CyberFix Note
防御・ハードニング

会社支給とBYODで変わるモバイルデバイス管理(MDM)ツールの選び方

対象の目安: 情報システム担当と経営層 / 実務

ノゾミガバナンス・法務担当
・ 約18分で読めます
会社支給とBYODで変わるモバイルデバイス管理(MDM)ツールの選び方

業務で使うスマートフォンやタブレット、PCが増えるほど、どの端末を誰が使い、どんな設定で、何のアプリが入っているのかを人手で追うのは難しくなります。モバイルデバイス管理(MDM)ツールは、こうした端末を管理サーバーから一元的に設定し、紛失や盗難のときに遠隔で施錠したりデータを消したりできる仕組みで、専任のIT担当を置きにくい組織ほど効いてきます。

この記事は特定製品のランキングではありません。MDMが何をする仕組みかを原理から押さえたうえで、会社支給とBYODで変わる論点、選定時に見る指標、導入後の運用までを、少人数で回す組織の視点で整理します。対応範囲や料金は改訂されるため断定は避け、どこを公式情報で確認すべきかという形で示します。なお本記事はアフィリエイトリンクを含みます。紹介する製品の効果や適合性を保証するものではなく、購入判断はご自身の用途に照らしてお願いします。詳細は広告・アフィリエイトについてをご覧ください。

選定で見る指標を先に一覧にします。個々の中身は後の章で、実務の言葉にかみくだいて説明します。

選定指標見るときの要点
対応OSと端末社内で使うiOS/iPadOS、Android、Windows、macOSのどれを管理対象にするか。Apple専用の製品か横断で管理できる製品かで選択肢が分かれる
登録方式会社支給はApple Business ManagerとAutomated Device EnrollmentやAndroid Enterpriseのzero-touchによる自動登録。BYODはMAMのみ、ユーザー主導の分離型登録(Android work profileやApple User Enrollment)、端末全体のMDM登録から選ぶ。棚卸しのしやすさに直結する
構成プロファイルとポリシー配布パスコード強制や暗号化の有効化、Wi-FiやVPNの設定、カメラなど機能の制限を、端末に触れずまとめて配れるか
リモートロックとリモートワイプ紛失や盗難のときに遠隔で施錠、初期化できるか。BYODでは業務領域だけを消す選択消去ができるか
アプリ配布と制限業務アプリの配信、不要アプリの制限、公式ストア経由か独自配信かの選択肢
条件付きアクセスと証明書端末の状態に応じて社内リソースへのアクセスを許可、証明書でWi-FiやVPNの認証を保護できるか
ログと棚卸し誰がどの端末をいつ使ったか、管理外の端末が無いかを把握できるか
日本語サポートと料金体系窓口の言語と対応時間、月額か年額か、端末単位かユーザー単位かの課金

MDMが端末に対して行うこと

MDM(Mobile Device Management、モバイルデバイス管理)は、組織の端末を管理サーバーに登録し、そこから設定を配って状態を把握する仕組みです。端末側にはOSや登録方式に応じて、管理プロファイルや管理アプリ(Androidのデバイスポリシーコントローラ)、登録トークン、プッシュ通知用の証明書などが構成され、サーバーからの指示を受け取れる状態になります。管理者は端末を一台ずつ触らなくても、パスコードの桁数や暗号化の有効化、Wi-FiやVPNの接続設定、使ってよいアプリの範囲などを、グループ単位でまとめて配れます。

紛失や盗難のときに効くのがリモートロックとリモートワイプです。管理サーバーから対象の端末を選んで遠隔で施錠し、必要なら中身を初期化できます。ただしこの命令は端末が管理サービスへ再接続した時点で実行されるため、電源が切られていたりオフラインだったりすると届かず、紛失から操作までの間に中身を見られる可能性は残ります。遠隔操作は万能ではなく、強固な画面ロックとディスク暗号化、トークンの失効と組み合わせて初めて、情報の持ち出しを実務的に抑えられます。

もうひとつの柱が、端末の状態を条件にして社内リソースへのアクセスを絞る使い方です。ここで注意したいのは、アクセスの可否を判断するのは多くの場合IdPやアクセス制御基盤(たとえばMicrosoft Entraの条件付きアクセス)で、MDMはその判断材料となる端末のコンプライアンス状態を提供する役割だという点です。パスコードが設定され暗号化が有効で、管理下にある端末だけがメールや業務システムに入れる、という判定を、MDMの状態評価とIdP側の制御を組み合わせて認証の段階で行います。端末が企業ネットワークの内側にいるかではなく、その端末が決められた状態を満たしているかで判断する考え方です。

NIST SP 800-124 Rev. 2(2023年5月公開、Rev. 1の後継)は、企業におけるモバイル端末の配備から利用、廃棄までのライフサイクルにわたる管理と保護を扱い、会社支給と個人所有(BYOD)の双方の配備シナリオと、集中管理技術を対象範囲に含めています。

端末の状態でアクセスを判断する発想は、ゼロトラストと呼ばれる考え方の一部と重なります。境界の内側だから信頼するのではなく、その都度状態を確かめてから通す整理を先に押さえておくと、MDMをどこに位置づけるかが見えやすくなります。

あわせて読みたい

ゼロトラストを最小コストで取り入れる。考え方とID中心の段階導入

EMMとUEMとの関係

MDMという言葉と一緒に、EMMやUEMという呼び方に出会います。EMM(Enterprise Mobility Management)は、端末の管理を担うMDMに、業務アプリの配布や制御、社内データへの認証情報の管理などを足した枠組みを指します。スマートフォンやタブレットを業務で本格的に使う流れのなかで、端末だけでなくアプリとデータまで含めて面倒を見る必要が出てきたことが背景です。

UEM(Unified Endpoint Management)は、そこにWindowsやmacOSといったPCまで含めて、同じ管理基盤で一元的に扱う枠組みを指します。スマートフォンとPCを別々のツールで管理すると、設定もログも二重になります。UEMは端末の種類をまたいで一つのコンソールで見られるようにする発想です。

実務では、これらの言葉の線引きにこだわるより、その製品で実際にどのOSと端末を管理でき、どの機能が使えるかを見るほうが役立ちます。現在の主要な製品は、MDMを名乗るものでもアプリ配布やPC管理まで含み、UEMを名乗るものでもモバイル端末の基本管理を備えていて、機能の重なりが大きいためです。名前ではなく、対応OSと機能の中身で比べる姿勢が安全です。

Microsoft Intuneは、Android、iOS/iPadOS、Linux、macOS、Windowsなどを対象とするクラウドベースのエンドポイント管理サービスで、端末全体を管理するMDMと、業務アプリとその中のデータだけを管理するMAMの二つのモードを、単独でも組み合わせても使えると案内されています。

会社支給とBYODで変わる論点

同じMDMでも、端末が会社支給か私物持ち込み(BYOD)かで、できることと配慮すべきことが変わります。会社支給の端末は組織の資産なので、端末全体を管理対象にできます。初期状態から自動で登録し、設定やアプリを最初から決めた形にそろえ、退職時には端末ごと初期化して回収する、という流れを組みやすいのが利点です。

BYODでは前提が変わります。私物の端末には個人の写真や連絡先、私的なアプリが入っています。ここで端末全体を管理すると、業務のために私物のプライバシーへ踏み込みすぎることになります。そのため、業務用のアプリとデータだけを管理下に置き、個人の領域には触れない分離の考え方が要ります。Microsoft Intuneのモバイルアプリケーション管理(MAM)のように、業務アプリの中のデータだけを保護し、退職時には業務データだけを選んで消す仕組みは、この分離を実現する手段のひとつです。

注意

BYOD端末に対して端末全体のリモートワイプをかけると、業務データだけでなく私物の写真や連絡先まで消える製品や設定があります。導入前に、業務領域だけを消す選択消去に対応しているか、どの操作で何が消えるのかを必ず公式情報と管理画面で確認してください。私物端末の全消去は、個人データの消失による紛争のリスクがあります。就業規則やBYOD同意書での取り決めと、必要に応じた法務確認をあわせて進めてください。

BYODを認めるなら、どの端末なら業務利用してよいか、管理下に入ることへの同意をどう取るか、退職時にデータをどう消すかを、あらかじめ文書のルールとして定めておく必要があります。ツールの機能だけで運用を回そうとすると、同意の範囲があいまいなまま私物へ踏み込む事態を招きます。社内ルールの整え方を先に固めておくと、MDMの設定もぶれずに決められます。

あわせて読みたい

社内セキュリティポリシーの作り方。基本方針・対策基準・実施手順の三層で実効性をつくる

選定時に見る指標

冒頭の一覧で挙げた指標を、選ぶときの視点から補足します。まず対応OSと端末です。iPhoneやiPadだけを使う組織なら、Appleの管理機能に深く対応した製品が候補になります。WindowsのPCとAndroidのスマートフォンが混在するなら、複数OSを横断して一つのコンソールで管理できる製品のほうが、運用が二重にならずに済みます。自社でこの先増える端末まで見据えて、管理対象にしたいOSをはっきりさせることが出発点です。

登録方式は、棚卸しの手間を左右します。会社支給の端末は、Apple Business ManagerとAutomated Device Enrollmentの連携や、Android Enterpriseのzero-touch enrollmentを使うと、購入した端末を最初から自社の管理下に自動で登録でき、利用者が手作業で設定する必要が減ります。これらには対応端末であることや正規の販売経路での購入、EMM側の設定といった前提が要ります。BYODは利用者自身の登録になるため、登録漏れが起きやすく、後述の棚卸しと組み合わせて管理外の端末を減らす工夫が要ります。

構成プロファイルとポリシー配布、アプリ配布と制限は、日々の運用の中心です。パスコードや暗号化の強制、Wi-FiやVPNの設定、業務アプリの配信や不要アプリの制限を、端末に触れずグループ単位で配れると、少人数でも社内全体に同じ方針を適用できます。証明書の配布に対応していれば、Wi-FiやVPN、社内システムの認証をパスワードだけに頼らず保護できます。

条件付きアクセスは、認証の弱さを端末側の管理で補う考え方です。端末が管理下にあり決められた状態を満たすことをアクセスの条件にすると、正しく適用された対象リソースでは、認証情報が漏れても管理外の端末からのアクセスを抑えられます。ただし対象外のアプリやレガシー認証、除外設定、発行済みのセッションやトークンの窃取といった抜け道があると回り込まれるため、適用範囲と例外、セッションの失効まで検証します。多要素認証と組み合わせると効果が重なります。認証を固める勘所とあわせて考えると、どこまでMDM側で担うかを整理できます。

あわせて読みたい

多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説

ログと棚卸しは、管理の効き目を確かめる土台です。誰がどの端末をいつ使ったかが記録されます。ただし未登録の端末はMDMの台帳に載らないため、MDM単体では見つけられません。MDMの台帳を、IdPのサインインログやアクセスログ、購入台帳と突き合わせることで、管理下にない端末を炙り出せます。日本語サポートと料金体系も実務では大きく効きます。障害時に日本語で相談できるか、月額か年額か、端末単位かユーザー単位かで、運用の負担と費用が変わります。料金や対応範囲は改訂されるため、契約前に各公式サイトで最新を確認してください。

導入後の運用と退職時の失効

MDMは導入して終わりではありません。効果は入れてからの運用で大きく変わります。少人数の組織でつまずきやすいのは、端末の棚卸しが止まって管理外の端末が増える、退職者の端末がいつまでも管理下に残る、設定を初期値のまま使い続ける、という三つです。

MDM導入後に続ける運用

  1. 1

    端末の棚卸しを定期的に行う

    管理下にある端末と実際に使われている端末を突き合わせ、登録漏れや使われていない端末を洗い出します。
  2. 2

    ポリシーを定期的に見直す

    OSの更新や業務の変化に合わせて、パスコードや暗号化、機能制限の設定が今の運用に合っているかを点検します。
  3. 3

    退職や機種変更で確実に失効させる

    順序が大切です。まずアカウントとセッションやトークンを失効させ、証明書を無効化し、次に会社支給なら初期化、BYODなら業務領域の選択消去を行い、最後にMDMの登録を解除します。先に登録を解除すると消去命令や統制が効かなくなります。
  4. 4

    OSとアプリを最新に保つ

    OSの更新状況を把握し、脆弱性が残る端末が業務に使われないよう、更新を促す仕組みを回します。
  5. 5

    ライセンスとサポートの期限を管理する

    契約の更新時期を記録し、切れる前に更新して管理が途切れないようにします。

このなかで見落とされやすいのが退職時の失効です。アカウントの停止と端末の管理解除は別の処理で、順序を誤ると穴が残ります。アカウントやトークンを止めずに端末だけ手放すと配られた証明書やアプリの権限が生き続け、逆に先に管理を解除すると消去や統制の指示が届かなくなります。アカウントとトークンの失効、証明書の無効化、業務データの消去、最後に登録解除という順序を、入退社の流れの中に手順として組み込んでおくと、放置された端末が社内リソースへの入口になる事態を防げます。

公的な情報源を運用の土台に使うこともおすすめします。IPA(情報処理推進機構)の中小企業向けガイドラインは、何から取り組むかの優先順位を無料で整理できます。総務省のテレワーク関連の資料は、社外に持ち出す端末をどう守るかを組織の視点でまとめており、MDMをテレワークの安全確保の中に位置づける助けになります。

総務省はテレワークにおけるセキュリティ確保のためのガイドラインや、中小企業等の担当者向けの手引き(チェックリスト)を公開しており、社外に持ち出す端末や私物端末の扱いを含めた対策の考え方を示しています。

なお、MDMは端末の構成を管理し、紛失時に施錠や消去を行う仕組みであって、端末内で動くマルウェアを見つけて止める機能そのものではありません。マルウェアの検知や不審な挙動の監視は、エンドポイント側の防御(EPP/EDR)が担う領域です。両者は別物なので、端末側の防御は別に用意する前提で組み合わせます。

あわせて読みたい

中小企業のセキュリティソフトの選び方。EPPとEDRの違いと運用負荷で考える

代表的なMDM製品の例

ここでは実在を公式ページで確認できた製品を挙げます。いずれも主にサブスクリプションで提供される管理製品で、Amazonなどの通販では購入できません(製品によってクラウド版とオンプレミス版があります)。下のカードは製品名を調べるための検索リンクです。対応OSや料金、機能の範囲は改訂されるため、最新の仕様は必ず各公式サイトで確認してください。効果や適合性を保証するものではなく、自社の端末構成や運用体制に照らして判断してください。

Microsoft Intune

広告

マイクロソフトのクラウド型エンドポイント管理サービスで、AndroidやiOS/iPadOS、Windows、macOSなどを横断して管理できます。端末全体を管理するMDMと業務アプリだけを管理するMAMを使い分けられ、Microsoft Entra IDと組み合わせた条件付きアクセスに対応します。対応範囲やライセンスのプランは公式情報で確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

Jamf Pro

広告

MacやiPhone、iPadといったApple製品の管理に特化したMDMで、Appleの新しいOSへの対応の速さを掲げています。Apple端末を中心に使う組織や、Appleの管理機能を深く活用したい場合の候補です。小規模向けの別製品もあるため、規模に合う製品と料金は公式情報で確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

LANSCOPE エンドポイントマネージャー クラウド版

広告

エムオーテックスが提供する国内製のIT資産管理とMDMの製品で、Windows、macOS、iOS、Androidに対応し、PCとスマートフォンをクラウドで一元管理できます。日本語のサポートと国内での運用実績を前提に選びたい組織に向きます。対応台数や料金体系、機能の範囲は公式情報で確認してください。

※価格・在庫は変動します。最新の情報は各販売サイトでご確認ください。

LANSCOPE エンドポイントマネージャー クラウド版は、PCとスマートフォンをクラウドで一元管理するIT資産管理とMDMの製品として案内され、対応OSにWindows、macOS、iOS、Androidを挙げ、紛失や盗難への対策やデバイスの利用制限、アプリ配信などの機能を備えると説明されています。

まとめ

MDM選定と運用のチェックリスト

  • 社内で管理したいOSと端末を洗い出し、Apple専用か横断管理かを含めて対応範囲を確認したか
  • 会社支給の自動登録と、BYODでの業務領域と個人領域の分離に、選んだ製品が対応しているか確認したか
  • 紛失や盗難のリモートロックとリモートワイプ、BYODでの選択消去の挙動を管理画面で確認したか
  • 条件付きアクセスや証明書で、認証とWi-FiやVPNの保護をどこまで担えるか確認したか
  • 端末の棚卸しと退職時の失効を、入退社の流れの中に手順として組み込んだか
  • 日本語サポートの範囲と、月額か年額か、端末単位かユーザー単位かの料金を契約前に把握したか
  • MDMは構成管理と消去の仕組みと捉え、端末側のマルウェア防御(EPP/EDR)を別に用意したか

MDMは、増えていく業務端末を管理サーバーから一元的に設定し、紛失時に遠隔で守れる仕組みです。選定の出発点は、自社で管理したいOSと端末、会社支給かBYODかという実際の使い方で、それに見合う登録方式やポリシー配布、消去の挙動、料金とサポートを満たすかを見ることです。そして導入後は棚卸しと退職時の失効を続けることで、管理から外れた端末を残さずに効果が保たれます。MDMを端末管理の土台と捉え、認証やエンドポイント側の防御と重ねていけば、少ない人手でも組織の端末を守る確率を着実に上げられます。

出典・参考

この記事をシェア

関連する記事

ガバナンス・コンプライアンス

社内セキュリティポリシーの作り方。基本方針・対策基準・実施手順の三層で実効性をつくる

形だけで終わらない社内セキュリティポリシーを、基本方針・対策基準・実施手順の三層構造で設計する方法を解説。三層の役割分担、策定の進め方、現場で守られる仕組みづくりと運用・見直しまでを経営と実務の両視点で整理します。