セキュリティ

MDM, MAM, EMM: モバイルセキュリティを考える

2020.04.14

1 マルチデバイスだから重要なセキュリティ対策
2 スマートデバイスで問題になるセキュリティ
3 Windows デバイスの管理

マルチデバイスだから重要なセキュリティ対策

Microsoft 365 は、そのリリース時からマルチデバイスを謳っていました。当時マイクロソフトに在籍し、Microsoft 365 の製品担当だった筆者は、少し違和感があったくらいです。これまで明確な競合だった iPhone や iPad でも Windows デバイスと同じように各サービスが使えるようになっているというのは、それまでのマイクロソフトのスタンスからは考えられないような方向転換の始まりでした。

スマートデバイスで問題になるセキュリティ

ビジネスでは PC が最も多く利用されているデバイスです。Windows 10 が動いていると思います。Mac でも Microsoft 365 はもちろん動作します。

それらに加えて、iPhone や iPad, Android などのスマートデバイスも仕事で多様されるようになっています。これらのすべてで、Microsoft 365 の各種サービスはアプリが用意されていて動作します。

そうなると、ビジネスで利用する組織データをスマートデバイスで利用されるようになります。Windows デバイスなどは、長い間のビジネス利用の結果として、さまざまなセキュリティ対策が取られてきました。一方で、スマートデバイスがビジネスで利用されるようになってからそれほど長い時間がたっていないこともあり、セキュリティ対策は遅れて充実してきています。

MDM

MDM とは、Mobile Device Management の略です。スマートデバイスの管理を担うものです。デバイスをシステム側に登録して、そのデバイス番号を管理し、紛失時にはリモートワイプをかけて情報の流出を防ぐ、というのが基本です。MDM の機能もどんどん進化し、そのデバイスにインストールされているアプリ一覧を取得したり、wifi 設定を配信したり、いろいろなことが出来るようになりました。

MAM

MAM とは、Mobile Application Management の略です。スマードデバイスにインストールされる一部のアプリを組織の管理下に置く機能を提供します。MDM だけだと、紛失時のリモートワイプなどはできますが、そもそも組織データをスマートデバイスの提供するクラウドサービスに保存する、というような行為を止める事は出来ません。つまり、本来組織内部で管理されるべき情報が、個人の領域に保存され、その後はどこに流れていっても組織としてはたどることが出来ない状態になります。

これをコントロールすることが MAM の第一の目的です。管理下にあるアプリについてはそのコンテンツも含めて、組織の管理の外には保存などが出来ないように管理します。

コンテンツの管理を MCM(Mobile Content Management) と呼ぶこともありますが、MAM の機能は基本的には MCM を含んでいるので、個別に考える必要はないと思います。

MAM がデバイスのコントロールを含まない、という特徴から、MAM だけの機能を利用すると、BYOD(Bring Your Own Device : 組織メンバーが個人のスマホなどを仕事で利用すること) を安全に実現することが出来ます。デバイスの登録をしないので、ほとんどのデバイス情報を組織側が取得しません。その意味でプラバシーの保護が可能です。

また、紛失時には MAM で管理している領域だけをワイプすることが出来るので、スマートデバイス全体をリセットする必要がなく、ユーザー側も安心です。

EMM

EMM とは、Enterprise Mobile Management の略です。MDM や MAM の機能がどんどん進化して、一つのサービス、ないしはサービス群で必要なセキュリティ機能のほとんどを提供する、という考え方でこのように呼ばれるようになってきています。

Microsoft 365 に親和性の高い製品としては、Microsoft Intune が提供されていますが、これは、まさに EMM 製品で、MDM, MAM, EMM という領域をカバーするようになっています。マイクロソフトが提供していることもあり、Microsoft 365 サービス群との親和性は抜群に高いのですが、Microsoft 365 に閉じているわけではありません。Acrobat Reader や Box を MAM で管理できたりもします。