すでに要る・要らないではない――スマホの業務利用は
MDMの導入が必然に

KDDI株式会社
KDDIは、個人のお客様には「au」「UQ mobile」「povo」のマルチブランドで展開し、法人のお客様には「KDDI BUSINESS」のブランドで国内外に多くのサービスを提供しています。「『つなぐチカラ』を進化させ、誰もが思いを実現できる社会をつくる。」というVISIONの下、サステナビリティ経営を根幹にパートナーの皆さまと共に、社会の持続的成長と企業価値の向上を目指していきます。

BCP対策にも効果的なスマホ利用
大前提はルールの整備とMDMの導入

災害時の事業継続にもスマホが欠かせない時代に

――コロナ禍を経て、オフィスワークが主体だった人たちにもスマートフォンの業務利用が広がりましたが、社外での利用にはさまざまなリスクが伴います。対策として法人でのMDM導入は進んでいるのでしょうか？

大手企業では、コンプライアンス遵守のためモバイル端末の管理や使用についてのルール化が進んでいますので、MDMの導入は当たり前になっています。一方、中堅・中小企業の一部では、対応が追いついていないケースもあるというのが現在の状況です。これには、コロナ禍以前はコスト面の負担を考慮して、スマートフォンの支給を上位役職者のみに制限。そのほかの従業員には、日本でガラケーと呼ばれるフィーチャーフォンを支給していた企業が多かったという背景も影響しているのかもしれません。

また、近年は毎年のように全国各地で災害が発生するのが当たり前になってきました。そのため、緊急事態でも事業を止めないBCP（事業継続計画）を整備する企業が増えています。緊急事態での業務は、PCよりもスマートフォンの利用が増えるため、今後、従業員にスマートフォンを支給する企業はさらに増えていくのではないでしょうか。

――会社から支給するのが難しい場合、個人保有の端末を業務利用するBYOD（Bring Your Own Device）を選択する企業も一定数あります。問題はないのでしょうか？

個人の端末の業務利用は、会社から支給した場合と比べると、どうしても情報漏洩等のセキュリティリスクが高くなります。そのため当社では、個人所有のモバイル端末を業務で利用するべきではないと一貫してお伝えしてきました。しかし、BYODを選択されている企業にとって、コストがネックとなっているケースが多く、会社支給に切り替えるのは簡単ではないかもしれません。

数年前からモバイルOSには仕事用プロファイルが搭載され、個人データと業務データを分けて利用できるようになりました。また、仕事用プロファイルのセキュリティは多層的なアプローチに依存しているため、セキュリティ管理が複雑になる側面も。さらに、仕事用プロファイルの使用時に限定されているとはいえ、従業員にとって個人所有の端末に対して会社からネットワーク活動が監視される状況に抵抗感を持つ人は多いはずです。いずれにしても、セキュリティを考慮して安全に利用するためには、会社から端末を支給してMDMで制御できる状況にしておくことが重要だと思います。

MDM選定時のチェックポイントは
OSのバージョンアップに追随できているかどうか

利用者のリテラシーを信用しない対策が必要

――PCも数十台規模になると、SKYSEA Client Viewのような一括管理できるシステムが必要とされます。同様にモバイル端末もある程度の台数になれば、MDMで管理できる環境が必要になるのではないでしょうか？

そのとおりで、社内のネットワークにアクセスが可能なモバイル端末は、PCと同等に管理する必要があります。従業員にパスコードを設定して渡しても、入力するのが手間、いざというときに忘れたら面倒などと考えて、勝手に設定を解除されてしまう可能性もゼロではありません。MDMがなければ、パスコードを必須にしたり解除に気づくことは難しいため、紛失した際の情報流出リスクが高まります。

また、社内ネットワークにアクセスできるモバイル端末を、多くの人は気軽に社外へ持ち出していると思いますが、実際には持ち出し禁止の社外秘ファイルを持ち歩いているのと同じです。しかし、利用者のリテラシーを上げていくのは簡単なことではありません。それについては、私よりも情報システム部門の皆さんがよくご存じだと思います。だからこそ、従業員にはMDMでパスコードが解除できないよう設定してから渡すなど、性善説に基づかない対策が必須です。

管理負荷の軽減のためにPCとスマホは同一システムで

――MDM選定時にポイントにすべき点はありますか？

AIの搭載など端末やOSはどんどん進化しています。そのため、MDMに求められるのは、できるだけ後れを取らずに追随することです。OSのアップデートが頻繁に実施されていることを考慮すれば、MDMも年に数回のアップデートが判断基準の一つになるのではないでしょうか。また、PCの場合と同様に、管理するサービスを入れたらそれでおしまいではありませんから、UIのわかりやすさや操作性も事前に確認しておく必要があると思います。お忙しい情報システム部門の方々にとって、禁止した操作が行われてアラートが上がったら、そのリスクをスムーズにつぶせる運用面の使いやすさは、MDMを選定する際に外せない要素です。

――SKYSEA Client Viewは発売以来、年に1回のメジャーバージョンアップ、数回のマイナーバージョンアップを繰り返してきました。今後はMDMをさらに強化していく予定ですので、ぜひ選択肢の一つに選んでいただけたらと思います。

そうですね。今後は、SIMカード搭載のノートPCを採用する法人が増えてくるのではないかと思っています。モバイルWi-Fiルーターやドングル、テザリングが不要で、社外でもスマートフォンと同じようにネットワークに接続できることは、利用者にとって接続の手間が減らせるだけでなく紛失リスクの削減にも。また、通信機器の管理工数が削減できますから、情報システムご担当者にとってもメリットがあります。ノートPCもスマートフォンも、社内ネットワークにつながる通信機器として一つのシステムで管理できるようになれば、さらに便利になっていくのではないでしょうか。

そのほかにも、トラブルが発生した際の対応窓口が設けられていること、サポート体制がしっかりアナウンスされているかも確認しておきましょう。スマートフォンなどのモバイル端末は、PCと同じでトラブルの発生要因が複雑です。機種に依存しているのか、原因がOS側にあるのか、はたまたMDMに問題があるのか。自力で要素を切り分けて解決するのは簡単なことではありません。

MDMの導入は、法人にとってコストメリットに

――先ほど、OSのアップデートに追随のお話がありましたが、AndroidやiOSのアップデートは頻繁に、しかも突然行われるので、MDMを提供しているメーカーとしてはなかなか大変だったりもします。

確かに、プラットフォーム事業者による頻繁なアップデートは、MDMを開発している現場の皆さんにとっては大変ですよね。でも、AppleやGoogleなどのプラットフォーム事業者が提供している端末は、法人ではなくコンシューマ向けをメインとしたものが多いです。もし両社が法人専用の端末を開発したと仮定すると、それほど多機能ではなくても相当高額な端末になることは想像に難くありません。そう考えると、iPhoneなどのかなりハイスペックなコンシューマ向けモバイル端末をMDMで管理すれば、法人向けの安全な端末に変わることは、経済合理性があるといえるのではないでしょうか。これは、あくまでもモバイル端末を提供する通信キャリア側の目線ですが、このようなエコシステムが働いていることは、利用する法人にとってのコストメリットだと思います。モバイル端末を安全安心に活用できるよう、MDMのメーカー各社には頑張っていただくしかありません。

スマホの業務利用に潜むリスクは
紛失だけではない

MDM未導入で生じるセキュリティリスクとは

――スマートフォンの業務利用にMDMを活用しないのは、セキュリティリスクしかないと感じます。それでも一定数の法人で導入が進まない理由として、何が考えられますか？

法人の中には、ショップなどの店舗で端末を購入いただいているお客様が一定数いらっしゃいます。基本的には、端末をご購入いただく際にはMDMのセットでご案内させていただくようにしておりますが中にはたまたま購入した店舗で、MDMの説明を受ける機会がなく利用されているようなケースがあるかもしれません。または、MDMの案内を受けたけれども、セキュリティリスクを正しく理解されず、コスト削減を優先してMDM未導入でご利用されるケースが少なからずあります。しかし、社外から社内ネットワークにアクセスして社外秘ファイルを見ることができる、オンラインストレージが自由に使える、業務外のアプリケーションのインストールが可能。さらに課金までされてしまう可能性があると想像すれば、MDMで管理していない状況の恐ろしさに気づいていただけると思います。

――リスクを理解されている情報システム部門の方も、経営層に理解いただく難しさを感じていらっしゃるような気がします。

外出時に紛失してしまった場合、通信事業者が提供しているコンシューマ向けサービスの中にもGPSを使って探せる機能がありますが、いくつもの条件が有効になっていなければ機能しません。また、実際に探せる状態になるまでに時間がかかることもあり、気合と根性が必要な作業です。

一概にはいえませんが、数十台以上管理されているのにMDMが導入されない場合、認識されているリスクが紛失だけの場合が多いかもしれません。確かに紛失だけであれば、通信事業者が提供しているGPSを使ったコンシューマ向けサービスを使用することもできます。しかし、紛失して焦っている状況下で落ち着いて作業ができるでしょうか？

残念ながら見つからなかった場合は、通信キャリアに依頼して端末をロックしてもらいます。さらに、遠隔操作でデータの消去を依頼すれば、リスクを回避できるように感じるかもしれませんが、実際のリスクは紛失だけではありません。先ほども話に出ましたが、許可していないオンラインストレージの利用や、アプリケーションのインストールはもちろん、パスコードが解除された状態でのテザリングは、周辺の人々が接続を試みる可能性もあって危険です。法人でのモバイル端末の利用は、まずは経営者にリスクを正しく理解してもらい、MDMで制御・管理することの重要性を知って予算を確保する。つまり、MDMなしで利用する選択肢はないと思います。

これからは、スマホをPCだと思って制御する時代

――最後に読者の皆さまにメッセージをお願いします。

MDMの必要性を認識されていない経営層の方の中には、スマートフォンに対してガラケーと同じように、主な用途は電話というイメージを持たれている方もいらっしゃるかもしれません。しかし、インターネットが使えて社内システムにもつながるスマートフォンは、もはやPCと同じです。

すでに多くの企業では、スマートフォンの業務利用が欠かせなくなっています。その一方で、セキュリティリテラシーが追いついていない状況でそのまま利用する危険性については、情報システム部門の皆さん以外、理解が追いついていない企業が大半なのではないでしょうか。SKYSEA Client Viewの新バージョンでは、MDMの機能が強化されたと伺いました。すでに導入されている企業でMDMを利用されていないのであれば、ぜひこの機会にセキュリティリスク低減のためにご検討してみてはいかがでしょうか。

私どもは、スマートフォンなどのモバイル端末を提供する通信事業者として、端末の提供だけでなく、MDMをはじめとして安全な環境で安心して本業に取り組んでいただけるよう提案することで貢献していきます。ぜひご相談ください。

（「SKYSEA Client View NEWS vol.98」 2024年10月掲載 / 2024年8月取材）

---

IT資産管理に関するコラム