職場におけるBYOD：Microsoft Intuneによるモバイルデバイス管理（MDM）とモバイルアプリケーション管理（MAM）

最近の調査によると、平均的な家庭には25台のコネクテッドデバイスがあるとされ、その数は2019年の11台から増加しています。このようなデバイスの普及と世界的なパンデミックにより、私生活と仕事の両面で、私たちの活動様式とコミュニケーションの方法が変化しました。

多くの業界がテクノロジを用いたリモートワークに適応し、リモートでの患者の診察やモニタリング、バーチャル教室、モバイルデバイスを介した食品の注文と追跡などを実現しています。また、自宅でもオフィスでもデバイスを切り替えずにシームレスに作業を行いたいという従業員の希望を考慮して、多くの組織はBYOD（個人所有のデバイスの業務利用）環境に適応しています。デバイスに依存する労働環境への移行により、収集したデータと使用するデバイスの管理とセキュリティ対策を従業員がどのように行っているかをセキュリティチームが注視する必要が生じています。

デバイスの所有者が個人であろうと企業であろうと、セキュリティチームは、モバイルデバイス管理（MDM）とモバイルアプリケーション管理（MAM）でモバイルデバイスに企業のデータアクセスと生産性に関するルールを適用する必要があります。

MDM、MAM、EMM、UEMの違い

MDM（Mobile Device Management、モバイルデバイス管理）はスマートフォンやタブレットなどのモバイルデバイスのセキュリティを保護するのに対し、MAM（Mobile Application Management、モバイルアプリケーション管理）は組織データへのアクセスに使用されるデバイス上のOutlook、SharePoint、OneDriveなどのアプリケーションを保護します。通常、MDMソフトウェアはiOSやAndroidなどの1つまたは複数のオペレーティングシステムをサポートするように設計され、デバイスプロファイルを保持しているため、必要に応じてデバイスを遠隔操作で追跡、ロック、保護、暗号化、消去できます。また、MDMソフトウェアはデバイスにエージェントをインストールし、デバイスの状態を問い合わせて取り出します。

MDMはデバイスのセキュリティにのみ焦点を当てるのに対し、エンタープライズモビリティ管理（EMM）はデバイス上のアプリケーション、コンテンツ、ID管理に焦点を当てます。EMMではWindowsやiOSなどのプラットフォームをサポートできませんが、マルチプラットフォームをサポートする一元管理ソリューションとして統合エンドポイント管理（UEM）が構築され、複数のソリューションを採用する必要がなくなりました。これらのソリューションを利用してアクセスされるデータのセキュリティと機密性の高さは、実装次第で決まるという認識が重要です。

職場のMDM

MDMソフトウェアは、製造元から提供されたベンダー固有のプログラムを通じて、あるいはトークン、QRコード、Eメール、またはSMSを使用して手動登録することにより、デバイスに搭載されます。現在、VMWare Workspace One、Microsoft Intune、Citrix Endpoint Management、MobileIron、SimpleMDMなど、様々なMDMソフトウェアが販売されています。MDMソフトウェアは、オペレーティングシステムに組み込まれたAPIを介して、登録されたデバイスに一連のコマンドを送信します。登録されたデバイスから、ハードウェアとソフトウェアの詳細、インストールおよび構成されたアプリケーション、セキュリティの状態、場所などの詳細情報を収集し、デバイス上で実行されるアプリケーションを事前構成済みの設定に応じて許可、ブロック、または削除することによって管理できます。

HIPAA、GDPR、PCIなどの規格への準拠のための制限事項はポリシーを通じて適用されます。デバイスを一元的に管理・保守することが可能で、ポリシーはデバイスに一括で適用されます。自動化により、デバイスの追跡、暗号化、セキュリティ保護、消去が容易になります。

職場のMAM

MAMソフトウェアはデバイスに登録する必要がありません。企業アプリはエンタープライズ・アプリ・ストアにプッシュされ、従業員が個人所有のデバイスにインストールおよびダウンロードできるようになっています。アプリはセキュアなコンテナで実行され、個人データと企業データは分離して保持されます。

MAMとMDMの重要な相違点は、MAMではデバイスを制御する必要がないということです。MAMは、機密データが他のアプリケーションに送信またはコピーされることを防ぎます。個人所有のデバイスを使用している従業員は、MDMソフトウェアよりもデバイス全体の制御が制限されるMAMを使用した方が安心できます。

MDMおよびMAM向けのMicrosoft Intune

Microsoft Intuneは、MDMとMAMに重点を置いたクラウドベースのサービスです。デバイスにポリシーを適用して、データが組織の境界を越えないようにすることができます。ノートパソコン、モバイルデバイス、タブレットなどのデバイスをサポートし、デバイスが登録されているかどうかにかかわらず、ポリシーを適用してデータを保護します。Microsoft Intuneの主な利点の一つは、Azure Active DirectoryおよびOffice 365アプリケーションとの統合です。Azure Active Directoryと統合することで、ユーザーのアクセス権とアクセス許可の内容を制御できます。 Outlook、OneDrive、SharePoint、TeamsなどのOffice 365アプリケーションは、多くの組織で個人用デバイス上のモバイルアプリなどにも使用されているため、これらのデバイスにも一貫して企業ポリシーを適用する必要があります。

Microsoft Intuneの登録に必要なセキュリティ制御の構成

Microsoft Intuneを使用する際には、5つの重要なセキュリティ統制を構成します。

• ロールベースのアクセス制御（RBAC）：Intune管理ポータルへのアクセスをセキュリティで保護し、アクセスの委任先をIT管理者やSCCM管理者などの承認されたユーザーのみに制限することが重要です。必要でない限り、グローバル管理者の役割をユーザーに委任しないでください。
• 登録制限：Intuneでは、登録できるデバイスの種類と、1人あたりに許可されるデバイスの台数が制限されます。1人あたりに許可されるデバイスの最大数は15ですが、その数を減らすことで、不要なデバイスや不正なデバイスを登録するリスクを低減できます。
• コンプライアンス・ポリシー：Intuneでは、ジェイルブレイクされたデバイス、脆弱なパスワード、望ましくないアプリケーション、更新されていないオペレーティングシステムの検出などに関するコンプライアンスポリシーを適用できます。これらのポリシーを適用して、デバイスのポリシー準拠を確認することをお勧めします。
• アプリ保護ポリシー：Intuneアプリ保護ポリシーにより、アプリケーションからアクセスされるすべてのデータを保護し、漏洩を防ぐことができます。アプリケーションがデータに安全にアクセスするためのコンテナを作成し、個人データと企業データを分離します。Intuneアプリ保護ポリシーは、AndroidアプリとiOSアプリの両方に適用され、MAMのセキュリティを実装する優れた方法です。
• 条件付きアクセス：Azure Active Directoryの条件付きアクセス機能を使用して、アプリまたはサービスへのアクセスを拒否または許可する条件を指定できます。条件付きアクセスポリシーをデバイスベースおよびアプリベースのコンプライアンスポリシーと組み合わせて、セキュリティで保護されていない、あるいは非準拠のデバイスやアプリに資産へのアクセスが許可されないようにすることができます。