EMM(Enterprise Mobility Management)とは?選定のポイントを押さえてご紹介

EMM(Enterprise Mobility Management)とは?選定のポイントを押さえてご紹介

在宅勤務などのリモートワークが主流になる中、社外で利用するPCやスマートフォンなどのデバイス管理やアプリケーション管理の課題が顕在化しています。これまで社内のデバイスは資産管理ツールなどで管理してきましたが、社外での利用が増えると、これまでのアプローチでは限界があります。そこで注目されているのがクウラドベースのデバイス管理・ID管理サービスです。Enterprise Mobility Management(EMM:エンタープライズモビリティ管理)のいまを紹介します。

目次

テレワーク時代に重要性が増す、エンタープライズモビリティ管理

在宅勤務やテレワークが広がる中、社外で利用するPCやスマートフォンなどのデバイス管理や、クラウドサービスを中心としたアプリケーションの管理が課題になっています。

これまで業務で利用するデバイスやアプリケーションは、資産管理ツールなどを使って集中的に管理されてきました。ただ、従来型の資産管理ツールは、社内ネットワークに閉じた環境を想定したものが多く、在宅勤務やテレワークでリモートアクセスしてくるユーザーのデバイスをうまく管理できない場合があります。例えば、リモートアクセスの場合は、別途ライセンスが必要になったり、提供する機能が限られてしまったりします。中には、リモートアクセスするデバイスやアプリケーションの管理ができないものもあります。

そこで注目されるようになったのが、クラウドベースのデバイス管理・ID管理・コンテンツ管理サービスです。これらは企業が必要とするモビリティ管理のさまざまな機能を統合していることから、Enterprise Mobility Management(EMM:エンタープライズモビリティ管理)製品と呼ばれます。

これまで、持ち出しPCやスマートフォン、タブレットについては、デバイスを管理するMobile Device Management(MDM:モバイルデバイス管理)、アプリケーションを管理するMobile Application Management(MAM:モバイルアプリケーション管理)、情報・コンテンツを管理するMobile Content Management(MIM:モバイル情報管理)、(MCM:モバイルコンテンツ管理)などと分類されて提供されていました。しかし近年は、クラウドを活用することで、EMM製品だけでデバイスからアプリケーション、コンテンツまでを統合管理できるようになっています。

デバイス管理、アプリケーション管理、コンテンツ管理の連携性がポイント

EMM製品を選定する際のポイントの一つは、各機能の連携性です。例えば、デバイス管理とアプリケーション管理を連携させることで、社員の入退職や異動に伴うデバイスのキッティングから配布、ユーザーアカウントの登録や修正、アプリケーションの利用開始、デバイスの廃棄やアプリケーションの利用停止などを統合的に管理できるようになります。アカウント管理ではしばしば退職した社員のアカウントが残っていたために、そこから情報漏えいが起こるといったセキュリティインシデントが発生します。貸与PCなどを返却してもらって資産管理ツール上で問題がなくても、アカウントが無効化されなかったり、アプリケーションのIDがそのまま残っていたりして、不正アクセスされてしまうためです。デバイス管理とアプリケーション管理を連携させ、デバイス管理と同時にアカウントも停止できるようにすれば、こうしたインシデントを防ぐことができます。

同じように、コンテンツについても、特定のデバイスの特定のアカウントでなければ、コンテンツを利用できないようにしたり、アカウントが停止されたらコンテンツを閲覧できないようにしたりといった連携がポイントになります。デバイス管理、アプリケーション管理、コンテンツ管理を独立した機能として利用するだけでは、従来型の資産管理ツールとそれほど変わりません。デバイス、アプリ、コンテンツをライフサイクルとして管理することが重要です。

デバイスとアプリケーションを統合管理できるかがポイント

アカウント管理とアクセス管理の機能を提供しているかどうかがポイント

EMMの2つめのポイントは、アカウント管理とアクセス管理の有無です。クラウドベースのサービスでは、社内に閉じたネットワークとは異なり、基本的に誰でもアクセスできます。このため適切にアカウント管理やアクセス管理がされていなければ、セキュリティリスクが高まってしまいます。

アカウント管理では、データベースに登録された正規のIDを持ち、正当な手段でアクセスしているユーザーだけが、デバイスやアプリーション、コンテンツを利用できるようにします。また、アクセス管理では、適切な権限を持たないユーザーが不正な手段でアクセスすることを禁止したり、制限したりします。

アカウント管理やアクセス管理で重要になるのがシングルサインオン(SSO)の管理です。SSOは、1つのアカウントで、複数のクラウドアプリケーション(SaaS)にログインできるようにする仕組みですが、単にSSOを実現しただけでは、セキュリティリスクが高まる場合があります。1つのアカウントで複数のサービスにログインできるので、毎日マスターとなるアカウントが漏えいした場合の被害が大きくなってしまいます。

そのため、SSOとともに、多要素認証や条件付きアクセス、暗号化などの機能を実装していくことが重要になってきます。多要素認証とは「IDの入力のほかに、SMSでの確認を求める」といった複数要素での認証により不正ログインを防ぐものです。また、条件付きアクセスというのは「デバイスにセキュリティパッチが適用されていない場合ログインできなくする」といったアクセス制御の仕組みです。

シングルサインオン(SSO)、MFA、条件付きアクセスを実装することがポイント

代表的なEMM製品「VMware Workspace ONE」

EMMの多くは、従来型の資産管理ツールやデバイス管理ツールとは異なり、クラウドの利用を前提に開発されています。このため、昨今の在宅勤務やテレワークにもスムーズに対応することができます。

在宅勤務やテレワークがスタートした当初は、新入社員へのPCの配布やアカウント発行などのキッティングをどう行うか、在宅勤務を開始したユーザーにPCをどう配布するかが大きな課題となりました。IT部門担当者のなかには、キッティング作業のために緊急事態宣言下で出社を強いられたケースも数多くありました。

EMMを利用すると、こうしたPCのキッティング作業も効率化できます。PCを社員の自宅に配送して社員がネットワークに接続さえすれば、OSの設定から、Active Directoryへのアカウント登録、利用するアプリケーションの設定などまでを自動化することができます。

また、Windows PCだけでなく、Androidスマートフォン、タブレット、iPhone、iPadのキッティング作業を自動化できるEMM製品もあります。デバイスの利用開始から、廃棄まで含めたライフサイクル管理が可能です。

こうした機能を持つ代表的なEMM製品が「VMware Workspace ONE」です。Workspace ONEは、デバイス管理・制御を行う「VMware AirWatch」と、カスタマイズされた統合ワークスペースをユーザーに提供する「VMware Identity Manager」の機能がセットになった製品です。ユーザーは単一のポータルから、あらゆるアプリケーションをシングルサインオンで利用できます。また、管理者は各ユーザーアカウントおよびデバイスに対して詳細なポリシーを設定し、自在に制御することができます。

目次