Mobile Device Management

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方） 出典検索?: "Mobile Device Management" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2024年2月)

この項目では、スマートフォン等の携帯端末管理のMDMについて説明しています。マスターデータの管理手法またはそれを実現するソフトウェアについては「MDM」をご覧ください。

Mobile Device Management (モバイル・デバイス・マネジメント/モバイルデバイス管理、略称: MDM) は、スマートフォン、タブレットコンピュータ、ラップトップなどの携帯端末/モバイルデバイスの管理を行うこと。日本語では携帯端末管理（けいたいたんまつかんり）とも言われる。スマートフォンと言われるAndroid、iPhone/iPad、BlackBerry、Windows Mobileは、パーソナルコンピュータ (PC) と同様な汎用性を持つことから、情報セキュリティの観点からPCと同様に管理を行う必要性が増しており、それを実現するソフトウェア製品がある。

欧米製品の多くがスマートフォンだけでなくWindowsやmacOS搭載のPCも管理できるようになっているため、世界市場においてMobile Device Management（モバイル・デバイス・マネジメント）という用語は一般的ではなくなり、Enterprise Mobility Management（エンタープライズモビリティ管理、EMM）や Unified Endpoint Management (統合エンドポイント管理（英語版）、UEM) という用語を主に使用するようになっている^[1][2]。

MDMと異なる点として、EMMにはモバイル情報管理、 BYOD 、モバイルアプリケーション管理（英語版）、モバイルコンテンツ管理（英語版）が含まれ、UEMにはデスクトップ、プリンター、IoTデバイス、ウェアラブルデバイスなどのエンドポイントにデバイス管理を提供する^[3]。

スマートフォンやタブレットといった携帯端末は、いわゆるパーソナルコンピュータに近い性能を持つ携帯情報デバイスであり、こうした携帯情報デバイスを仕事で用いるケースも増えてきている。その一方で個人の携帯情報デバイスを企業内で業務に使用したり（BYOD）、企業内の情報システムに接続して用いるケースでは、何らかの対策を講じないと会社の情報システムで管理されない端末がもとで情報漏洩が起きたり、内部関係者による情報システムへのハッキングが行われたりしかねない。また携帯情報デバイスを通じたマルウェア感染によるシステムダウンや情報漏洩も問題である。Mobile Device Managementはこうした情報機器を社用・個人用問わず企業の情報システムの管理下におき、情報システムの利用を適切に管理する仕組みを提供する。これにより従業員個人の高性能な携帯情報デバイスを適切に業務に組み入れて活用できるメリットを享受できたり、企業内の個人情報などセンシティブな情報について会社より支給されたタブレットなど、システムにより承認された携帯情報デバイスからのみアクセスを許しかつ、携帯情報デバイスへの保存を出来なくするなど情報セキュリティを保ちつつ会社の外での活動を援護できる仕組みも提供できる。

従業員の携帯情報デバイス保有割合が高くなった現代においてはMobile Device Management（携帯端末管理）は企業活動において重要度が増している。

一般的にMobile Device Managementの機能として、端末情報のバックアップ・リストア、資料の配布、紛失時の遠隔ロック・初期化、移動履歴の表示、アプリケーションの配布・更新・削除・起動ブロック、ユーザによるインストール不可能化、業務関連の情報と業務と無関係な私的な情報の分離などが挙げられる。

MDMは通常、デバイス上のアプリケーションと構成、企業ポリシーと証明書、バックエンドインフラストラクチャの組み合わせの展開により実現し、エンドユーザーデバイスのIT管理を簡素化、強化することを目的としている。現代の企業IT環境では、管理対象デバイスの数（およびユーザーの動作）の多様性を解決するため、一貫性のあるスケーラブルな方法でデバイスとユーザーの管理を可能にするMDMソリューションが求められている。 MDMの全体的な役割は、ユーザーの柔軟性を維持しながら、デバイスのサポート性、セキュリティ、および企業機能を向上させることである。

多くの組織は、MDM製品/サービスを使用してデバイスとアプリケーションを管理している。 MDMは主に、企業データの分離、電子メールの保護、デバイス上の企業文書の保護、企業ポリシーの適用、およびラップトップやさまざまな種類のハンドヘルドを含む携帯端末の統合と管理を扱う。 MDMは、オンプレミスまたはクラウドで実装される。

MDMの中核機能には次のものがある。

• 多様なユーザー機器が一貫した標準/サポートされている一連のアプリケーション、機能、または企業ポリシーに合わせて構成されていることを確認する
• スケーラブルな方法で機器、アプリケーション、機能、またはポリシーを更新する
• ユーザーが一貫性のあるサポート可能な方法でアプリケーションを使用できるようにする
• 機器が一貫して機能することを保証する
• 機器の監視と追跡（場所、ステータス、所有権、活動など）
• 機器をリモートで効率的に診断およびトラブルシューティングできる

MDMでは、携帯電話、スマートフォン、タブレットコンピュータ、高耐久性モバイルコンピュータ、携帯プリンター、携帯POSデバイスなど、あらゆる種類の携帯端末のアプリケーション、データ、および構成設定の無線配信を行える。最近では、MDMで管理できるデバイスの対象がモバイルプラットフォームだけでなく、ラップトップとデスクトップも対象に含まれ、基本的なデバイス管理に重点が置かれている。 MDMツールは、企業全体の会社所有デバイスと従業員所有 (BYOD) デバイスの両方に適用される^[4][5] 。 BYODに対する需要が大きくなるにつれ、MDM自体の機能強化と、BYODを扱う企業とデバイスのセキュリティの強化を行う必要が出てきている^[6]。特に、雇用者と従業員とでは、携帯端末管理に対する期待値が異なる^[7]。

MDMは、ネットワーク内のすべての携帯端末のデータと構成設定を制御および保護することにより、サポートコストとビジネスリスクを削減することができる。 MDMの目的は、コストとダウンタイムを最小限に抑えながら、携帯通信ネットワークの機能とセキュリティを最適化することである^[8]。

携帯端末が普及し、アプリケーションが市場に溢れる中で、携帯端末監視の重要性が増している^[9]。 携帯端末管理の使用は着実なペースで成長を続けており、2028年までにほぼ23％の年間平均成長率（CAGR）になると予測されている。米国は、引き続き携帯端末管理の世界最大の市場になると予測されている^[10]。

通常、MDMソリューションは、管理コマンドを携帯端末に送信するサーバーコンポーネントと、管理対象デバイス上で実行され、管理コマンドを受信して実装するクライアントコンポーネントから成り立つ。単一のベンダーがクライアントとサーバーの両方を提供する場合もあれば、クライアントとサーバーが異なるソースから提供される場合もある。

携帯端末管理は、時間とともに大きく進化する。最初は、変更や更新を行うために、ハンドセットに接続するか、 SIMカードをインストールする必要があり、スケーラビリティが問題となっていた。

次に登場したソリューションは、ユーザーがMicrosoft Updateを要求する場合と同様に、クライアントによる更新開始を許可する方法だった。

その次に登場したのは、無線で送信されるコマンドを使用した中央リモート管理であった。モバイルオペレータ、企業のITデータセンター、ハンドセットOEMの管理者は、管理コンソールを使用して、任意の1つのハンドセット、グループ、またはハンドセットのグループを更新または構成できる。これにより、管理対象デバイスのフリートのサイズが大きい場合に、スケーラビリティのメリットを得ることができた。

デバイス管理ソフトウェアプラットフォームは、エンドユーザーが使用しているデバイスに関係なくプラグアンドプレイデータサービスの恩恵を受けることを保証する^[要出典]。このようなプラットフォームは、ネットワーク内のデバイスを自動的に検出し、すぐに継続して使用できるように設定を送信できる。このプロセスは完全に自動化されており、使用済みデバイスの履歴を保持し、以前に設定されていないサブスクライバーデバイスにのみ設定を送信する。場合によっては、1秒あたり50のOTA設定更新ファイルに達する速度で送信される^[要出典]。デバイス管理システムは、IMEI/IMSIペアをフィルタリングすることでこの機能を提供する^[要出典]。

• Open Mobile Alliance (OMA) は、OMAデバイス管理（英語版）と呼ばれるプラットフォームに依存しないデバイス管理プロトコルを定めた。仕様はオープン標準の一般的な定義を満たす。つまり、仕様は自由に利用、実装することができる。 PDAや携帯電話などのいくつかの携帯端末でサポートされている^[11]。
• スマートメッセージは、テキストSMSベースのプロビジョニングプロトコルである。着信音、予定入力のためのプロトコルだが、ftp、telnet、SMSC番号、電子メール設定などのサービス設定もサポートされている。
• OMAクライアントプロビジョニングは、バイナリSMSベースのサービス設定プロビジョニングプロトコルである。
• Nokia-Ericsson OTAは、バイナリSMSベースのサービス設定プロビジョニングプロトコルであり、主に古いNokiaおよびEricsson携帯電話向けに設計されている。

OTAプログラミング（英語版）機能 (OTA: Over-The-Air) は、携帯ネットワークオペレーターおよびエンタープライズグレードの携帯端末管理ソフトウェアの主要コンポーネントと見なされている。OTAプログラミングには、単一の携帯端末、携帯端末のフリート全体、またはITで定義された携帯端末のセットをリモートで構成する機能がある。これにより、ソフトウェアとOSの更新を通知したり、デバイスをリモートでロックやワイプしてデバイスの紛失または盗難時にデバイスに保存されているデータを保護したり、リモートトラブルシューティングを行うことができる。 OTAコマンドは、バイナリSMSメッセージとして送信される。バイナリSMSは、バイナリデータを含むメッセージのことである^[12]。

携帯端末管理ソフトウェアを使って、企業のIT部門は企業全体で使用される多くの携帯端末を管理することができる。その結果、OTA機能に対する需要が高まっている。 MDMインフラの一部としてOTA SMSを使用している企業は、OTAメッセージの送信が確実に行える必要がある。そのため、SMSゲートウェイプロバイダーは高レベルの品質と信頼性の提供を求められる。

個人所有デバイスの持ち込み (BYOD) がモバイルサービスプロバイダー全体でますます普及するにつれて、企業はMDM機能を通して、指定したデバイスを通じて従業員に内部ネットワークへのアクセスを提供し、該当デバイスは従業員の作業中断を最小限に抑えた形でリモートで管理することができる。

すべてのMDM製品は、コンテナ化の発想のもと構築されている。 MDMコンテナは、最新の暗号化技術（AES-256以上を推奨^[要出典]）を使用して保護される。電子メール、文書、企業アプリケーションなどの企業データは暗号化され、コンテナ内で処理される。これにより、企業データがデバイス上のユーザーの個人データから確実に分離される。さらに、MDM製品の機能に応じて、デバイス全体に加えてSDカードの暗号化を実施できる。

安全な電子メール：MDM製品を使用すると、組織は既存の電子メール設定を統合して、MDM環境と簡単に統合できる。ほとんどすべてのMDM製品は、Exchange Server（2003/2007/2010）、Office 365、Lotus Notes、 BlackBerry Enterprise Server （BES）などとの簡単な統合をサポートしている。これにより、無線で電子メールを構成する柔軟性が提供される。

安全な文書：従業員は、企業の電子メールからダウンロードした添付ファイルを個人のデバイスにコピーして、それを悪用することがある。 MDMは、セキュアコンテナの内外でのクリップボードの使用を制限または無効にしたり、外部ドメインへの添付ファイルの転送を制限したり、SDカードへの添付ファイルの保存を防止したりできる。これにより、企業データの安全性が確保される。

安全なブラウザ：セキュアブラウザを使用すると、多くの潜在的なセキュリティリスクを回避できる。すべてのMDMソリューションには、カスタムブラウザが組み込まれている。管理者は、ネイティブブラウザを無効にして、ユーザーにMDMコンテナ内のセキュアブラウザの使用を強制できる。 URLフィルタリングを適用して、セキュリティ対策を追加できる。

安全なアプリカタログ：組織は、アプリカタログを使用して、従業員のデバイス上でアプリケーションを配布、管理、およびアップグレードすることができる。これにより、アプリケーションをApp Storeから直接ユーザーのデバイスにプッシュしたり、企業が開発したプライベートアプリケーションをアプリカタログからプッシュしたりできる。これは、組織がキオスクモードまたはロックダウンモードでデバイスを展開するためのオプションを提供する。

選択したMDM製品に応じて、他にも多くの機能が搭載されていることがある。

• ポリシー適用：MDMユーザーに適用できるポリシーには複数の種類がある。
  1. 個人方針：企業環境に応じて、高度にカスタマイズ可能
  2. デバイスプラットフォーム固有：Android、iOS、Windows、およびBlackberryデバイスの高度な管理に関するポリシー。
  3. コンプライアンスポリシー/ルール
• VPN構成
• アプリケーションカタログ
• 事前定義されたWi-Fiとホットスポットの設定
• ジェイルブレイク/ルート検出
• 企業データのリモートワイプ
• デバイス全体のリモートワイプ
• デバイスのリモートロック
• リモートメッセージング/バズ
• デバイスでネイティブアプリを無効にする
• 一部のキオスクソフトウェア機能^[13]

MDMソリューションは、SaaSとオンプレミスモデルのいずれかまたは両方の形態で提供される。モバイルなどの急速に進化する業界では、ハードウェアや仮想マシンを用意して定期的なソフトウェアメンテナンスを必要とするオンプレミスソリューションと比較して、クラウドベースのSaaSソリューションの方がセットアップが迅速で、更新が簡単で、資本コストが低いことが多い。

クラウドコンピューティングが満たすべきセキュリティ基準については、米国政府が2002年連邦情報セキュリティ管理法 (FISMA（英語版）)などのコンプライアンス監査を実施している。また、クラウドサービスプロバイダーが米国連邦政府機関にサービスを導入する際に満たすべき認定として、FedRAMP（英語版）がある^[14]。

2016年2月に欧米の主なEnterprise Mobility Managementベンダー、SOTI、VMware AirWatch、MobileIron、IBMなどが標準化団体AppConfig Communityを立ち上げ^[15]、2016年10月にはブラックベリーも加盟^[16]、iOSおよびAndroidの企業向け端末管理技術の標準化を進めている^[17]。なおマイクロソフトとシトリックス・システムズの両社はエンタープライズ・モビリティ管理で提携関係にあるため参加していない^[18]。

AppConfig Communityにはファイル共有クラウドサービス大手のBox、Dropbox、出張・経費精算管理クラウドシステム最大手のConcur、顧客関係管理クラウドサービス最大手のセールスフォース等も参加しており、携帯端末向けアプリケーション管理も含めた標準化が進められているが、2017年1月現在、日本のMDMベンダーは参加していない^[19]。

• OMAデバイス管理（英語版）
• オープン・モバイル・アライアンス
• OTAプログラミング（英語版）
• モバイルアプリケーション管理（英語版）
• モバイルコンテンツ管理システム（英語版）
• 情報セキュリティ
• モバイルセキュリティ（英語版）
• エンタープライズモビリティ管理
• 統合エンドポイント管理（英語版）
• BYOD
• モバイルデバイス管理ソフトウェアの一覧
• BlackBerry Enterprise Server

• Solution guide: Manage mobile devices and PCs by migrating to Configuration Manager with Windows Intune
• Solution guide: Mobile device management for Configuration Manager 2007 customers planning to migrate to System Center 2012 R2 Configuration Manager
• System Center Configuration Manager TechNet Library
• Windows Intune TechNet Library
• Open Mobile Alliance Device Management Public Documentation
• How mobile device management works
• Open In Management for Mobile Device Management