EMM製品は、クラウド型（SaaS型　※1）で提供されているものが多く、社員に貸与しているPC・スマートフォン・タブレットや、会社が業務利用を許可している個人の端末（BYOD（Bring Your Own Deviceの略称））について、社内のセキュリティポリシーに基づいた適切な管理を遠隔で行うためのサービスとなります。

MDM：Mobile Device Management

MDMとは、業務で利用するデバイスのシステム設定などを一括で管理する手法のことを指し、OSレベルでの管理が可能です。リモートでの制御を実現し、PCのステータス確認や遠隔操作を可能にします。
また、端末内のデータを遠隔で消去し、設定を工場出荷時の状態に戻す（リモートワイプ）機能を使うことで、紛失した端末のデータ流出や不正行為を防止できます。

MAM：Mobile Application Management

MDMがOSレベルでの管理が可能なことに対し、MAMは業務で使用するアプリケーションレベルでの管理が可能です。主に個人所有のPCなどのデバイスを業務に活用するBYODを採用する際に活用されます。
たとえば、個人所有のPCを利用すると、私用のアプリ・データと業務用のアプリ・データが混在しますが、BYODは、業務用と私用とに分けて管理でき、プライベートとセキュリティの両立を実現します。
これにより、業務に利用するアプリケーションのデータをシステム管理者が制御できるようになり、紛失の際には業務用のアプリ・データのみ削除し、情報漏洩を防止できるのです。

EMM/MDM/MAMツールなぜ必要？

昨年よりリモートワークが急速に進み、会社で貸与しているPCも社外に持ち出す時代になりました。
場所にとらわれない働き方が実現できる一方、盗難や紛失・OSアップデート未実施によるウィルス感染といった、新たなセキュリティリスクが顕在化しています。

またBYODを導入する企業も増えてきており、個人のPCを利用することによる情報漏洩も心配になるでしょう。
そんなリスクを低減するのに役立つのが、EMM/MDM/MAMツールです。デバイス管理が遠隔で可能となるEMMのようなサービスが、社外でPCを使うのが当たり前となった“今の時代の“デバイス管理に必要となるのです。

詳細はこちら「デバイス管理どうしてる？MDMとMAMを用いた適切な管理を！」

EMM/MDM/MAMツールの選び方

「必要なのは分かったけど、自社にあったツールってどれ？」
「そもそもどこをポイントにして選べばいいの？」
と頭を悩ませている方へ、ツール選びのポイントをわかりやすく解説します。

対象OSとデバイスの範囲

まず、自社で所有している端末のOSが対象であるかは、必ず確認しましょう。対象外のOSがあるとせっかくツールを導入しても、管理できません。

なお、iOSやAndroidなどのモバイル端末専門の製品や、WindowsやMacOSにも対応した製品など、製品によって対応デバイスの範囲も異なるため、カバーしたいOSは何か？PCだけでいいのか、スマートフォンやタブレットも管理したいのかを考える必要が有ります。

セキュリティ機能

EMM/MDM/MAMツールの最大のメリットは、セキュリティリスクの軽減です。
端末の紛失や盗難の危険など、端末を社外に持ち出すことで起こりうるリスクに、対応できるセキュリティ機能を備えているかについても、ツール選びのポイントとなります。また、端末の不正利用・情報漏洩対策のために、自社のセキュリティポリシーとの適合性を確認する必要があります。

たとえば、USBメモリの利用禁止、特定ソフトウェアの利用禁止、閲覧できるWebサイトの制限などの規定がある場合には、それらの制御機能を備えている必要があります。
その他、ハードディスク暗号化にBitLocker（※2）を利用している場合には、その管理機能があるかどうかも確認しておきましょう。さらには、操作ログ管理機能を備えていれば、端末に問題が発生した時点で、その都度対応可能となります。
なお、端末をむやみに制御する必要がないため、業務効率を下げることなくセキュリティポリシーを遵守できます。

提供形態（オンプレミス型／クラウド型）

サービスの提供形態は、大きく分けて「オンプレミス型」と「クラウド（SaaS）型」の2種類があります。
「オンプレミス型」は、社内に設置したサーバー上でサービスを運用するため、IT管理者にはシステムの管理がしやすいというメリットがありますが、初期導入に費用がかかることや、定期的なアップデートなども社内で実施するため、運用コストがかかるというデメリットがあります。

一方で、MDM製品の主流となっている「クラウド（SaaS）型」は、導入が容易で、アップデートなどはベンダーが実施するため、運用コストをかけずにサービスを利用できます。

更新や拡張機能／サポート体制

モバイル機器の進化は速く、OSとアプリともにアップデートや機能追加が頻繁に行われます。EMM /MDM/MAMも、そのスピードに合わせる必要があるので、OSやアプリがアップデートされたら速やかに対応できるツールを選ぶことが大切です。

また、こまめに不具合の修正がされているかなど、ベンダーのサポート体制の充実度も確認しておきましょう。ベンダーが海外企業の場合、日本国内にサポート拠点があると運用がスムーズです。

EMM/MDM/MAMツール　3選！

ツール選びのポイントが分かったところで、有名どころのツールを3つご紹介します。

SPPM2.0（株式会社AXSEED）

POINT
・デバイス範囲：モバイル端末のみ
・対象OS ：iOS/Android/Windows
・提供形態：クラウド（SaaS）型
・参考価格：標準メニュー（基本機能パック）1台　150円／月
　　　　　　　　　　　　（フル機能パック）1台　300円／月

「SPPM2.0」は、モバイル端末専用のMDMツールです。スマートフォン/タブレットにSPPM Agentアプリ（クライアントソフト）をインストールして利用します。Agentアプリは端末内で常に稼働することで、端末の状態・利用状況を統合管理サーバに伝え、統合管理サーバではポリシー（セキュリティルール）を適用・指示を飛ばすことで端末管理や、セキュリティ対策が可能です。

「SPPM2.0」は、基本的な機能が使える「基本機能パック」と、すべての機能が使える「フル機能パック」の2種類があります。

「基本機能パック」では、端末の状況を管理して、社員が端末を紛失してしまった際に、遠隔で「端末ロック」や「端末初期化」などが行えます。端末の使い方はある程度社員に任せ、緊急時・非常時に「遠隔ロック」「遠隔初期化」だけ行えばよいという企業にオススメのパックです。

「フル機能パック」では、外部機器との連携や利用できるアプリを制限したり、紛失時などの緊急時に端末の位置情報を取得できるなどの機能があり、企業側で端末制御（制限）をしたい場合にオススメのパックです。

Microsoft Intune（Microsoft社）

POINT
・デバイス範囲：PC、モバイル端末
・対象OS ：iOS/Android/Windows/Mac OS
・提供形態：クラウド（SaaS）型
・参考価格：最安　1台　650円／月

Microsoft Intuneは、Microsoft社が提供するクラウド型のEMMです。

※Intuneについての詳しい記事はこちら

Intuneでは、端末紛失時の「端末ロック」「遠隔初期化」ができたり、企業の情報へのアクセス方法や、その情報の方法を制御し、会社の情報を保護するなどの「端末機能の制限」が可能です。また、不要アプリのインストール制御などの「アプリ制御」も行うことができます。

Intuneはクラウドサービスのため、インターネットにつながっているすべてのデバイスで利用でき、社外にアクセスポイントを設置する必要もなく、問題発生時もクラウドから操作できることから、従来の管理方法より迅速な対応が可能です。

サーバーが必要ないため、初期導入コストや運用コストも削減できます。また、OSの対応範囲も幅広いため、端末に縛られることなく一元管理が可能なことも特徴です。

なお、各デバイスでMicrosoft Intuneのポータルサイトやアプリにログインすることで、会社のネットワークにアクセスし、電子メールや仕事用のファイル、会社が許可したアプリの取得などを行えます。個々人のデバイス内にあるプライベートデータ・アプリとは完全に切り離し、会社用データは複製・受け渡しできない状態で社内情報にアクセスすることになるため、会社が専用のデバイスを支給しなくても、各人のデバイスをそのまま仕事用として利用できるというわけです。

Microsoft 365を導入している場合、Microsoft Intuneを適用することでMicrosoft 365の管理機能を拡張して統合的にデバイス管理を行えるため、すでにMicrosoft製品を利用している企業にオススメです。

Workspace one（VMware社）

POINT
・デバイス範囲：PC、モバイル端末
・対象OS ：iOS/Android/Windows/Mac OS/Chrome OS
・提供形態：クラウド（SaaS）型
・参考価格：最安　1台　690円／月

VMware製「Workspace one」の最大の特徴は、総合エンドポイント管理製品です。
総合エンドポイント管理とは、企業が所有するあらゆるデバイスを単一の管理画面から管理・運用することです。

ここでいうエンドポイントとは、PCに限らず、スマートフォンやタブレット端末、プリンターなどネットワークにつながっているあらゆるデバイスを指します。さらに、OSとしてはChrome OSも対象となっているため、幅広い分野のデバイス管理が可能となります。

「業務効率化のために、タブレットを使いたい！」という社員の要望に応えることができ、BYOD導入にも役立ちます。また、IDとアクセス管理により、ネイティブアプリやSaaSアプリ、モバイルアプリなどあらゆるアプリケーションをセキュアに利用できます。
これらに加え、最上位のエディションではデスクトップおよびWindows アプリケーションの仮想化および配信も行えます。

「Microsoft Intune」と「Workspace one」について補足すると、「Microsoft Intune」と「Workspace one」を導入することにより、ゼロタッチプロビジョニング機能が利用可能となります。
ゼロタッチプロビジョニングとは、事前にセットアップデータをクラウド上に作成しておき、端末はインターネットに接続するだけでセットアップが完了する機能のことです。ユーザーは端末が手元に届きしだい、最適化された状態ですぐに使い始められます。
つまり、箱から機器を取り出して設定するといった面倒な作業が不要となり、IT担当者にとって大幅な工数削減を実現できるのです。

まとめ

リモートワークの推進により、会社で貸与しているPCも社外に持ち出す時代になりました。
端末は、盗難や紛失・OSアップデート未実施によるウィルス感染といった、セキュリティリスクに常にさらされています。さらに、不正アクセスによる情報流出も後を絶ちません。

社員の働き方の自由・セキュリティリスクの軽減の両方を実現するためにも、自社の環境に合わせたEMM/MDM/MAMツールを選びましょう。

■注釈
※1　SaaS型：Software as a Serviceの略で、ソフトウェアの機能をインターネットを通じたサービスとして提供する販売形態のこと。
※2 BitLocker：Windows10に標準搭載されているドライブ暗号化機能のこと。ハードディスクをはじめ、USBメモリや外付けハードディスクなどのドライブ全体を暗号火することにより、PC内のデータを不正アクセスから保護することができる機能。

・デバイス管理どうしてる？MDMとMAMを用いた適切な管理を！

・クラウド初心者でもわかりやすく！Intuneがテレワークにおすすめな理由を徹底解説

※この記事は、公開時点の情報をもとに作成しています。

加藤博恵

営業兼ひよっこライター。アイエスエフネットへはエンジニアとして入社し、新卒入社2年目からは営業を担当。「〇〇って最近トレンドらしいけど、よく分からんなぁ～」というモヤモヤを、スッキリ！に変えるコンテンツをシェアできるよう心がけてまいります！座右の銘は「置かれた場所で咲きなさい」

情シス Secret Method

どうすれば良い！？間違えたくない・・・・現代的なデバイス管理ツールの選び方！