検索
特集/連載

「iPhone」と「Android」を1つのツールで完璧に管理? 甘い言葉にご注意を「MDM万能論」への警告

スマートデバイス管理の必需品ともいえる存在になった「モバイルデバイス管理(MDM)」ツールだが、導入時には注意が必要だ。“対応端末”の全てを同様に管理できるわけではないからである。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 「モバイルデバイス管理(MDM)」ツールを使ってポリシーを配備・適用するのは、小学校低学年のクラスを担当するようなものだ。

 低学年クラスの児童は2つの主なグループに分けられる。男子と女子だ。だが低学年クラスを担当したことのある教員なら、この違いが大きな悩みの種になり得ることを知っている。

 多くの企業では、社内のモバイル端末も2つの主なグループに分けられる。米Googleの「Android」を搭載した端末と、米Appleの「iOS」搭載端末だ。子どもたちがそうであるようにモバイル端末にもそれぞれ個性があり、ルールやポリシーへの対応の仕方も少しずつ異なる。

 MDMの導入は、管理者が個別の端末を管理する方法の1つだ。ただし気を付けなければならない問題も幾つかある。

MDMの弱点の原因は端末にあり

 市場には多くの種類のMDMツールが出回っているが、どれも同じような弱点を抱えており、ベンダーがそれらに対処できていないのが現状だ。MDMツールの限界は、モバイル端末のOSおよび構成によって大きく左右される。

 今日、企業内のモバイル端末の大多数はAndroidまたはiOSで動作し、残りの一部をカナダBlackBerryの「BlackBerry」と、米Microsoftの「Windows Phone」を搭載した端末が占めている。これらの端末にMDMポリシーを適用する上で最大の障害となるのは、個別のOSやそのバージョンの間で違いがあることだ。

 まずiOS端末は、MDMが管理する暗号化はサポートしていないという事実を認識する必要がある。Androidの場合はバージョンが異なれば、アプリの制限への対応の仕方が異なる。例えば、MDMツールを使い、従業員がAndroid端末で「Google Play」を利用するのを禁止しようとしても、その効果はAndroidのバージョンによって異なる。

 「Android 4.0」(開発コードネーム: Ice Cream Sandwich)では、Google Playを利用禁止にしても、アプリドロワーにGoogle Playが表示される。ただしGoogle Playを使用することはできない。「Android 4.1/4.2/4.3」(開発コードネーム: Jelly Bean)では、Google Playはユーザーから完全に見えなくなる。

 管理者はさらに、携帯キャリア独自のスキンが施されたAndroid端末、脱獄(Jailbreak)しているiPhone、root化されたAndroid、カスタムROMなども考慮に入れる必要がある。こうした多様な変種が存在するので、どのポリシーがどの端末に有効なのかを判断するのは難しい。

何ができるのか

 MDMの管理対象には、スマートフォンだけでなく、タブレットやノートPCも含まれる。MDMツールの選定作業を開始する前の段階として、管理対象に入れる端末をリストアップする必要がある。スマートフォンのサポートは問題なくても、タブレットやノートPCに目を向ければ、MDMベンダーのサポートはまちまちだからだ。例えば、Windows搭載ノートPCは管理できるが、Appleの「Mac」は管理できないMDMツールもある。「MDMを導入し、各端末にポリシーを適用すれば、社内の全ての端末を管理できる」と考えていたとすれば、それは大きな誤解だ。

 MDMツールを選定したら、数種類のテスト用端末を用意し、各端末に適用するデフォルトポリシーを検討する必要がある。私の経験では、ほとんどのベンダーのデフォルトポリシーは非常に甘く、端末に組み込まれたアプリを時々チェックする程度にすぎない。

 ただし、管理対象の端末の追加・削除や基本的な管理タスクの処理に問題がないことが確認できるまでは、ポリシーを性急にカスタマイズすべきではない。いきなりポリシーをカスタマイズして、予想通りの結果が得られないことにいら立ちを覚える管理者が多いからだ。

 管理者が作成したポリシーが、一部の端末には適用されたのにもかかわらず、他の端末には適用されないという場合もある。これは不具合のように思えるかもしれないが、実はMDMの知識が不足しているにすぎない。

MDMの知識を高める

 MDMエージェントを初めて配備した後で、端末の位置情報取得、セレクティブワイプ(業務関連など一部データのみの消去)、リモートロック、端末のバイブレーションなどMDMツールが備える“面白い”機能を試すと、これらの機能は全て問題なく動作するだろう。このため、全てのポリシーが同じように配信されるという印象を受けるかもしれないが、実際はそうとは限らない。

 制御方式にポーリングを利用するMDMツールの場合、MDMエージェントは管理サーバへアクセスして「私はここにいます。私に適用される新しいポリシーはありますか」と問い掛ける。新しいポリシーを作成しても、登録された端末へ直ちに配信されるわけではなく、端末がアクセスしてくるまで待つのだ。端末間でポリシー適用のタイミングがずれるように思えるのはこのためである。

 MDMツールを配備する上で最も難しいのは、ユーザーの端末に実際にエージェントを組み込むことだ。これが問題になるのには、2つの理由がある。

 1つ目の理由は、MDM導入時のユーザーの混乱だ。ほとんどのMDMツールはSMSメッセージまたはメール(あるいはその両方)をユーザーに送信し、端末のアプリストアからMDMエージェントを取得する方法を通知する。MDMツールは、端末でMDMを機能させるために、ユーザーが入力する必要がある企業番号や認証番号といった情報もメールで送信できるだろう。だがこのような配備方法はユーザーを混乱させる恐れがある。一部であってもユーザーにMDMエージェントのインストール作業を任せる場合、ユーザーが理解できる言葉で配備方法を分かりやすく説明する必要がある。

 もう1つの問題は、ユーザーの端末をMDMツールに登録した後で端末に表示される警告が、ユーザーを怖がらせる可能性があることだ。「このアプリは、あなたの端末を監視し、IT部門の判断で端末を破壊するための許可を必要としています」といった警告が表示されるのだ。技術用語を使ったメッセージはユーザーに無視される可能性があるが、逆に平易な表現で書かれた警告文を好まないユーザーもいるだろう。このため、警告についてユーザーに事前に周知し、IT部門がMDMツールに含まれる各種機能を使用する必要性を説明しておくことが望ましい。

 小学校の場合、優秀な教員とは、規則を守り、児童の注意力を引きつけ、変えられない状況を受け入れる寛容さを持つ、バランスが取れた人である。MDMについても、これと同じ姿勢で取り組むことが成功への道だ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る