BYODがもたらすマルチOS/マルチデバイス環境での効率的なモバイルデバイス管理を考える

モバイル端末のビジネス活用拡大とBYOD

河原 潤（かわはら・じゅん）
ITジャーナリスト。IDGジャパンの企業ITメディア「月刊SunWorld」「月刊 Computerworld」「月刊CIO Magazine」の編集長を歴任。2009年10月に独立し、以降はITジャーナリストとして精力的に活動中。

2007年以降、タブレットやスマートフォンといったスマートデバイスに代表されるモバイル端末の企業利用が急速に進んでいます。持ち運びが便利で、ソフトウェア次第でさまざまな処理を実現できるモバイル端末は、上手に活用することで業務効率化やスピード化を実現できるからです。従業員の私有デバイスを業務利用する「BYOD」（Bring Your Own Devices）と呼ばれる動きも広がっています。

スマートデバイス活用やBYODは、一般消費者や個人ユーザーの間で浸透した技術やサービスを業務活用する「ITコンシューマライゼーション」の一環と捉えることができます。ITコンシューマライゼーションは2000年代の中頃から企業ITの一大トレンドとなっています。TwitterやFacebookなどのSNSを企業広報や顧客サポートに使ったり、GmailやDropboxなどのクラウドサービスを使ったりすることは、すでに当たり前の状況です。このITコンシューマライゼーションの考え方をデバイスに応用したのがスマートデバイス活用であり、BYODなのです。

従業員にとってのBYODの利点は、個々人の業務内容に応じて最適な端末を選びとることで、場所や時間に制約されない臨機応変なワークスタイルが実現され、業務効率や生産性を高められるようになることです。企業にとっては、業務効率化や生産性向上に加えて、事業継続性の向上や端末の一括購入コストが不要になるといった効果を期待できます。その半面、セキュリティ確保などの端末管理が難しくなります。さまざまな種類の端末が使われることになるため、管理やサポートにかかるコストが増加することも予想されます。

こうした状況の中、BYODの利点を維持しながら、従業員のモバイル端末をいかに安全かつ効率的に管理するかという「MDM」（モバイルデバイス管理）が、IT部門の大きな課題となっています。例えば、従業員がモバイル端末を紛失した際には、リモートから端末をロックしたり、端末内のデータを消去するといった対策を取らねばなりません。こうした管理作業を効率良く実現するため、「MDMツール」（図1）と呼ばれるソフトウェアやサービスが使われ始めています。

MDMツールの動作概要
MDMツールを使用すると複数のモバイル端末を一括管理できます

早急なポリシー策定とMDMツール活用が求められる

企業としてのポリシーやルールを明確にしないまま従業員主導で「なし崩し的」にBYODを進めてしまうと、適切な管理ができずに、機密データの漏えいなどのセキュリティリスクが増大してしまいます。「端末購入費用を企業側で負担しなくてよい」という程度の安易な理由でBYODを手放しに認めてしまうと、事故処理や再ルール作成、管理体制の再構築などにかえってコストがかかることになりかねません。経営者やIT部門側が方針やルールといったポリシーを作成し、IT部門のコントロール下でモバイル端末活用やBYODを進めることが重要です。

ただし、特定のモバイル端末を選定し、それを全部門に一律配布するという従来型のポリシーがBYODにもそのまま当てはめるのは難しいでしょう。業務の場所や用途、従業員によって最適なモバイル端末は異なるからです。一部の欧米企業では「セルフサービスIT」という考え方を採用しています。従業員のデバイス管理でいうところのセルフサービスITでは、IT部門が従業員に一定額のデバイス購入予算を与え、業務環境や業務内容に見合ったデバイスを従業員自身が選定・購入することを認めます。その一方で、セキュリティ対策などのデバイス運用管理作業も従業員に任せます。これによって、業務に最適なモバイル端末を低い管理コストで導入できます。デバイス紛失や情報漏えいなどのセキュリティ事故に対しては、解雇を含めたペナルティーを課すことで抑止します。雇用形態や従業員のITリテラシーが違うことから、このセルフサービスITの考え方をそのまま国内企業で適用するのは難しいでしょう。特にデバイス用管理作業を従業員に任せるという点が難しそうです。しかし、デバイス選定は従業員に任せて、管理についてはIT部門が実施するというスタイルならば十分にあり得るのではないかと思います。

ポリシーやルール策定後の、具体的なモバイルデバイス管理に役立つのが、前述のMDMツールです。企業でのタブレットやスマートフォンの利活用が進むにつれて、さまざまなMDMツールが多数のベンダーによって提供されるようになってきました。MDMツールでは、(1) 端末の導入・設定支援、(2) セキュリティ確保、(3) 資産管理・運用支援、などの機能を提供します（表1）。マルチOS/マルチデバイス対応のMDMツールも増えており、そうしたMDMツールを使えば、スマートデバイスだけでなく、ノートPCやデスクトップPCなども一括管理できます。MDMツールの機能は製品やサービスによって異なりますから、策定したポリシーやルールに適合したものを選定する必要があります。

なお、モバイル端末管理にMDMツールが必須というわけではありません。AndroidやiOSといったモバイルOSには、リモートから端末をロックしたり、端末内のデータを消去するといったリモート管理用の仕組みが標準装備されているからです。「Microsoft Exchange」などのソフトウエアからもこうした管理機能を操作できます。しかし私の取材での経験から言うと、OS標準の管理機能だけで対処できるのは従業員が数十人規模の企業まで。従業員数が50人を超えるような企業では、異動による従業員のロール変更などに追従するのが極めて困難になり、MDMツールの助けがなければとても管理できなくなります。MDMツールには月額料金で利用可能なクラウド型のものも存在します。クラウド型であれば導入費用や管理コストを低く抑えられますから、積極的に活用して管理負荷を低減したいものです。

MDMツールの主な機能
MDMツールが備える機能は製品やサービスによって異なりますが、一般にこのような機能を備えています。

レッツノートが対応する「ハードディスク遠隔消去サービス」

MDMツールによる管理を完全にするには、モバイル端末側にリモート管理を受け付ける仕組みが必要です。前述の通り、AndroidやiOSにはそのための機能が含まれています。しかし、Windowsにはそうした標準機能は存在していません。そのためノートPCの紛失対策・データ漏えい対策を完全にするには、ノートPCメーカーが何らかの機能を作り込む必要があります。

ビジネスユーザーに圧倒的な人気があるレッツノートでは、こうした企業側のニーズに応える仕組みを用意しています。法人モデルの一部に限りますが、BIOS（PCに搭載されるファームウェア）に手を入れて、電源OFF時にもデータを遠隔消去できるようにしているのです。この仕組みは、2011年5月からパナソニック システムソリューションズジャパンが提供する「ハードディスク遠隔消去サービス」（図2）で使われています。

ハードディスク遠隔消去サービスでは、法人利用において実績があるワンビの「TRUST DELETE」というソフトウェアを採用しています。サービス利用者はレッツノートに同ソフトウェアをインストールしておき、紛失などの緊急時には、電話や電子メールでサービス提供者にデータ消去を依頼します。サービス管理者は依頼に基づいてインターネット経由で消去命令を出し、その命令を受けたTRUST DELETEがデータを消去する仕組みです。ただしこれだけでは、ノートPCの電源OFF時にはデータを消去できません。そこでパナソニックでは、電源OFF時にも3G通信モジュールを介して消去命令を受け付けられるように、一部のレッツノートのBIOSを改造しています。該当機種では、SMS（ショートメッセージ）によって送られた消去命令を受けると、BIOSがPCの電源を入れてデータ消去作業を始めます。消去の際には、バックライトと周辺LEDは消灯状態で、キーボードとタッチパッドのほか各種デバイス（USBポート、SDカードスロット、PCカードスロット）は無効状態となっています。これは、消去作業を妨害させないための配慮です。また、SMSが一時的に届かなかった場合は一定間隔でリトライが行われるようになっており、万全を期しています。

こうしたきめ細かな造り込みが、ビジネスユーザーにレッツノートが支持される理由なのだと思います。

「ハードディスク遠隔消去サービス」の動作概要
SMS（ショートメッセージ）を使って、3G通信経由で消去指示を出した場合は、レッツノートの電源がOFFの場合にもデータを消去できます。