ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第6回は、スマートフォンやタブレット、パソコンなどクライアント端末を遠隔から管理する「MDM(モバイルデバイス管理)」と、端末上のアプリを個別に管理できる「MAM(モバイルアプリケーション管理)」を取り上げる。
働き方改革の広がりや新型コロナウイルスの影響を受け、今や多くの企業が従業員による自宅や社外での業務を推奨している。ただ従業員が様々なクライアント端末から業務システムを利用するリモートワーク環境は便利な半面、端末の紛失や盗難による情報漏洩の不安がつきまとう。端末のセキュリティー対策が不十分であればマルウエアに感染して、社内ネットワークへの不正侵入の入り口になりかねない。
こうした課題を解消するのがMDMやMAMだ。会社のセキュリティー方針に沿った端末設定や、カメラなど端末機能の利用禁止、危険なアプリの削除といった操作を複数の端末に対してまとめて実行できるのが主なメリットで、従業員が使う端末全体のセキュリティー強化とシステム担当者の作業負担の軽減につながる。従業員が仕事に使う端末やアプリを会社の管理下に置いてセキュリティーを強化することは、ゼロトラストネットワーク実現への第一歩と言える。
管理サーバーと端末上のエージェントが連携動作
MDMはクラウドまたはオンプレミスで運用する管理サーバーと、クライアント端末で動作するエージェントで構成される。システム管理者が管理サーバーから端末に対して指示・命令を送り、それを受信した端末のエージェントがコマンドを自動実行するのが基本的な仕組みだ。
米Apple(アップル)の「iOS」は、もともとエージェントに相当する機能をOS内部に装備している。アップルが用意したMDM用のAPI(アプリケーション・プログラミング・インターフェース)を介してクライアント端末を制御する。米Microsoft(マイクロソフト)も「Windows 8.1」から同様の機能を導入している。一方、米Google(グーグル)の「Android」搭載端末の場合は、サードパーティー独自のエージェントアプリを端末に導入する手法が主流だ。ただグーグルは近年、Androidのエージェント機能の強化や「Android Enterprise(旧Android for Work)」と呼ぶ法人プログラムの展開などMDM対応を急速に強化しつつある。
MDMが備える基本機能は、システム管理の観点から大きく4種類に分けられる。第1はIT資産管理ツールとしての機能だ。例えば端末ごとの資産番号やOSのバージョンなど様々な情報を自動収集するもので、システム管理者は各端末について「最新のセキュリティーパッチが適用されているか」「危険なアプリを従業員が勝手にインストールしていないか」などと集中管理できるようになる。
| 機能 | 分類 | 概要 |
|---|---|---|
| ポリシー管理 | MDM | 部署や役職によって異なる管理ポリシーを遠隔から配布して適用する |
| 資産管理 | MDM | ハードウエア構成やOSのバージョン、アプリケーションの追加・削除状況、端末の位置といった情報を自動収集して一元管理する |
| アプリケーション管理 | MDM | アプリを配布・バージョンアップする |
| デバイス制御 | MDM | 内蔵カメラやSDメモリーカードへのアクセスなど業務に不要な機能を制限する |
| リモートロック | MDM | 端末紛失時などにネットワーク経由で端末を操作不能にする |
| リモートワイプ | MDM | ネットワーク経由でコマンドを発行して端末を工場出荷時の状態に初期化する |
| 企業内アプリストア | MAM | 会社専用のアプリストアを通じて端末に業務アプリを配布する |
| アプリ単位の制御 | MAM | 業務アプリと個人アプリとの連携制限や、業務アプリから端末へのデータコピーの禁止、Webアクセスの制御など、アプリ単位で挙動を制御する |
| アプリ単位のVPN通信 | MAM | 特定の業務アプリだけ社内アクセス用のVPNを許可する |
| アプリ単位のワイプ | MAM | 特定の業務アプリだけをワイプ(消去)する |
第2は端末の初期設定や業務アプリの配布などを一斉に実施する、いわゆるクライアント管理ツールの機能だ。システム管理者が「プロファイル」などと呼ばれる設定データを作成し、それをMDMの管理サーバーから端末に一斉配布して自動的に適用させる。ユーザーの所属部署や役職によって異なるプロファイルを作成して適用することも可能だ。
第3は内蔵カメラの起動やSDメモリーカードへのアクセスといった端末機能を強制的に禁止する機能だ。撮影禁止場所での撮影や社外秘のミーティングの録音など、故意や過失による不正な端末利用を未然に防ぐ。
第4はリモートロックとリモートワイプ(消去)の機能だ。従業員が社外で端末を紛失したり盗難に遭ったりした際に、ネットワーク経由で端末にコマンドを送信し、端末を一切操作できなくしたり、端末を工場出荷状態に戻したりすることで、端末からの情報漏洩を防止する。
この先は日経クロステック Active会員の登録が必要です
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。