今回は、私たちが普段仕事で使用するパソコン、タブレット、スマートフォンといった端末(デバイス)、とりわけ持ち運び可能なモバイル端末の管理の必要性と端末を管理するシステムの機能についてまとめました。

組織が端末管理を必要とする理由とそのツールの代表的な機能から、ツールの利用にどの様なメリットがあるのか考えてみます。

端末管理が必要な理由について

ノートパソコン、タブレット、スマートフォン等のモバイル端末で業務を行うにあたり、外出先や交通機関等での置き忘れや紛失、盗難といったリスクが常に付きまとい、さらに利用者による端末の私的利用など組織のポリシー違反の防止も課題となります。
端末を管理するシステム管理者(以下、管理者と記述)にとって、リスクが発生したときに端末に含まれる機微情報の流出を防ぐことが最も重要となります。

運用面においては、これらを防ぐために(端末を回収し手作業で行うケースとリモートで行うケースで負担は大きく変わりますが)OS やアプリケーションの更新やセキュリティパッチの適用などが日常的に発生し、管理者はその都度、時間と工数を費やすこととなります。

これらの作業を自動化することができれば、管理者の負担を軽減することはもちろん、インストールされているソフトウェアの稼働状況を把握した適切なライセンス運用によりコスト削減にもつながり、組織にとって有益なものとなります。

このように端末を管理する理由は様々ですが、もう少し掘り下げて考えてみます。

セキュリティ

● 盗難、紛失時のデータ流出のリスク対策
スマートフォンやパソコンなどは、個人情報や機密情報を含むデータを大量に保持しています。端末を紛失してしまった、または盗難されてしまった場合、これらの情報が外部に漏洩するリスクが高まります。
このようなリスクが発生した際、リモートで端末をロックできたりデータの消去が可能であれば、第三者のアクセスを防止し、情報流出というインシデントを食い止めることが期待できます。

● ウィルス感染や不正アクセスからの端末保護
例えば、私用端末を持ち込む BYOD 環境では、ウイルス感染や不正アクセスによる情報漏洩のリスクが高まります。端末管理システムでアクセス制限やセキュリティポリシーを設定することで、不正アクセスを防ぐことが期待されます。

業務の効率化

● アプリケーションの配布と削除
端末を一元管理する機能を使えば、リモート接続で1台ずつ操作する方法や端末を回収して手作業でインストールする方法を用いず、業務に必要なアプリケーションを必要な端末に日時を指定して配布したり、不要なアプリケーションを削除したりでき、管理者の業務負担の軽減が期待できます。また、多くの時間を費やしてきた作業が大幅に短縮され、余った時間で必要な業務に取り組めるといった業務の効率化も期待できます。

● 設定の一括変更
社内ルールの変更による設定変更、システムのアップデート、セキュリティパッチの適用を一元的に行えることで、管理者の負担の軽減だけでなく、社内の運用ポリシーの統一にも効果があります。

コスト削減

● ライセンス管理
稼働している端末や電源の入っていない端末の数、利用されているソフトウェアの数をカウントし分析し棚卸しすることで、必要最小限の端末数やライセンス数を把握することができます。これにより不要な端末やライセンスの削減につながり、セキュリティリスクの低減に加えて、コスト削減の検討が可能になります。

● 人件費の削減
上述の通り、操作を自動化することで管理者が手動で行う工数が削除でき、人件費の削減が期待できます。

端末管理システムが出来ること

次に、管理者の期待や業務軽減のために端末管理システムでできること、主に端末管理システムに登録されている端末に対し、操作可能な機能をご紹介します。

基本機能

ここでは広く一般的に採用されている機能を紹介します。

● デバイス設定のテンプレート化
端末のネットワーク設定をはじめとした OS の基本設定をあらかじめ決めておき、テンプレート化して登録し、複数台の端末を一括で更新できる機能です。

● リモート削除、初期化機能(ワイプ機能)
端末の置き忘れや盗難などで端末を紛失してしまった際、その端末を指定し OS の初期化、データの消去を行う機能です。
この操作を行っておくことで、第三者がもしその端末を起動した場合でも初期化もしくは情報が削除されており、機微情報の漏洩を防ぐことができます

● アプリケーションの配布
あらかじめ登録したアプリケーションを指定した複数台の端末に配布し、インストールを自動化する機能です。それぞれの端末にリモート接続するか、利用者から端末を回収して行っていたインストール作業が、各端末を操作することなく簡単な操作でアプリケーションのインストールやアップデートが可能となります。

● アプリケーションの設定
配布したアプリケーションに対し、設定を更新する機能です。端末ごともしくは複数台の端末を一括で指定して、あらかじめセットした設定情報を配布することができます。

● アクセス制限
指定したアプリケーションの利用許可・禁止の設定や個人によるインストールを制限する機能、または端末本体へのアクセスを制限する機能です。ポリシー変更や不具合が見つかった場合、もしくは不正アクセスが確認された場合に端末の利用を一斉に禁止することも可能です。

● リモートによるスクリーンロックや OS ログイン制御
管理者が特定の端末に対し、スクリーンロックや OS のログオンを禁止する機能です。

● アプリケーションの削除
あらかじめ登録した特定のアプリケーションをアンインストールする機能です。

● 端末やインストールされているアプリケーションなどを一覧表示
登録されている端末、稼働中または停止中の端末を一覧表示する機能です。また、配布したアプリケーションがどの端末にインストールされているかを表示することもできます。

応用機能

次に基本機能を発展させた機能を紹介します。

● 個人と仕事のプロファイルを区別
Android や iOS などのスマートデバイス向けの OS の場合、個人(会社では管理しない)、仕事(会社で管理する)といったプロファイルを分けることができます。個人のプロファイルで登録したアプリケーションは会社では管理せず、仕事のプロファイルで登録したアプリケーションは会社で管理するといったことが可能になります。

【例】画面イメージ(Android)

Windows の場合は、個人用、仕事用のユーザー ID を使い分け、プロファイルを設定することで制限が可能です。

高度なセキュリティ

● 端末の初期化の自動化
ゼロタッチ登録(直接端末に触れることなく)を利用して端末を登録し、自動で初期化することができる機能です。

● データの暗号化
登録された端末に対し、暗号化ポリシーを設定することで、強制的にデータが暗号化されます。iOS については「データ保護」という暗号化方式が採用されています。

● ホワイトリストの作成(インストール制限)
許可したアプリケーションのみインストール可能なようにホワイトリストの作成が可能です。

端末管理システムによっては、これらの機能において端末の利活用状況をログやデータベース内に記録を残す機能を備えている製品もあります。その利活用状況から端末の稼働率を分析することもできます。また、インストールしたアプリケーションの利用状況から必要なライセンスを分析することでコスト削減につなげることも可能です。
端末の電源オン・オフ、O Sへのログイン・ログアウトの記録から勤怠システムと連携させたり、使用率を計測し、業務分析を行うことで、仕事の効率化やコストの検討に利用するといったことも可能です。

終わりに

このように、端末を管理することによるセキュリティの向上、管理者や利用者の負担が軽減、業務の効率化の可能性について述べました。
Windows であれば資産管理システムにも含まれる機能もあります。しかし、Windows に加えて、Android や iOS などを搭載したスマートデバイスも含めて全般的に管理ができ、特に端末の紛失やデータ保全(管理機能による OS の初期化やアプリケーションのアンインストール)、アプリケーションの機能制限を行うという部分においては端末管理システムが優れている面もあります。
このような製品は、モバイルデバイスに着目して MDM(モバイルデバイス管理)と呼ばれています。オンプレミスの自社サーバーで提供する製品、クラウドによるサービスを提供する製品など多様な環境にも対応しています。

本記事が、会社所有の端末や BYOD などで利用する個人端末まで、様々な端末をどの様に管理・制限するかといったお悩みをお持ちの管理者のお役に立てることを願っております。

 

※記載の製品名は、各社の商標または登録商標です。