MDMを用いたAndroidの管理：Androidセキュリティの今、これから（4）（2/3 ページ）

[＠IT編集部，Android セキュリティ部]

3タイプのMDM、何をどこまで管理する？

　では、MDMのタイプごとに、どういった管理やコントロールが可能なのかを紹介していきましょう。

■Microsoft Exchange Serverで実現可能な機能

　スマートフォンやタブレットを管理する方法の1つに、Microsoft Exchange Server（注1）があります。基礎的な機能は下記のとおりです。

• パスワードポリシーの強制

画面1 Exchange Serverを用いたパスワードポリシーの適用

• リモートワイプ（microSDをリモートワイプすることはできません）

画面2 Exchange Serverのリモートワイプ設定

注1：Google社のドキュメント（2011年9月時点）によると、Android OS 2.2以降、Microsoft Exchange ActiveSync 2003 Service Pack 2、Microsoft Exhange ActiveSync 2007、またはMicrosoft Exchange ActiveSync 2010で対応しているそうです。ただし、Android端末ベンダによりカスタマイズされている場合は、製造元に問い合わせるよう記載されています（参照： http://www.google.com/help/hc/pdfs/mobile/ExchangeAndAndroid2.2and2.3-003.pdf ）。

■エージェント型製品で実現可能な基本的な機能

　Microsoft Exchange Serverを、Android側にアプリをインストールすることなく利用できる「エージェントレス型」の製品と位置付けた場合、MDMベンダやウイルス対策ソフトメーカー、キャリアなどが提供しているAndroid MDM製品は、主に、エージェント（アプリ）をインストールする「エージェント型」になります（注2）。

　以下に、実施可能なMDMの基本機能を列挙しました。ただし、1つの製品が必ずしも下記のすべての機能を備えているわけではないことにご注意ください。製品ごとに、実装している機能は少しずつ異なります。

カテゴリ	設定内容
設定管理	アプリ配信
セキュリティ	パスワードポリシー
	位置検知
	（リモート、ローカル）ワイプ
	（リモート、ローカル）ロック
	microSDカードのワイプ
	microSD利用の制御（禁止／許可）
	Wi-Fi利用の制御（禁止／許可）
	Bluetooth利用の制御（禁止／許可）
	カメラ起動の制御（禁止／許可）
資産管理	インベントリ情報の収集
	アプリ一覧の収集
	イベント情報の収集
運用	エージェントのアンインストール対策
	ログ管理
	インシデントアラート
	マルチデバイス管理
表1　MDMが提供する主な機能

注2：ここでは、Androidに管理のためのアプリを導入して利用する製品を「エージェント型」、エージェント型以外の製品を「エージェントレス型」と表現します

■少なくとも押さえておきたい機能とは

　さて、Androidを管理するためにMDM導入を検討する場合、基本的な機能のうち、少なくとも

• パスワードポリシー
• リモートワイプ

の2つが行えるものを選定すべきでしょう。なぜならば、Microsoft Exchange Serverが前述の2つの基礎的な機能を有しているからです。これらは必ずしも、MDMの基本的な機能とは合致しません。

　MDMの基本的な機能は、パスワードポリシー、リモートロック、リモートワイプ、位置検知、およびインベントリ情報の収集となります。ユーザーがどれほど注意しても、Androidの紛失、盗難をゼロにすることは、現実的にはできません。万一の事態を想定し、最悪でもAndroidに保存されているデータが流出することのないよう、業務利用ではこの2つの機能を実装しておきたいものです。

　また、エージェント型の場合、最初にアプリを導入する手間が掛かります。しかし展開後の再設定では、一括設定や更新設定などの運用管理やセキュリティ対策の手間を、比較的省くことができます。さらに現状を踏まえると、各メーカーではエージェント型のMDM開発に力を入れており、利用者の意見を反映させた開発を積極的に行うことも期待できます。

■ネットワーク（NW）型MDM製品

　ここまで、基礎的な機能を提供するMicrosoft Exchange Server、そしてAndroidなどのスマートデバイスの管理を念頭に置いて開発されたエージェント型MDMについて紹介しました。

　次に特殊な例として、MDMではなく、SSL-VPNなどのネットワーク機能をメイン機能とする「ネットワーク（NW）型」MDM製品にも触れておきましょう。このタイプは、そもそもネットワークセキュリティの分野で実績を持つメーカーが、コア・コンピタンスを生かして開発したもので、広義のエージェント型に分類できます。

　MDMが標準で実装している「パスワードポリシー」「リモートワイプ」といった機能とは別に、ネットワーク（NW）型MDM製品が持つ特徴あるセキュリティ機能は以下のとおりです。

• 【セキュリティ】
  • SSL-VPN接続
  • バックアップ／リストア
  • ウイルス対策
• 【運用管理】
  • リアルタイムのコンテンツ監視
  • SIM変更通知などのリモートアラーム
• 【その他】
  • iPhone、Windows Phone、Black Berryなど複数のプラットフォームへの対応

【コラム】　Google Appsを利用する手法

　業務でのAndroid活用に際して、MDMによるセキュリティ管理だけでなく、もう一歩進んでBPR（Business Process Reengineering）による組織／業務の最適化や、TCO（Total Cost of Ownership）削減も視野に入れている企業は多いのではないでしょうか。そんな場合、グループウェア機能を主体に提供しながら、クラウド型MDMの機能も有する「Google Apps」も検討するとよいでしょう。

　Google Appsでモバイルセキュリティ設定（MDM）を行うには、以下のいくつかの要素が必要です。

1. Google Apps for Business、Google Apps for Education、Google Apps for Governmentを選定する
2. Android OS 2.2以降を搭載した端末を利用する
3. 端末ポリシー（Google Apps Device Policy）アプリを導入する

　Google Appsが実際に提供するMDM的な機能は、「パスワードポリシー」「リモートワイプ」などです。その他の機能についても、随時更新されています。すでに、Google Apps＋Androidを組み合わせた企業導入事例もあります。