「MDM」はMobile Device Managementの略称で、文字通り「モバイルデバイスを管理する」サービスです。スマートフォンに限らず、タブレットやパソコンといったモバイルデバイス全般の管理に利用します。

移動中にもメール確認や電話、ファイル編集などの作業を行えることから、業務用デバイスを従業員に支給する企業が増えています。しかし、社外で仕事ができる利便性の裏にはデバイス紛失・盗難による情報漏えいといったリスクがあります。そうしたリスク対策の一つとしてMDMが存在するのです。

MDMの役割とは?

近年、さまざまなMDM製品が登場していますが、どの製品にも採用されている基本機能として「情報取得」「紛失時対応」「不正利用防止」の3点が挙げられます。

まず「情報取得」は、デバイスの電話番号やシリアル番号、IMEIといったさまざまな情報が取得可能となります。取得した情報に加え、デバイスごとに氏名や部署名などを入力して管理することで、「誰がどのデバイスを使用しているか」を一目で把握できるのです。基本的にデバイス側の管理アプリと管理者側のMDMが常に通信しており、電源オン・オフの状態から位置情報まで、詳細なデータをリアルタイムで確認可能です。

続く「紛失時対応」は、悪意のある第三者によってデバイスが悪用されることを防ぎます。「ワイプ(デバイス内のデータを消去し、初期化する)」や「ロック(デバイスにロックをかけ、使用できなくする)」のリクエストをMDMから送りますが、電源オフの時はどうなるのでしょうか? 電源オフに限らず、通信エラーなどによってMDMと通信ができていなかった場合でも、ワイプやロックのリクエストは残り続けるため、電源オンになったタイミングでワイプやロックが実施されるため、安心です。

最後の「不正利用防止」は、デバイスの一部機能を停止/禁止できます。例えば、企業によっては「機密情報を扱う現場でカメラの使用を禁止したい」「業務用デバイスを私的利用してほしくないから、アプリのインストールを禁止したい」といったニーズがあります。こうした「カメラ機能の使用禁止」「ストアアプリの使用禁止」といった項目設定によって、企業が求めるデバイス環境を構築できるのです。下記の画像はiOSデバイスのケースですが、アイコンが消滅してアプリが利用できなくなっていることがわかります。

機能制限適用時の挙動

MDMの仕組み

「MDMという言葉は聞いたことがある」という方でも、MDMの仕組みをご存じない方が多いかもしれません。MDMは、管理者が管理サーバーに制御指示を送って、その指示を管理サーバーがデバイスに適用させ、デバイスに指示が届いています。この時、iOSデバイスの場合はApple Push Notification Service (APNs)、Androidデバイスの場合はGoogle Cloud Messaging (GCM)というサーバーを経由しています。これらは管理サーバーから指示を受け取って指示を受け取るデバイスを呼び出しつつ、管理サーバーへアクセスするようにデバイスへ指示して、制御を実行します。APNsやGCMは、常にデバイスの識別情報を保持しており、管理サーバーからの指示に対応します。下記の画像では、MDMの通信の流れを示しています。

MDMの通信の流れ

iOSとAndroidの違い

細かいポイントではありますが、iOSとAndroidではMDMの制御方法が異なります。

iOSデバイスでは、「Apple Configurator」というツールで「プロファイル」と呼ばれる設定ポリシーを作成・適用することでデバイスの制御を行います。Macに搭載されているApple ConfiguratorはiOS設定用ツールですが、近年その機能の一部がMDMでも利用できるようになり、MDMでプロファイルを作成し、遠隔操作でデバイスを制御できます。

一方でAndroidデバイス向けには、これまでApple Configuratorのようなツールが用意されていませんでした。しかし2015年にGoogleが「Android for Work」を発表し、セキュリティや管理、アプリのサポート機能が組み込まれた、専用の業務用プロファイルを利用できるようになりました。

Androidは、デバイスにMDMサーバーと連携するエージェントをインストールして制御します。MDM機能やエージェントは、各MDMベンダーが開発するため、製品によって機能差が生じます。これに加え、Androidはさまざまなメーカーの製品が存在しているため、バージョンが同一でも一部機能が利用できないといったケースが存在します。Androidデバイスを業務上で利用する場合は、こうした前提のもとにMDMを選択してください。

MDMの提供形態は?

MDMサービスにも、オンプレミス版とクラウド(SaaS)版が存在します。

クラウド(SaaS)

・ベンダーが用意したMDMサーバーからデバイスを管理 ・サーバーの構築費用などがかからず、比較的安価に導入可能 ・デバイスの台数に応じた料金体系

オンプレミス

・自社データセンター内にMDMサーバーを構築して管理 ・サーバー構築などの初期費用が発生 ・大規模導入のケースでは、オンプレミスの方がコストの低廉化も

MDM製品の選定は意外にも、「社内の要望に応えられる機能が存在するか」「導入規模と提供形態」といった細かい判断基準が存在します。導入する場合は担当者自身で比較するよりも、さまざまな環境への導入を経験しているベンダーへの相談をお勧めします。今回ご紹介した内容を踏まえつつ、最適な製品を見つけてください。

著者紹介


林 佑太(はやし・ゆうた)
ソフトバンク 法人事業統括 ICTイノベーション本部 クラウドサービス統括部 プロダクト企画部

ソフトバンクの法人向け端末管理サービス「ビジネス・コンシェル デバイスマネジメント」を担当