Special
» 2019年01月16日 10時00分 公開

働き方改革、隠れ残業抑止にMDMは本当に有効なのか? 悩めるアイティメディア情シスが聞いてみた

モバイル環境からの業務利用が広がっている。情報流出を防止するツールを導入するのも一つの手だが、「あまりに自由度が低ければ使いにくくなるし……」と悩むIT管理者は多い。かくいうアイティメディアも例外ではない。そんなIT管理者がMDMの専門家であるアイキューブドシステムズに悩みをぶつけてみた。

[PR/ITmedia]
PR

 自宅や通勤路で、あるいは出先のちょっとした空き時間を使ってスマートフォンやタブレット端末からメールをチェックしたり、グループウェアを確認したり、あるいは書類や資料を整理するといったワークスタイルは、もはや「新しい」というのもはばかられるほど浸透してきた。端末を会社から給付するか、BYOD(Bring Your Own Device)方式で個人の端末を活用するかなどやり方はさまざまだが、従業員にとっては、クラウドサービスと組み合わせて隙間時間を有効に活用できる便利なツールだ。

 だがこれは、企業の情報システム部門にとっては悩みの種でもある。複数のOS/プラットフォーム、複数の端末が混在する中で「いかに環境を管理し、紛失、盗難に起因する情報漏えいを防ぐか」はかねての課題だ。あまりに従業員の自由に任せては、不用意にアプリをインストールされてマルウェアに感染するなど、情報漏えいにつながるリスクがある。かといって、あまりにガチガチにルールを決めては、モバイルデバイス本来の利便性を損ないかねない。

アイティメディア 管理本部 総務部 朝日奈宏行

 そんな課題に答えるべく、スマートフォンが普及し始めた当初から、いわゆるMDM(Mobile Device Management)ソリューションが企業向けに提供されてきた。だが、導入に当たっては多様化する端末それぞれについて検証が不可欠だし、キッティング作業も必要だ。ただでさえ多くのタスクを抱えている情報システム部門にとっては決して無視できる負荷ではない。

 アイティメディアの情報システム担当、朝日奈もそんな悩みを抱える一人だ。

 「セキュリティツールを使って制御して……というのにはどうしても限界がある。自由度をなくすと使いにくくなってしまうし、ルールを定めて繰り返し教育していくのも時間と根気が必要です」(朝日奈)

 過去にも同様の悩みを抱える顧客を見てきた経験があるというアイキューブドシステムズの川村豪氏(営業本部 営業部 アカウントマネージャー)が、そんな「情シス」にアドバイスした。

企業向けの新たな端末管理の仕組み「Android Enterprise」で機種依存を減らす

アイキューブドシステムズ 営業本部 営業部 アカウントマネージャー 川村豪氏

川村氏 アイティメディアでは、どんな種類の端末を何台くらい利用しているのでしょうか?

朝日奈 PCは約400台導入しており、大半はWindowsです。それ以外にAndroid搭載のスマートフォンを約80台、営業職を中心に配布しています。

川村氏 それはBYODなのでしょうか?

朝日奈 いえ、会社から提供しているものです。個人端末も利用できますが、利用には制限を掛けています。社内システムにアクセスするには、電子証明書をインストールし、それを用いた認証が必要ですが、社員側からのニーズはあまりありません。

川村氏 自宅のPCから社内システムを利用することもありますか?

朝日奈 産休や介護など、やむを得ない事情で在宅勤務を選択している社員もおり、そうした従業員にはリモートデスクトップ環境を用意し、トークンを利用して別の認証の仕組みを取り入れています。

川村氏 スマートフォンの管理はどのようにしているんでしょうか?

朝日奈 契約している携帯通信キャリアが提供しているMDMサービスを利用しています。が、あまりに締め付け過ぎては利便性を損なう恐れがありますし、導入時期によって異なる端末を利用しており、機種依存の機能に左右されることが煩雑だと考えています。

川村氏 現在お使いのMDMは、Android 2.2から搭載された「Device Administration API」を利用した機能を使われているのだと思います。Googleのロードマップによれば、2018年リリース予定のAndroid P(9.0)でDevice Administration APIの多くの機能がドロップされ、2019年に予定されているAndroid Q(10.x)では完全に利用できなくなる見込みです。代わりに、企業向けの新しい端末管理の仕組みである「Android Enterprise」への移行を推奨しています。

朝日奈 恐縮なんですが、ちょうど引き継ぎの時期に当たっていたこともあり、Android Enterpriseについてはよく調査できていないんです。どんな特徴があるんでしょうか?

川村氏 Androidといっても、実際には1つのOSではありません。各メーカーがカスタマイズした複数のOSが存在しており、それ故にさまざまな機種依存の問題がありました。Googleとしては企業がデバイスを管理できる共通基盤を提供することによって、ユーザーはもちろん、メーカーも、またAndroid Enterpriseに対応したMDM製品を提供するベンダーにもメリットが生まれます。

 Android Enterpriseには4つのモードがあります。会社支給を想定し、細かく利用を制御できる「デバイスオーナーモード」、BYOD向けに端末の中を個人領域と仕事領域に分け、仕事領域を制御する「プロファイルオーナーモード」、逆に会社所有の端末をベースにしつつ、一部は個人が自由に利用できるようにする「COMPモード」、専用の機能のみに特化した端末を管理する「キオスクモード」です。

Android Enterpriseには4つのモード(CLOMO MDMのサイトから引用)

 MDMベンダーはこれらに対応することで、Android端末を管理するメリットを多く享受できるわけです。例えば、アイキューブドシステムズが提供するMDM製品「CLOMO MDM」は、日本企業でニーズの多いデバイスオーナーモードとCOMPモードに対応しております。Googleが主導する「Android Enterprise Recommended」プログラムを2019年1月16日に取得しました。これは、Googleのトレーニングとサポートを受けたパートナーのみが取得できるプログラムなので、最新の管理手法、最新のセキュリティをお客様に提供することが可能となります。

Androidはもちろん、iOS、Windowsも含めたマルチプラットフォームを簡単にキッティングし、一元管理

朝日奈 今紹介いただいたお話を聞くと、アイティメディアの場合もCOMPモードが良さそうです。とはいえ、新しい仕組みというものは何かと不安がありますね。

川村氏 Android Enterpriseに関する情報があまり多くないこともあり、そうおっしゃる方は少なくありませんが、実はそんなに大変ではありません。端末のキッティングにはGoogleアカウントを使われていますか?

朝日奈 いいえ、今はアプリのダウンロード用URLを直接入力する形でインストールしています。必要なアプリごとにその作業を行う必要がある上、機種やOSのバージョンに依存した挙動、設定もあるため、オペレーションにけっこう違いが生じてしまいます。

川村氏 今回、「Android Enterpriseのキッティングは従来よりも簡単だ」と感じていただけるデモ環境を用意しました。

 まず、お客さま環境のMDMサーバ(今回はCLOMO)と、Android Enterpriseを連携させます。次に、CLOMO MDMの中で運用ルールとなる「プロファイル」を作成し、どのデバイスに適用するかを決め、指摘します。最後に、そのデバイスを「誰が所有しているか」というユーザー情報とひも付け、一種の台帳を作ります。

 後は端末側でAndroid Enterpriseのアクティベーションをするだけです。アクティベーションの工程の中で、Android Enterprise化およびCLOMO MDMへの管理下登録が完了し、あらかじめ設定されたプロファイルが適用されます。その端末は管理下に入る仕組みです。全部で10分から15分もあれば終わります。Androidデバイス1台に1個のGoogleアカウントの事前準備が不要なことも大きな利点です。

CLOMO MDMのユーザー/組織管理画面
「Mobile-Device-Management-for-Android」のページ
Android EnterpriseでCLOMO MDM for Androidを指定
CLOMO MDM for Androidの「セットアップの開始」
Android端末での認証
Android端末での「セットアップの完了」

朝日奈 だいぶ楽ですね。でも、社員の中にはiOS搭載のデバイスを使っている人もいますし、できれば同じ仕組みでWindows PCも管理できると楽なんですが。

川村氏 iOSの場合も、ほぼ同じ仕組みでキッティングが可能です。Androidの場合はMDMアプリを用いますが、iOSの場合はアプリなしで、OSの機能を用いてMDMによる管理が可能です。さらにAppleでは「Device Enrollment Program」という形で、またGoogleも「Zero-touch Enrollment」として、キッティングの手間をなるべく省く仕組みを整えています。

Apple Device Enrollment Program(DEP)の利用イメージ(CLOMO MDMのサイトから引用)

川村氏 Windowsも同様で、CLOMO MDMのWebページから設定が行えるようになっています。Windows 8.1以降ではOS自体が基本的なMDMエージェントの機能を搭載するようになっており、それにわれわれの専用エージェントを組み合わせることで、きめ細かな端末管理が実現できます。

「Mobile Device Management for Windows 基本設定」ページ
「CLOMO MDM Agent for Windows」のダウンロードとインストール

朝日奈 Windows自身にもMDM機能があるんですね。

川村氏 お客さまにもよく言われますが、実はそうなんです。MicrosoftもMDMを標準的なデバイス管理の仕組みとして広げていく方針だといわれています。われわれとしても今後はより一層Windows OSへの対応範囲を広げ、さまざまな機能をWindows OSへ提供すべく製品企画を進めています。

Windows 10におけるMDMの設定画面
Windows PCでの認証
Windows PCのMDMとしてCLOMO MDMが設定された

川村氏 そうすれば、全OSにおいて、内蔵カメラの無効化やリムーバブルメディア利用の制限、パスワードの設定、アプリの制限や配布、アプリストアでの新規インストールの制限といったさまざまなポリシーを、デバイスの種類を問わず一元的に、強制的に適用できます。

Androidの「デバイス制御」ページ
「設定プロファイルをインストール」
Android端末でカメラが使えなくなっている
Android端末で使えるアプリを制限する設定(Androidデフォルトのアプリも起動不可に)
Android端末で使えるアプリが制限されている
管理者がGoogle Playアプリストアで「承認」ボタンを押さないと、アプリを新規インストールできないようになっている
iOSの機能制限設定ページ
Windowsの機能制限設定ページ
Windows PCでカメラが使えなくなっている

川村氏 今後はOSのアップデート適用のタイミングをコントロールする機能も搭載する予定で、単に紛失時に備えた対処だけではなく、端末運用も支援していきます。

リモートワイプなど紛失、盗難に備えた情報漏えい対策

朝日奈 ポリシー適用という意味でやはりまず気になるのは、端末の盗難、紛失時に備えた対策です。アイティメディアでも紛失に備え、各端末にインストールされているアプリの情報などを収集して注意喚起する他、PCについてはディスクの暗号化を行うようルールを定めています。リモートワイプ(デバイスの初期化)が行えるのは、今のところ、MDMで管理しているAndroidスマートフォンだけです。

川村氏 では、Windows PCに対してもCLOMO MDMでリモートワイプを試してみましょう。端末側でパスワードによるロックが掛かった状態でも、管理画面側で初期化コマンドを入力するとリモートワイプが行われます。Windows 10ではMDMの実装が進み、リモートワイプも確実に実行されるようになりました。

Windows PCに対して「デバイスの初期化」コマンドを実行
「デバイスの初期化の実行確認」(パスワードが求められる)
コマンド実行後、Windows PCで再起動が始まる
再起動後、初期化が始まった

朝日奈 おお、これはすごいですね! スマートフォンでも同様ですよね?

川村氏 もちろんです。iOSやAndroidデバイス向けには「紛失モード」という機能を提供しており、その機能をご利用いただければ、リモートワイプを実行したり、拾った人に向け「こちらに連絡をお願いします」とメッセージを表示したり、その番号にしか電話できないようにしたりしつつ、裏で位置情報なども強制取得できます。

Android端末での紛失モード

川村氏 AppleのDEPサービスなどを利用した場合は、リモートワイプで端末を初期化した後も、CLOMO MDMでしか端末のセッティングができないようになっています。また、利用禁止アプリがインストールされたり、root化/ジェイルブレークされたりといったポリシーに反する操作があった場合にも検知し、アラートが送られます。

朝日奈 端末が盗まれたり、拾ったりされた場合に、第三者が悪意を持って流用できない仕組みは情シスとしてありがたいですね。

働き方改革に向けた、隠れ残業対策も実現

朝日奈 もう一つの課題が、端末の稼働状況の把握です。今、アイティメディアでは60人ほどがリモートワーク環境を併用して働いています。何時から何時まで働いたかという勤怠情報は、本人のメールベースの申告に基づいていますが、実態と乖離(かいり)している可能性もあります。この先、働き方がさらに多様化していく中で、「誰が、どのくらい働いたか」を可視化し、管理していかなければいけないが、どうしたらいいかと、情シスも人事も悩んでいます。

川村氏 こうした環境にうってつけなのが、CLOMO MDMの「ワーク・スマート」機能です。スマートフォン向けのアプリ制限機能の応用ですが、例えばある時間になったら電話など特定のアプリ以外は全て画面から消したり、Windowsなら強制的にロックを掛けたりすることができます。もちろん、どうしても大事な仕事があって端末を利用しなければいけないこともあるでしょう。その場合は理由とともに延長を申請することも可能です。こうやって数字を取っていけば、定時後の働き方が見えてきます。

「ワーク・スマート」モードになったAndroid端末
Windows向けの「ワーク・スマート」機能1
Windows向けの「ワーク・スマート」機能2

朝日奈 すでに、こうした取り組みを始めている企業は、どのくらいあるんでしょうか?

川村氏 米国では当たり前のようになってきましたが、国内ではまだまだ少ないのが実情です。けれど、例えば小売業などでは、閉店後のバックヤード残業が課題となり、「ワーク・スマート」を用いて、働き過ぎの抑止と見える化に取り組み始めたところもあります。勤怠と付き合わせてみたら、あまりにも大きな食い違いが明らかになったケースもあります。これからの課題でしょうね。

長年にわたってMDMソリューションを提供してきたからこその高い専門性

朝日奈 iOSやAndroidだけではなくWindowsやそれにKindleなど、情シスが管理したいユーザー向けのOSを、しかも分かりやすいコンソールで一元管理できることに強い印象を受けました。

 それに、長年にわたってMDMを提供してきた専門性の高さも感じます。今利用しているMDMでは、外部メモリの制御やテザリングなど、機種依存で一部できない制限もあるんですが、CLOMO MDMはそれらもきちんとつぶしていますね。

川村氏 Android Enterpriseは難しいというイメージを持たれがちですが、実際には意外と簡単で、さまざまなメリットがあります。それに「Windows PCは資産管理ツールで、スマートフォンとは別々に管理するもの」という印象を持っている管理者の方も多いのですが、CLOMO MDMではWindowsの持つMDM機能を活用し、まとめて一緒に管理可能です。

 今後、Active Directoryを活用するなどしてさらに機能を拡充していけば、もっとお役に立てると思います。

朝日奈 働き方改革、隠れ残業抑止にMDMが必要なのかどうか、大変参考になりました。今日はありがとうございました。



Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社アイキューブドシステムズ
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2019年2月15日