、全ての機能を統合して企業が一元管理する仕組みをEMM(エンタープライズモビリティ管理)と呼ぶ。


MDM・EMM(モバイルデバイス管理)の導入効果


ポリシーに従ったデバイスの運用が可能

 MDM・EMMを利用すると、規定されたポリシーに従ったモバイルデバイスの運用が可能になる。ポリシーを変更した際にも、その設定内容を遠隔制御で適用できる。また、MAM(モバイルアプリ管理)機能を利用し、業務に必要なアプリを一括して配布したり、業務に不要なアプリのインストールを禁止したりすることも可能。社内ネットワークへの接続許可、公衆無線LAN(フリーWi-Fi)の利用禁止といった詳細なアクセス制御を実施すれば、モバイルデバイス経由による機密情報漏えいのリスクを大幅に軽減できる。

モバイルデバイスの不正利用を防止

 モバイルデバイスには豊富な機能が搭載されており、アプリを追加するだけで容易に機能を拡張できる。MDM・EMMを利用すると、カメラ、Wi-Fi、Bluetooth、microSDなどのデバイス機能のうち、業務に不要なものを無効にすることができる。また、デバイスの内部ストレージを常時監視し、アプリの追加や削除、通信の利用状況などの情報を取得できるMDM・EMMツールもある。こうしたツールには不要なアプリを強制的に削除する機能を備えているので、モバイルデバイスの不正利用を確実に防止できる。

紛失・盗難時の情報漏えいを防止

 MDM・EMMは、デバイスを紛失、または盗難の被害に遭った際に、遠隔操作でデバイスを利用不可の状態(リモートロック機能)にしたり、デバイス内のデータを全て消去(リモートワイプ機能)したりできる。ただし、携帯電話の電波が届く範囲にあって電源がオンの状態でなければ消去できないため、パスワード/PINコードの入力を要求する画面ロック機能、パスワード/PINコードの入力を一定回数失敗すると自動的にデータを消去するローカルワイプ機能など、デバイスに搭載された機能と組み合わせて利用することが望ましい。


MDM・EMM(モバイルデバイス管理)の・導入検討ユーザー


導入検討、利用ユーザー
 情報管理、モバイルデバイスの運用管理を行う担当者


MDM・EMM(モバイルデバイス管理)の機能一覧


設定情報と資産を管理する機能

機能 解説
モバイルデバイス情報 OS(Android、iOS、Windowsなど)とOSバージョン、機種・モデル名(iPhone、iPadなど)、プロセッサ名などさまざまなデバイス固有の情報を取得する
アプリ一覧 デバイスにインストールされているアプリとバージョンを一覧表示する
位置情報 GPS機能や携帯電話の電波による測位機能を利用し、デバイスの位置情報(緯度・経度)を取得する。地図上に位置を表示するものもある
キッティング/アプリ配信 複数のデバイスに対し、同じシステム設定、同じアプリの配布などのキッティング作業を一斉に実施する
アラート 携帯電話の電波やWi-Fiが届かない場所にあり、MDM・EMMで管理できないデバイスを検知して通知する
パスワード パスワードの長さや文字種(英大文字小文字、数字、記号)などパスワードの設定ルールを適用する
ネットワーク設定 Wi-Fi接続設定、VPN設定、メール設定、ブックマーク設定、プロキシ設定などを適用する
ローミング制御 音声通話ローミング、データ通信ローミングなどを設定する
MAM(モバイルアプリケーション管理) 業務に必要なアプリケーションに対して、アクセス制限やデータ保護の設定などを行う
MCM(モバイルコンテンツ管理) 業務に必要なデータに対して、アクセス制限や閲覧・編集制御などを行う


運用管理業務を支援する機能

機能 解説
レポート 管理するモバイルデバイスに関するさまざまな情報(起動中のデバイス数、制御内容)などをレポートに表示する
ログ管理 MDM・EMMが制御したジョブや成功/失敗などのログ情報を表示する
ポリシー・階層管理 組織の拠点、部署などの単位でグループを作成し、階層的に管理する。それぞれのグループごとに詳細なポリシーを個別設定し、自動的に適用できる
権限設定 モバイルデバイスを分担して管理するために、MDM・EMMの管理者権限を移譲・付与する


セキュリティ対策を強化する機能

機能 解説
ハードウェア機能制限 カメラ、Wi-Fi、Bluetooth、microSDなどデバイスのハードウェア機能を制限する
アプリ制限 新規アプリのインストール、アプリストアの利用、プリインストールアプリの利用を制限する
Wi-Fi SSID制限 Wi-Fi接続先を制御し、セキュリティ上の問題があるフリーWi-Fiなどへのアクセスを禁止する
アプリ利用検知 必要なアプリがインストールされていない、または違反アプリのインストール・実行などの状態を検知し、アラートで通知する
ポリシー違反検知 デバイスの設定状況を監視し、違反する設定や利用を検知してアラートで通知する
リモートロック 遠隔操作でデバイスを利用できない状態にする
リモートワイプ 遠隔操作でデバイスを初期化(工場出荷状態にリセット)する
ファイル操作 遠隔操作でデバイスのローカルストレージにあるフォルダ/ファイルを削除する
アップデート OSやアプリの最新バージョンが公開された際に、自動的にアップデートを適用する




MDM・EMM(モバイルデバイス管理)の選定ポイント


ツールごとの違い(製品思想、機能)

 MDM・EMMには、多くの製品・サービスが存在する。どの製品・サービスもモバイルデバイスを統合的に管理するという役目に違いはないものの、製品・サービスによって若干の違いがある。特に注意したいのが、管理できるモバイルデバイスの種類。iPhoneやiPadの場合はサポートしているモデルやiOSのバージョン、Androidの場合はどのメーカーの製品、モデル、OSのバージョンをサポートしているかを必ず確認する。また、Windowsのモバイルデバイスも同時に管理したい場合には、Windows対応ツールを選択する。

 また、適用できる機能の違いにより、以下の2つの製品・サービスに分けられる。

・エージェント型
 モバイルデバイスにエージェントと呼ばれる常駐プログラムをインストールする。このプログラムが詳細な制御などを行う。

・エージェントレス型
 エージェントを使わずに制御する。エージェント型に比べて機能は限定されるが、システムを変更することなく導入できる。

導入形態

 MDM・EMMには、オンプレミス環境に導入するソフトウェアパッケージ製品と、クラウドサービスとして提供されている製品がある。オンプレミス環境の場合、MDM・EMMのサーバを設置する。クラウドサービスはSaaS(Software as a Service)として提供されており、ハードウェアインフラを用意する必要がない。

価格形態・契約形態

 MDM・EMMの価格は製品・サービスによって異なるが、オンプレミスのサーバにインストールするパッケージ製品の場合は数万円〜十数万円程度のサーバライセンスが必要になる。クラウドサービスの場合は1ユーザーあたり月額数百円程度で利用できる。またクラウドサービスの中には、契約時の初期費用や年間保守費用が別途必要になるものもある。

オプション

 MDM・EMMのオプション機能(別途追加費用が発生する機能)は、製品・サービスによって異なる。例えば、自社開発のモバイルアプリを効率的に配布する機能、深夜早朝や休日に社内の担当者に代わって管理を代行するマネージドサービスなどをオプションとして提供している製品・サービスがある。

MDM・EMM(モバイルデバイス管理)のシステム要件・他システムとの連携方法

一般的な導入方法・導入環境

 MDM・EMMは、SaaS型のクラウドサービスとして提供されているものが多い。初期設定が必要なクラウドサービスの中には、事前の導入コンサルティングやワークフローの設計、フォームのデザイン、エンドユーザーの使い方トレーニングなどのサービスも含めて提供している場合がある、

導入後の運用方法・サポートの有無

 導入後の運用は、情報システム部門が統括して管理することが一般的。SaaS型のクラウドサービスの場合、サポート体制を充実させている事業者も多い。MDM・EMMの場合、基本的にエンドユーザーが導入を意識したり、操作を問い合わせたりすることはない。

他製品との連携方法

 MDM・EMMは他の運用管理システム(ジョブ管理、性能管理、構成管理、バックアップ、帳票出力など)と組み合わせて利用する場合が多く、これらの機能にMDM・EMMを含めた統合運用管理システムも存在する。MDM・EMMの設定情報などを他のシステムで利用する場合は、CSV形式のファイルなどでエクスポートすることが一般的。

MDM・EMM(モバイルデバイス管理)のメニュー

MDM・EMM(モバイルデバイス管理)の基礎知識

 MDM・EMM(モバイルデバイス管理)とは、スマートフォンやタブレットなどの携帯情報端末(モバイルデバイス)を管理する仕組みのこと。企業が配布、または社内持ち込み(BYOD:Bring Your Own Device)を認められたモバイルデバイスに対し、ポリシーに従ったシステム設定(ネットワークやセキュリティ)を課して必要な機能の有効化、不要な機能の制限などを行う。モバイルデバイスを管理するMDM(Mobile Device Management)、業務に必要/不要なモバイルアプリの利用/禁止を制御するMAM(モバイルアプリケーション管理)、モバイルデバイスを紛失した際に遠隔操作によってデータを保護するMCM(モバイルコンテンツ管理)を含むことが多く、全ての機能を統合して企業が一元管理する仕組みをEMM(エンタープライズモビリティ管理)と呼ぶ。


MDM・EMM(モバイルデバイス管理)の導入効果


ポリシーに従ったデバイスの運用が可能

 MDM・EMMを利用すると、規定されたポリシーに従ったモバイルデバイスの運用が可能になる。ポリシーを変更した際にも、その設定内容を遠隔制御で適用できる。また、MAM(モバイルアプリ管理)機能を利用し、業務に必要なアプリを一括して配布したり、業務に不要なアプリのインストールを禁止したりすることも可能。社内ネットワークへの接続許可、公衆無線LAN(フリーWi-Fi)の利用禁止といった詳細なアクセス制御を実施すれば、モバイルデバイス経由による機密情報漏えいのリスクを大幅に軽減できる。

モバイルデバイスの不正利用を防止

 モバイルデバイスには豊富な機能が搭載されており、アプリを追加するだけで容易に機能を拡張できる。MDM・EMMを利用すると、カメラ、Wi-Fi、Bluetooth、microSDなどのデバイス機能のうち、業務に不要なものを無効にすることができる。また、デバイスの内部ストレージを常時監視し、アプリの追加や削除、通信の利用状況などの情報を取得できるMDM・EMMツールもある。こうしたツールには不要なアプリを強制的に削除する機能を備えているので、モバイルデバイスの不正利用を確実に防止できる。

紛失・盗難時の情報漏えいを防止

 MDM・EMMは、デバイスを紛失、または盗難の被害に遭った際に、遠隔操作でデバイスを利用不可の状態(リモートロック機能)にしたり、デバイス内のデータを全て消去(リモートワイプ機能)したりできる。ただし、携帯電話の電波が届く範囲にあって電源がオンの状態でなければ消去できないため、パスワード/PINコードの入力を要求する画面ロック機能、パスワード/PINコードの入力を一定回数失敗すると自動的にデータを消去するローカルワイプ機能など、デバイスに搭載された機能と組み合わせて利用することが望ましい。


MDM・EMM(モバイルデバイス管理)の・導入検討ユーザー


導入検討、利用ユーザー
 情報管理、モバイルデバイスの運用管理を行う担当者


MDM・EMM(モバイルデバイス管理)の機能一覧


設定情報と資産を管理する機能

機能 解説
モバイルデバイス情報 OS(Android、iOS、Windowsなど)とOSバージョン、機種・モデル名(iPhone、iPadなど)、プロセッサ名などさまざまなデバイス固有の情報を取得する
アプリ一覧 デバイスにインストールされているアプリとバージョンを一覧表示する
位置情報 GPS機能や携帯電話の電波による測位機能を利用し、デバイスの位置情報(緯度・経度)を取得する。地図上に位置を表示するものもある
キッティング/アプリ配信 複数のデバイスに対し、同じシステム設定、同じアプリの配布などのキッティング作業を一斉に実施する
アラート 携帯電話の電波やWi-Fiが届かない場所にあり、MDM・EMMで管理できないデバイスを検知して通知する
パスワード パスワードの長さや文字種(英大文字小文字、数字、記号)などパスワードの設定ルールを適用する
ネットワーク設定 Wi-Fi接続設定、VPN設定、メール設定、ブックマーク設定、プロキシ設定などを適用する
ローミング制御 音声通話ローミング、データ通信ローミングなどを設定する
MAM(モバイルアプリケーション管理) 業務に必要なアプリケーションに対して、アクセス制限やデータ保護の設定などを行う
MCM(モバイルコンテンツ管理) 業務に必要なデータに対して、アクセス制限や閲覧・編集制御などを行う


運用管理業務を支援する機能

機能 解説
レポート 管理するモバイルデバイスに関するさまざまな情報(起動中のデバイス数、制御内容)などをレポートに表示する
ログ管理 MDM・EMMが制御したジョブや成功/失敗などのログ情報を表示する
ポリシー・階層管理 組織の拠点、部署などの単位でグループを作成し、階層的に管理する。それぞれのグループごとに詳細なポリシーを個別設定し、自動的に適用できる
権限設定 モバイルデバイスを分担して管理するために、MDM・EMMの管理者権限を移譲・付与する


セキュリティ対策を強化する機能

機能 解説
ハードウェア機能制限 カメラ、Wi-Fi、Bluetooth、microSDなどデバイスのハードウェア機能を制限する
アプリ制限 新規アプリのインストール、アプリストアの利用、プリインストールアプリの利用を制限する
Wi-Fi SSID制限 Wi-Fi接続先を制御し、セキュリティ上の問題があるフリーWi-Fiなどへのアクセスを禁止する
アプリ利用検知 必要なアプリがインストールされていない、または違反アプリのインストール・実行などの状態を検知し、アラートで通知する
ポリシー違反検知 デバイスの設定状況を監視し、違反する設定や利用を検知してアラートで通知する
リモートロック 遠隔操作でデバイスを利用できない状態にする
リモートワイプ 遠隔操作でデバイスを初期化(工場出荷状態にリセット)する
ファイル操作 遠隔操作でデバイスのローカルストレージにあるフォルダ/ファイルを削除する
アップデート OSやアプリの最新バージョンが公開された際に、自動的にアップデートを適用する




MDM・EMM(モバイルデバイス管理)の選定ポイント


ツールごとの違い(製品思想、機能)

 MDM・EMMには、多くの製品・サービスが存在する。どの製品・サービスもモバイルデバイスを統合的に管理するという役目に違いはないものの、製品・サービスによって若干の違いがある。特に注意したいのが、管理できるモバイルデバイスの種類。iPhoneやiPadの場合はサポートしているモデルやiOSのバージョン、Androidの場合はどのメーカーの製品、モデル、OSのバージョンをサポートしているかを必ず確認する。また、Windowsのモバイルデバイスも同時に管理したい場合には、Windows対応ツールを選択する。

 また、適用できる機能の違いにより、以下の2つの製品・サービスに分けられる。

・エージェント型
 モバイルデバイスにエージェントと呼ばれる常駐プログラムをインストールする。このプログラムが詳細な制御などを行う。

・エージェントレス型
 エージェントを使わずに制御する。エージェント型に比べて機能は限定されるが、システムを変更することなく導入できる。

導入形態

 MDM・EMMには、オンプレミス環境に導入するソフトウェアパッケージ製品と、クラウドサービスとして提供されている製品がある。オンプレミス環境の場合、MDM・EMMのサーバを設置する。クラウドサービスはSaaS(Software as a Service)として提供されており、ハードウェアインフラを用意する必要がない。

価格形態・契約形態

 MDM・EMMの価格は製品・サービスによって異なるが、オンプレミスのサーバにインストールするパッケージ製品の場合は数万円〜十数万円程度のサーバライセンスが必要になる。クラウドサービスの場合は1ユーザーあたり月額数百円程度で利用できる。またクラウドサービスの中には、契約時の初期費用や年間保守費用が別途必要になるものもある。

オプション

 MDM・EMMのオプション機能(別途追加費用が発生する機能)は、製品・サービスによって異なる。例えば、自社開発のモバイルアプリを効率的に配布する機能、深夜早朝や休日に社内の担当者に代わって管理を代行するマネージドサービスなどをオプションとして提供している製品・サービスがある。

MDM・EMM(モバイルデバイス管理)のシステム要件・他システムとの連携方法

一般的な導入方法・導入環境

 MDM・EMMは、SaaS型のクラウドサービスとして提供されているものが多い。初期設定が必要なクラウドサービスの中には、事前の導入コンサルティングやワークフローの設計、フォームのデザイン、エンドユーザーの使い方トレーニングなどのサービスも含めて提供している場合がある、

導入後の運用方法・サポートの有無

 導入後の運用は、情報システム部門が統括して管理することが一般的。SaaS型のクラウドサービスの場合、サポート体制を充実させている事業者も多い。MDM・EMMの場合、基本的にエンドユーザーが導入を意識したり、操作を問い合わせたりすることはない。

他製品との連携方法

 MDM・EMMは他の運用管理システム(ジョブ管理、性能管理、構成管理、バックアップ、帳票出力など)と組み合わせて利用する場合が多く、これらの機能にMDM・EMMを含めた統合運用管理システムも存在する。MDM・EMMの設定情報などを他のシステムで利用する場合は、CSV形式のファイルなどでエクスポートすることが一般的。