MDMの仕組みやメリット・デメリット、導入に必要な証明書について

MDM（モバイルデバイス管理）とは、業務で利用するスマートフォンやタブレット端末などのモバイルデバイスを一元的に管理するためのソフトウェアやサービスを指します。

MDMには、組織で定めたセキュリティポリシーに従ってデバイスを管理する機能や、紛失・盗難時に画面ロックや端末内データの消去などができるリモート制御機能、利用するアプリケーションを管理する機能など、さまざまな機能が搭載されています。

これらの機能を活用することで、モバイルデバイスの利用に伴う個人情報や機密情報の漏洩、不正アクセスのリスクを軽減し、セキュリティの向上を実現できるのはもちろん、組織内のモバイルデバイスの管理も効率化できます。

ワークスタイルの多様化に伴い、モバイルデバイスの業務利用を進める企業が増加しているため、MDMの重要性も増してきています。

MDMの仕組み

MDMでは、管理者がソフトウェアやサービス上から指示・命令を送ると、それを受け取ったMDMサーバーがモバイルデバイスと通信してコマンドを実行する仕組みになっています。

なお、MDMサーバーとモバイルデバイス間の通信方式は、大きく２種類に分けられます。それぞれの通信方式を比較し、運用に合わせて選択するのがお勧めです。

• ポーリング方式
  ポーリング方式は、MDMサーバーとモバイルデバイス間で定期的に通信する方式です。比較的シンプルな通信方式で、難しい設定や環境構築を行わなくても利用できますが、指示や命令がなくても定期的に通信が行われるため、通信頻度によってはモバイルデバイスのバッテリー消費を早めてしまう可能性があります。

• プッシュ方式
  プッシュ方式は、指示や命令がある場合のみMDMサーバーがモバイルデバイスと通信する方式で、SMSや端末のプッシュ通知サービスを活用して行われます。ポーリング方式に比べて設定や環境構築が複雑になりますが、通信を行うタイミングを指示や命令がある場合のみに限定できるため、MDMの利用に伴うモバイルデバイスのバッテリー消費を最低限に抑えられます。

OSごとのMDMの仕組み

モバイルデバイスのOSによって、MDMでの管理に利用するサービスや仕組みが異なります。ここでは、OS別に利用するサービスや仕組みについて解説します。

iOS

iPhoneやiPadなどのApple製端末を管理するには、Apple社が提供するAPNs（Appleプッシュ通知サービス）を利用する必要があります。APNsを利用することで、モバイルデバイスに情報を配信できるようになります。なお、APNsを利用するには、Appleプッシュ通知証明書などの各種証明書を取得する必要があります。証明書については、後述の「MDM導入に必要な「証明書」とは」で詳しく紹介します。

Android

Android端末の管理には、一般的にGoogle社が提供するAndroid Enterpriseが利用されます。Android Enterpriseは単体では利用できませんが、各ベンダーが提供しているMDMと連携することで、メーカーや機種によって使用できる機能に差異があるAndroid端末を一元管理できるようになります。

MDM導入に必要な「証明書」とは

iPhoneやiPadなど、Apple製端末の管理を目的にMDMを導入する場合は、Appleプッシュ通知証明書を取得し、利用するMDMに登録する必要があります。

一般的なAppleプッシュ通知証明書の取得および登録の流れは、次のとおりです。

• MDMを提供しているベンダーからCSR（証明書署名要求ファイル）を取得する
• Apple Push Certificates PortalにCSR（証明書署名要求ファイル）をアップロードし、Appleプッシュ通知証明書の取得申請をする
• 取得したAppleプッシュ通知証明書をMDMに登録する

また、安全に通信するためのSSL証明書や構成プロファイルに関する証明書が必要になるほか、ABM（Apple Business Manager）またはASM（Apple School Manager）を利用する場合はサーバートークンの取得や登録も必要です。これら証明書の取得や登録方法は、利用するソフトウェアやサービス、および運用によって異なる場合があります。

Appleプッシュ通知証明書などの各種証明書の取得や登録について不安がある方は、MDMの導入および運用に関するサポートが丁寧なベンダーや製品を選ぶことをお勧めします。

MDMを導入するメリット3選

MDMは、モバイルデバイスの管理効率化、セキュリティリスクの軽減、不正利用の防止などに役立ちます。ここでは、MDMの導入によって得られるメリットを3つ紹介します。

端末の管理がしやすい

MDMを導入すると、次のようなことが行えるようになります。

• モバイルデバイスの資産情報を自動収集し、確認や検索ができる
• アプリケーションの配布やアップデートができる
• 複数のモバイルデバイスに設定を一括適用できる

特に、アプリケーションの配布やアップデート、設定の一括適用といった操作においては、端末ごとに対応する必要がなくなるため、工数の大幅な削減が期待できます。これらのメリットは、組織で管理しているモバイルデバイスが多ければ多いほど大きくなります。

リスク対策ができる

MDMには、デバイスの紛失・盗難時など、いざというときに遠隔操作で画面ロックや端末内データの消去ができるリモート制御機能のほか、セキュアな運用を支援するさまざまな機能が搭載されています。紛失や盗難時に素早く情報漏洩対策が行えるだけでなく、万が一に備えて、パスコードの最小文字数や必要な文字種別、入力を失敗できる回数などのポリシーを設定しておくこともできます。また、情報漏洩リスクのあるWebサイトやSNSの閲覧を禁止することもできるため、日常的な利用に伴う各種セキュリティリスクの軽減にも役立てられます。

不正利用を防止できる

モバイルデバイスの不正利用は、悪質な第三者によるものだけではありません。モバイルデバイスの管理を任せている従業員によって、業務に不要なアプリケーションがインストールされたり、テザリングが私的利用されたりする場合もあります。こうした不正利用を未然に防ぐためには、モバイルデバイスで利用できるアプリケーションや機能を制限する必要があります。MDMを導入すると、組織の運用ポリシーに応じて不要なアプリケーションや機能の利用を制限することができるため、管理者も従業員も安心してモバイルデバイスを利用できるようになります。

MDMを導入するデメリット2選

MDMは、組織内のモバイルデバイスの管理に役立ちますが、導入にはデメリットも伴います。ここでは、MDMの導入に伴うデメリットを2つ紹介します。

費用がかかる

MDMの導入や運用には費用がかかります。かかる費用は、サービスの提供形態や管理するモバイルデバイスの台数などによって異なります。MDMの導入時には、利用できる機能や運用コスト、削減が見込める工数などを調べ、費用対効果が高いサービスを選択することが重要です。

利便性を損なう可能性がある

MDMでは、モバイルデバイスにさまざまな制限をかけることができますが、制限をかけすぎると、業務で利用しているモバイルデバイスの利便性が低下する場合があります。その結果、従業員が私用のモバイルデバイスを業務に利用してしまうなど、かえってセキュリティリスクを高めてしまう恐れもあります。MDMによる制限は、利便性とセキュリティリスクのバランスをとりながら行うことが重要です。

まとめ

ここまで、MDMの仕組みや導入に必要な証明書、導入によって得られるメリット・デメリットについて解説してきました。働き方の多様化が進むなか、モバイルデバイスのビジネス活用は今後ますます広がりを見せることが予想されます。MDMの導入をご検討されている組織にとって、本記事でご紹介した内容が少しでもお役に立てば幸いです。

クライアント運用管理ソフトウェア「SKYSEA Client View」では、スマートフォンやタブレット端末の安全な運用管理を支援する「モバイル機器管理（MDM）」機能をオプションで提供しています。

MDMの導入をご検討されている組織におかれましては、ぜひSKYSEA Client Viewの「モバイル機器管理（MDM）」機能のご利用も併せてご検討ください。