端末やアプリの挙動を遠隔制御、ゼロトラストでMDM/MAMが欠かせぬ理由

　ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第6回は、スマートフォンやタブレット、パソコンなどクライアント端末を遠隔から管理する「MDM（モバイルデバイス管理）」と、端末上のアプリを個別に管理できる「MAM（モバイルアプリケーション管理）」を取り上げる。

　働き方改革の広がりや新型コロナウイルスの影響を受け、今や多くの企業が従業員による自宅や社外での業務を推奨している。ただ従業員が様々なクライアント端末から業務システムを利用するリモートワーク環境は便利な半面、端末の紛失や盗難による情報漏洩の不安がつきまとう。端末のセキュリティー対策が不十分であればマルウエアに感染して、社内ネットワークへの不正侵入の入り口になりかねない。

　こうした課題を解消するのがMDMやMAMだ。会社のセキュリティー方針に沿った端末設定や、カメラなど端末機能の利用禁止、危険なアプリの削除といった操作を複数の端末に対してまとめて実行できるのが主なメリットで、従業員が使う端末全体のセキュリティー強化とシステム担当者の作業負担の軽減につながる。従業員が仕事に使う端末やアプリを会社の管理下に置いてセキュリティーを強化することは、ゼロトラストネットワーク実現への第一歩と言える。

管理サーバーと端末上のエージェントが連携動作

　MDMはクラウドまたはオンプレミスで運用する管理サーバーと、クライアント端末で動作するエージェントで構成される。システム管理者が管理サーバーから端末に対して指示・命令を送り、それを受信した端末のエージェントがコマンドを自動実行するのが基本的な仕組みだ。

　米Apple（アップル）の「iOS」は、もともとエージェントに相当する機能をOS内部に装備している。アップルが用意したMDM用のAPI（アプリケーション・プログラミング・インターフェース）を介してクライアント端末を制御する。米Microsoft（マイクロソフト）も「Windows 8.1」から同様の機能を導入している。一方、米Google（グーグル）の「Android」搭載端末の場合は、サードパーティー独自のエージェントアプリを端末に導入する手法が主流だ。ただグーグルは近年、Androidのエージェント機能の強化や「Android Enterprise（旧Android for Work）」と呼ぶ法人プログラムの展開などMDM対応を急速に強化しつつある。

　MDMが備える基本機能は、システム管理の観点から大きく4種類に分けられる。第1はIT資産管理ツールとしての機能だ。例えば端末ごとの資産番号やOSのバージョンなど様々な情報を自動収集するもので、システム管理者は各端末について「最新のセキュリティーパッチが適用されているか」「危険なアプリを従業員が勝手にインストールしていないか」などと集中管理できるようになる。

　第2は端末の初期設定や業務アプリの配布などを一斉に実施する、いわゆるクライアント管理ツールの機能だ。システム管理者が「プロファイル」などと呼ばれる設定データを作成し、それをMDMの管理サーバーから端末に一斉配布して自動的に適用させる。ユーザーの所属部署や役職によって異なるプロファイルを作成して適用することも可能だ。

　第3は内蔵カメラの起動やSDメモリーカードへのアクセスといった端末機能を強制的に禁止する機能だ。撮影禁止場所での撮影や社外秘のミーティングの録音など、故意や過失による不正な端末利用を未然に防ぐ。

　第4はリモートロックとリモートワイプ（消去）の機能だ。従業員が社外で端末を紛失したり盗難に遭ったりした際に、ネットワーク経由で端末にコマンドを送信し、端末を一切操作できなくしたり、端末を工場出荷状態に戻したりすることで、端末からの情報漏洩を防止する。