企業がモバイルデバイスを活用するためのインフラストラクチャーとは?:新連載・これからのモバイル基盤(4/5 ページ)
デバイスのモビリティ
ユーザーIDのモビリティの確保と同時に考えなければならないのが、業務に利用しているデバイスの安全性だ。システム利用を許可された利用者のパーソナリティと、デバイスの安全性は別物であると考えなければならない。例えば、ネットカフェに設置されているPCを考えてみてほしい。不特定多数の顧客が利用するネットカフェのPCには、どのような脅威が潜んでいるか推測不能である。同様のことは利用者自身が購入したラップトップPCにも言える。
そこで、モバイルデバイスに対してもガバナンスの適用を考える必要がある。ガバナンスを適用するために2つの仕組みが用意されている。「モバイルデバイス認証」と「モバイルデバイス管理(MDM)」だ。
デバイス認証とは、ユーザー認証と同様に、システムにアクセスしようとしているデバイスを特定することを意味する。そもそもデバイスを特定することができなければ、そのデバイスによるアクセスの可否を判断することはできない。Windows Server 2012 R2にはActive Directoryドメインに参加できないモバイルデバイスを認証する仕組みが用意されている。事前に「Workplace Join」(ワークプレース参加)と呼ばれる処理を行い、Active Directoryドメインにモバイルデバイスを登録することで、アクセスしてきたデバイスを一意に識別し、その所有者やOS、アクセスしてきた場所等をAD FSによって判定しアクセスの可否を判断できる。対象となるデバイスはWindows 8.1のほか、iPad、iPhone、Androidが含まれる。例えば、企業が配布したiPadのみをOffice 365にアクセス許可するといったことが可能になる。こうすることで、安全性の担保のない自宅PCやネットカフェのPCなどからのアクセスを制限できる。
ただし、この機能だけで安心してはいけない。デバイス自身に完全なガバナンスを適用するには、MDMも必要となる。例えば社内リソースにアクセス可能なモバイルデバイスには企業データが格納されている可能性が高い。もしモバイルデバイスが個人所有の場合、社員の退職によってデータのみが個人デバイスに取り残される可能性がある。
Microsoft Intuneを使用すれば、管理者の判断によってモバイルデバイスに格納された企業データをリモートから強制的に削除できる。対象のモバイルデバイスには、iOSやAndroidも含まれる。Intuneにはこの他にデバイスが持つカメラやGPS等の特有の機能を無効にしたり、ロックスクリーンのパスコードを強制するといった機能を持つ。また、業務に必要なアプリケーションの配布や、不要となった業務アプリケーションを削除できる。AD FSはIntuneに登録(エンロールと呼ぶ)したデバイスかどうかを判定することも可能であるため、MDMによって管理されていればリソースへのアクセスを許可するといった設定もできる。
デバイスのモビリティによって、企業側は安全性の確認が取れたデバイスに対して社内リソースへのアクセスを許可することができる。これは一見すれば利用者の利便性を損なう機能のように見えてしまうが、そうではない。これまでのように「安全性の判断のしようがないから一切の個人デバイスの利用を禁止する」のではなく、「個人デバイスであっても安全性が確認できれば業務に利用できる」ということだ。
アプリケーションのモビリティ
アプリケーションのモビリティとは、「デバイスや場所を問わず同じアプリケーションが利用できる」ことを意味している。使用するデバイスやOSによって利用できるアプリケーションが異なることは、データの互換性問題を発生させ、生産性の低下に直結してしまうため、インフラの設計時にはこの点にも気を遣う必要がある。
例えば、Office 2013はデバイスやOSを問わずに利用できる、モビリティを持った数少ないアプリケーションの1つだ。Webブラウザ上でも利用できるため、Office 2013がインストールされていない自宅のPCや個人デバイス上でも利用することができる。
もちろんOffice 2013以外の業務アプリケーションを利用している企業も多い。クラウド上には「Azure RemoteApp」というサービスが提供されている。これを使用すると、Windowsのデスクトップアプリケーションをクラウド上にアップロードし、リモートデスクトップクライアント(RDクライアント)から接続して利用することができる。RDクライアントはWindowsだけでなく、iOSやAndroidにも提供されているため、どこからでも、どんなデバイスからでもWindowsアプリケーションを利用することができるのだ。
認証はAzure Active Directoryで行う必要があるが、先出のハイブリッドIdPを構築しておけば、社内のAD DSによって認証することができる。デバイス認証を併用すれば、特定のデバイスのみにアプリケーションの利用を許可するといったことも可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。