MDM / UEM

MDM（Mobile Device Management：モバイルデバイス管理）とは、企業が従業員のスマートフォンやタブレットなどのモバイルデバイスをリモートで一元管理し、セキュリティポリシーの適用、アプリケーションの配布、データ保護を行うためのソリューションです。紛失・盗難時のリモートワイプ（遠隔データ消去）や、デバイスの暗号化強制、パスコードポリシーの適用など、モバイルデバイスに起因するセキュリティリスクを包括的に管理します。

MDMの進化形として登場したUEM（Unified Endpoint Management：統合エンドポイント管理）は、モバイルデバイスに加えて、PC（Windows、macOS、ChromeOS）、IoTデバイス、ウェアラブルデバイスなど、あらゆるエンドポイントを単一のプラットフォームで統合管理します。リモートワークやハイブリッドワークの普及により、従業員が多種多様なデバイスから企業リソースにアクセスする現在、UEMは不可欠なセキュリティインフラとなっています。

代表的なMDM/UEM製品には、Microsoft Intune、VMware Workspace ONE、Jamf Pro（Apple特化）、IBM MaaS360、Ivanti Neuronsなどがあります。これらの製品は、デバイスのライフサイクル管理（登録→設定→運用→廃棄）の全段階をカバーし、ゼロトラストアーキテクチャの重要な構成要素として、デバイスの信頼性検証とコンプライアンス準拠の確認を担います。

MDMの主要機能

MDMは以下の主要機能を提供し、モバイルデバイスのセキュリティを包括的に管理します。

• デバイス登録（Enrollment）：DEP/ABM（Apple）、Zero-Touch（Android）、Windows Autopilotなどの自動登録機能により、従業員がデバイスを初回起動するだけで企業ポリシーが自動適用
• 構成プロファイル管理：Wi-Fi、VPN、メール、証明書などの設定を遠隔で一括配布・管理
• アプリケーション管理（MAM）：業務アプリの配布、更新、削除をリモートで制御。アプリ内のデータコピー・転送を制限するデータ保護ポリシーの適用
• コンプライアンスポリシー：パスコード要件、OS最低バージョン、暗号化有効、ジェイルブレイク/ルート化検知など、セキュリティ要件の遵守状態を監視
• リモートアクション：リモートロック、リモートワイプ（全消去/企業データのみ選択ワイプ）、パスコードリセット、位置情報の追跡

MDMからUEMへの進化

MDMはモバイルデバイスの管理に特化していましたが、企業で使用されるデバイスの種類が増加するにつれ、PC管理（従来のクライアント管理ツール）との統合が求められるようになりました。UEMは、モバイルデバイスの管理プロトコル（Apple MDM、Android Enterprise）とPC管理の技術（GPO、SCCM、スクリプト配布）を単一のプラットフォームに統合します。

UEMの利点は、デバイスの種類やOSに関わらず、統一されたセキュリティポリシーを適用できる点にあります。例えば「すべてのデバイスでディスク暗号化を必須とする」というポリシーを、iPhoneにはFileVault/Data Protection、WindowsにはBitLocker、AndroidにはFDE/FBEとして自動的に適用できます。

BYOD（Bring Your Own Device）への対応

従業員の個人デバイスを業務に使用するBYOD環境では、企業のセキュリティ要件と個人のプライバシー保護のバランスが重要な課題です。MDM/UEMは、この課題に対して以下のアプローチを提供します。

• ワークプロファイル（Android Enterprise）：個人領域と業務領域を分離し、企業はwork profileのみを管理。個人データには一切アクセスしない
• 管理対象Apple ID / ユーザー登録：個人のApple IDとは別に業務用Apple IDを使用し、データを分離
• MAM-Only（アプリレベル管理）：デバイス全体を管理せず、業務アプリ内のデータのみを保護（Intune App Protectionなど）

ゼロトラストとデバイスコンプライアンス

ゼロトラストアーキテクチャにおいて、MDM/UEMはデバイスの信頼性を検証する重要な役割を担います。条件付きアクセス（Conditional Access）と連携し、「コンプライアンスに準拠したデバイスからのみ企業リソースへのアクセスを許可する」というポリシーを実現します。

例えば、OSが最新でない、暗号化が無効、ジェイルブレイクが検知された、といったデバイスは「非準拠」と判定され、社内メールやクラウドサービスへのアクセスが自動的にブロックされます。これにより、セキュリティリスクの高いデバイスからの不正アクセスを防止します。

パッチ管理とOS更新

MDM/UEMは、デバイスのOSアップデートやセキュリティパッチの配布を管理する機能も提供します。脆弱性が発見された場合に速やかにパッチを適用することは、エンドポイントセキュリティの基本です。MDM/UEMを通じて、更新の強制適用、適用猶予期間の設定、段階的ロールアウトなどを制御できます。

• 01
  すべてのデバイスのMDM/UEM登録を必須化：企業リソースにアクセスするすべてのデバイス（会社支給・BYOD問わず）をMDM/UEMに登録し、セキュリティポリシーを適用してください。未登録のデバイスからの企業メール・クラウドサービスへのアクセスをブロックすることで、シャドーITのリスクを排除します。
• 02
  コンプライアンスポリシーの厳格な設定：パスコードの最低文字数・複雑さ、デバイス暗号化の有効化、OS最低バージョン、ジェイルブレイク/ルート化の検知を必須ポリシーとして設定してください。非準拠デバイスには企業リソースへのアクセスを自動制限するよう条件付きアクセスと連携させましょう。
• 03
  リモートワイプ手順の事前準備：デバイスの紛失・盗難時に備え、リモートワイプの発動手順と権限を明確に定義してください。BYOD環境では「選択ワイプ（企業データのみ削除）」と「フルワイプ（全データ削除）」の使い分け基準を策定し、法的リスクも考慮したポリシーを整備しましょう。
• 04
  アプリケーションの許可リスト/禁止リスト管理：業務で使用するアプリを許可リスト（ホワイトリスト）で管理し、セキュリティリスクの高いアプリ（非公式ストアのアプリ、未検証のVPNアプリなど）のインストールをブロックしてください。管理対象アプリのサイレントインストールと自動更新を有効にし、脆弱なバージョンのアプリ使用を防ぎましょう。
• 05
  ネットワークセキュリティ設定の一括配布：Wi-Fiプロファイル（WPA3 Enterprise、証明書認証）、VPN設定（常時接続VPN、Per-App VPN）、証明書をMDM/UEMから一括配布してください。ユーザーが手動でセキュリティの低いネットワーク設定を行うリスクを排除できます。
• 06
  退職・異動時のデバイスライフサイクル管理：従業員の退職・異動時に、MDM/UEMを通じて速やかに企業データの削除とアクセス権の無効化を実行してください。特にBYODデバイスでは、退職処理のワークフローにMDMの選択ワイプを組み込み、企業データの残留を防止しましょう。