Windows 10 EMM そして PC セキュリティ / 管理の未来 概要 企業におけるデバイス管理は複雑化し IT 管理者は従来にない複雑なセキュリティ / 管理タスクを抱えています これまでデバイスのセキュリティと管理には多くの異なるツールが必要でした しかし今後 Windows 10 と

Windows 10

、EMM、

そしてPCセキュリティ/

管理の未来

概要

企業におけるデバイス管理は複雑化し、IT管理者 は従来にない複雑なセキュリティ/管理タスクを 抱えています。これまでデバイスのセキュリティと 管理には多くの異なるツールが必要でした。しか し今後、Windows 10とMobileIronは、企業の負担 を大幅に軽減し、従来のPC管理作業の多くを合 理化します。

490 East Middlefield Road Mountain View, CA 94043 USA Tel. +1.650.919.8100 • Fax +1.650.919.8006 • info@mobileiron.com

目次 概要 Windows 10とEMMによるPC管理の 変革 Windows 10とEMMがPC管理を簡素 化し、セキュリティを確保 EMMの5つの主要PC管理機能 EMMプラットフォームの採用における 主な検討事項 次のステップ：推奨事項 最後に 1 3 4 5 9 10 12

Windows 10は、従来のPC管理作

業の多くを大幅に簡素化する統

一方式を採用しています。

Windows 10のリリースにより、管理者は、LANDESK、 Microsoft System Center Configuration Manager （SCCM）など複数のデスクトップ管理ツールでレ ガシーのWindows PCクライアントを管理する必要 がなくなりました。管理者は、1つのエンタープライズ モビリティ管理（EMM）プラットフォームで、PC、従業 員所有デバイス、BYODモバイルデバイスなど、す べてのWindows 10デバイスを管理できます。これ が可能となるのは、Windows 10がMobileIronなどの EMMプロバイダーを通じて統一されたMDM API群 を管理者に提供するためです。EMMなら、管理者は デバイスの設定と構成をスピードアップし、アプリ 管理を簡素化するほか、EMMで管理する社内のす べてのデバイスのセキュリティをシームレスに確保 できます。 従来のデスクトップ管理とEMMの違いを示すた め、本書では、5つの一般的なデスクトップ管理 のユースケースでEMMの仕組みを解説します。 現代的で統一されたEMMベースの管理インフラ に移行したいIT組織に対してアドバイスも提供 します。

Windows 10と

EMMによる

PC管理の変革

近年のPC管理は、めまぐるしく変わる企業のニー ズに合わせて大きく進歩しています。現在、PC管 理の一般的なモデルでは、グループポリシーオブ ジェクト（GPO）群によって統治されるドメインに デバイスを参加させます。そしてこのGPOで、所 定のユーザーグループに対するシステムの見た 目や動作を定義します。LANDESKやSCCMなど のツールを組み合わせたこのモデルは、すべて のデバイスがLANに持続的に接続する場合に最 も有効です。しかし、このモデルには、従来のドメ イン参加のデバイスより急速に企業ユーザーに 普及しつつあるモバイルデバイス、すなわち断続 的に接続するデバイスを管理する柔軟性があり ません。このためIT管理者は、社内で使用される 多様なデバイスを一貫して管理できるプラットフ ォームを必要としています。 Windows 10は、ドメイン参加から企業内の 単一信頼点として確立されたEMMへとデバイ ス管理を移行することで、この問題に対応しま す。Windows 10は、従来のWindowsオペレーティ ングシステムを統合し、単一のプラットフォームを 通じて統一されたMDM API群を提供します。この 統合により、IT部門はMobileIronのようなEMMプ ロバイダーを通じてMDMプロトコルにアクセス し、すべてのWindows 10デバイスを管理可能と なりました。Windows 10は、アプリ導入も現代化 しました。今では現代のアプリとともにWin32ア プリケーションもEMMで導入できます。 これらの変化により、いくつかの一般的なユース ケースにおいて、PC管理チームは同じプラットフ ォームでPCとモバイルデバイスの両方を容易に 管理できます。状況によって従来のツールがまだ 必要な場合もありますが、Windows 10デバイス にアップグレードする企業ユーザーが増えるにつ れ、PC管理チームは、現行ツールセットをEMMで 強化する必要に迫られるでしょう。実際、ガートナ ーの調査によれば、2018年までに企業の40%が、 少なくとも一部のWindows PCの管理にEMMツ ールを使用すると推定しています。これは、現在 の5%未満に比べて飛躍的な増加です1_。

ガートナー社は、2018年までに

企業の40%が一部のWindows

PCの管理にEMMツールを使用

す る と 推 定 し て い ま す 。

これは現在の5%未満に比べて

飛躍的な増加です。

考えてみてください。2年以内に、全企業のほぼ半 数が少なくともPC管理の一部をEMMに移行する のです。この転換にはおそらく複数の理由があり ます。1つはWindows 10がEMMをサポートしてい ること、もう1つは世界中の企業が急速に変化す るセキュリティおよびアジリティ上の要件を満た す新しい方法を模索する中で、EMMが最有力候 補として浮上したことです。

1 Cliff Saran。“What Will Desktop Management Look Like in 2020?（2020年のデスクトップ管理はどうなるのか？）”。Computer Weekly。 http://www.computerweekly.com/feature/What-will-office-desktop-computing-look-like-in-2020

Windows 10とEMMが

PC管理を簡素化し、

セキュリティを確保

PC管理プラットフォームをEMMに移行することは、実 は管理者にとって非常に有利です。柔軟性を得るため に機能性を犠牲にする必要はありません。MobileIron のような EMMプロバイダーは、複 数 の 一 般 的 な Windows 10 PC管理タスクを従来のツールセットと同 様に容易に処理できるからです。Windows 10では、す べてのMDM APIとアプリ開発ツールが1つの統合プラ ットフォームにまとまっています。したがってWindows 10向けに構成されたMDMポリシーは、MobileIronの EMMプラットフォームを通じてすべてのWindows 10 デバイスに一貫して適用されます。

柔軟性を得るために機能性を犠牲

にする必要はありません。MobileIron

のような EMMプロバイダー は、

複数の一般的なWindows 10 PC

管理タスクを従来のツールセットと

同様に容易に処理します。

たとえば、IT部門が複雑なパスコードの要件を作成す る場合、デバイスの種類別に異なるポリシー構成を作 成しなくても、タブレット、PC、携帯電話すべてに同じポ リシーが適用されます。Microsoftは過去にWindows Phone 8.1、ノートPC/タブレット向けのWindows 8.1に 対応するMDMプロトコルをリリースしましたが、これ らは同一ではなく、別々のAPIと制御インターフェイス が必要でした。Windows 10は、すべてのデバイスの管 理を大幅に簡素化します。以下のセクションでは、PC管 理者のメリットを5つの主要管理分野で紹介します。

2 Cliff Saran。http://www.computerweekly.com/feature/What-will-office-desktop-computing-look-like-in-2020

EMMの

5つの主要PC管理機能

すでに述べたように、既存のドメイン参加モデルで は、急速に変化する現代の管理要件すべてを満たすこ とはできません。Windows 10とMobileIronなら、より 包括的なPC/モバイル管理を可能にし、新しいデバイ ス、アプリ、OSアップグレードを簡単にサポートできま す。この柔軟性はあらゆるIT組織の必須要素です。

Windows 10とMobileIronなら、

より包括的なPC/モバイル管理を

可能にし、新しいデバイス、アプリ、

OSアップグレードを簡単にサポート

できます。この柔軟性はあらゆる

IT組織の必須要素です。

ガートナーによれば、多様なデバイスを管理し、サポ ートする能力がPC管理者にとって極めて重要になり つつあります。最近のレポートでは次のように予想し ています。「2018年までにITサービスデスクへの問い 合わせの40%はスマートフォンやタブレットに関す るものになるでしょう。これは、現在の20%に比較し て大幅な増加です。方法を変えない限り、デスクトッ プITサポートに多大な負担がかかります。」2 MobileIronは、クリティカルなPC管理プロセスにお いて根本的な役割を果たします。以下のセクションで は、一般的なPC管理のユースケースを挙げ、EMMが 現在のツールやプロセスと同等あるいはそれ以上に 有効に対処できることを説明します。

ユースケース1：

PC

のセットアップと登録

従来のPC管理

従来のPCセットアップでは、管理者がデバイスに 物理的にアクセスし、多大な手間とコストをかけ てPCイメージング処理で登録します。IT部門は、 ハードウェアドライバーと標準デバイス群を維持 管理する必要がありました。一般にシステムあた り20～25ドルのイメージデプロイメントサービ スを利用した場合、PCイメージングのコストは瞬 く間に膨らみます3_{。従来の方法はコストが高い} だけでなく、時間もかかります。たとえば遠隔勤務 社員がノートPCを紛失したり、損傷したりすると、 新しいデバイスへの交換に数日かかる可能性が あります。現代の方法なら、IT部門が無線でデバ イスを構成し、セキュリティを確保するため、従業 員はその日のうちに仕事を再開できます。

Windows 10 + MobileIron

Windows 10とMobileIronを利用すれば、IT部門 は従来のPCイメージングに必要な多くの物流を 省くことができます。MobileIronでは、BYODや遠 隔勤務者が使うデバイスを含め、管理者が多様 なデバイスをサポートできます。EMMなら複数の デバイスを同時に構成、登録でき、誰もデバイス に触る必要がありません。つまり、いつでも、どこ でも、企業ネットワークに接続せずにデバイスを 登録できるということです。

Windows 10とMobileIronにより、い

つでも、どこでも、企業ネットワー

クに接続せずにデバイスを登録

できます。

ユースケース2：

企業向けアプリストアの設置

従来のPC管理

企業アプリケーション管理では、管理者がアプリ ケーションごとに配布パッケージを作成する必要 があり4_{、アプリケーションあたり2～4日かかるた} め、比較的時間がかかります。Win32アプリケー ションには、既存アプリをサポートするカスタム インストールスクリプトが必要な場合もあります。 一部のPCアプリケーションは他のアプリケーショ ンバージョンに依存して実行しているためです。 また、現代的なアプリケーションと異なり、レガシ ーのWin32アプリケーションは、アンインストール した後に不要な生成物を残す傾向があります。こ れがレジストリの増大などの問題を招き、性能を 低下させる場合もあります。証明書が正しく削除 されていない場合は、デバイスのセキュリティも 低下しかねません。

Windows 10 + MobileIron

IT部門は、MobileIronとWindows 10を使用し、企業 向けアプリストアを通じてアプリの管理と配布を行 います。ユーザーは、自分のPCやモバイルデバイス にインストールしたいアプリを選択できます。EMM と現代的な企業向けアプリストアを通じたアプリ の管理には主に2つのメリットがあります。 1. スピーディーなアプリ導入。MobileIronでは、 開発者が短時間でエンドユーザーにアプリや 更新を配布できます。ユーザーが更新済みの アプリケーションをGoogleで検索したり、IT部 門に依頼してデバイスにプッシュしてもらう必 要はありません。管理者は、企業アプリカタロ グを作成することで、アプリを自動的にインス トールしたり、エンドユーザーに推奨したりす ることができます。EMMが管理する企業向け アプリストアもアプリのライセンス管理を大幅 に簡素化します。

3 Terrence Cosgrove、Rich Doheny。“Manage PCs as Mobile Devices for the Right Use Cases（適切なユースケースでPCをモバイルデバイスとして管理する）”。 Gartner Research、2016年3月23日。

2. アプリセキュリティを向上。Windowsプラット フォームは、オープンであるという本質によっ てウイルスやマルウェアに悩まされてきまし た。MobileIronが管理するセキュアアプリスト アでアプリを管理することにより、開発者はセ キュリティリスクを最小化できます。

MobileIronが管理する

セキュアアプリストアで

アプリを管理することにより、

開発者はセキュリティリスクを

最小化できます。

ユースケース3：

デバイス管理

従来のPC管理

従来のツールは、Android、iOS、Windows 10など の現代のオペレーティングシステムを最初から想 定して設計されていません。このため管理環境が 断片化し、管理者はレガシーPCクライアントを1つ のコンソールで、モバイルオペレーティングシス テムは別のコンソールで、複数のツールを使って 管理しています。また、従来のPC管理ではデバイ スをドメインに参加させる必要があるため、デバ イスが企業ネットワークに接続して必要な更新を 受け取る必要があります。これは管理コストを増 すだけでなく、断続的に企業ネットワークに接続 するモバイル従業員が最新の更新をすぐに受け 取れず、生産性が下げる可能性があります。

Windows 10 + MobileIron

デスクトップ管理ツールと異なり、MobileIronは、 1つの画面でのマルチOSデバイス管理をサポー トしています。つまり、デバイスがどのネットワー クにあっても重要な更新を配布し、セキュアに管 理できます。MobileIronは、IT部門が重要な問題 に集中できるよう、資産報告やコンプライアンス など必須の管理タスクも自動化します。

MobileIronは、IT部門が

重要な問題に集中できるよう、

資産報告やコンプライアンス

など必須の管理タスクを

自動化します。

ユースケース4：

証明書ベースのセキュリティ

従来のPC管理

多くの場合、PCでセキュリティ証明書を展開する には数週間から数カ月かかります。たとえば一般 的な方法の1つは、ユーザーのIDを確認するため のWebページやイントラネットポータルをIT管理 者がカスタマイズすることです。エンドユーザー は、通常、いくつかの認証手順を踏んでID確認を 受けます。認証が完了するとユーザーはリンクを クリックし、必要な証明書を生成してPCに保存し ます。あるいは、指示に従ってコマンドラインから スクリプトを実行して証明書を生成します。これ は、技術的スキルの少ない人には非常に難しい 作業です。

Windows 10 + MobileIron

証明書は、当日中に以下のいずれかの方法でシ ームレスに導入されます。 SCEP証明書プロビジョニング：IT部門が、従来 のユーザー名/パスワードの認証情報ではな く、Simple Certificate Enrollment Protocol（SCEP） で最初のデバイスプロビジョニングと登録を行い ます。MDMサーバーがデバイスにSCEPの指示と チャレンジを送信し、デバイスがこのチャレンジ を使用してSCEPサーバーに証明書を要求します。 直接的な証明書インストール：IT部門は証明 書とプライベートキーをMDMチャネルで送信 し、MDM経由で証明書を直接インストールする こともできます。このプロセスでは、自己完結型の 証明書機関を使用できるため、SCEPサーバーは 不要です。また、Wi-Fiやメールなどのサービスが ユーザーの認証情報ではなく証明書に割り当て られるため、構成プロセスも簡素化されます。 5 Cosgrove、Doheny。2016年3月23日。

従来のデスクトップ方式と

異なり、Windows 10と

MobileIronでは、ユーザーの

介入なしでセキュリティ証明書

を短時間でシームレスに

導入できます。

ユースケース5：

アプリのホワイトリスト/

ブラックリスト化

従来のPCツール

現代のPC管理ソリューションでアプリケーショ ンのブラックリスト/ホワイトリストを管理するに は、管理者がすべてのアプリケーションのファイ ル名を指定する必要があります。そしてこの構成 を手作業でデバイスにプッシュしなければなら ず、時間がかかります。

Windows 10 + MobileIron

Windows 10では、WindowsストアもWin32アプ リもAppLockerを通じてアプリケーション許可/ 拒否リストを実行できます。AppLockerとは、IT管 理者が、一意のファイルID、グループポリシーあ るいはユーザーロールに基づいてアプリケーシ ョンを許可または拒否するルールを定義できる Windowsの機能です5_。

IT管理者はAppLockerでアプリ

ーションの許可/拒否リストを

簡単に管理でき、複雑な構成は

不要です。

EMM

プラットフォームの

採用における主な検討事項

企業のIT管理は、EMM中心のモデルへと急速に 移行しつつありますが、移行に際してIT部門が知 っておくべき弱点がまだあります。これらがEMM の展開に影響を与えるかもしれません。 • GPOとEMMのポリシー比較。GPOポリシーと EMMポリシーの両方でデバイスを管理する ことは技術的に可能ですが、管理上の矛盾を 生じる場合があります。同じWindowsマシン に適用する前に、GPOとEMMのポリシーフレ ームワークがまったく異なることを考慮して おきましょう。一般にEMMのほうが、リモート ユーザーや従業員所有デバイスに適してい ます。しかし、EMMのポリシーが数百なのに 比べ、Microsoftには数千ものGPOがあるた め、GPOのほうが詳細な制御が可能です。組織 は各フレームワークを分析し、現在のEMMには ない特定のGPO機能が必要かどうかを判断す る必要があります。6 • レジストリを編集および管理する能力。PC管理 者は、レジストリ内で設定を詳細に編集するツ ールに慣れていますが、この作業のミスによっ てレジストリが使用不能になることも少なくあ りません。管理者がレジストリをセキュアに編 集し、人的ミスを最小限に抑えるには、EMMの 拡張機能が必要です。また管理者が手慣れた 作業を捨て、より安定性、保護、セキュリティに 優れたサンドボックス型の現代的なアーキテク チャ環境に親しめるよう、移行期間の設定をお 勧めします。 • 企業向けアプリストアの要件。企業向けアプリ ストアは、管理者にもエンドユーザーにも多 大なメリットをもたらしますが、Microsoftには アプリストアで配布するアプリケーションに所 定の要件を課しています。これらの要件を満た さない組織は、簡単にはアプリケーションを配 布できず、アプリストアを活用できません。し かし、Microsoftが最近発表した「Centennial」 デスクトップアプリコンバーターはその問題 を解消する可能性があります。このリリースに より、開発者はWin32、.NETアプリをAPPXアプ リ形式に変換し、Windowsまたは企業向けの アプリストアで公開できます。つまり、レガシ ーアプリをユニバーサルWindowsプラットフ ォーム（UWP）アプリとしてアプリストアに導 入し、任意のモバイルデバイス、コンピュータ ー、Surfaceなどのタブレット、画面なしのデバ イス、受動的なディスプレイデバイスに対応さ せることができます7 _。 • ファイルシステムの可視性と機能。EMMでは、シ ステム上にあるファイルを可視化できません。 したがって、特定のアクションを実行するには ディスク上の具体的な場所へのアクセス許可 が必要です。これは、サードパーティアプリケー ションを使用してライセンス状態などの問題を 管理している場合があるためです。しかし、ファ イルの存在がアプリケーションの挙動を制御ま たは変更するため、IT部門がファイルを可視化 し、管理する必要がある場合もあります。現在、 この弱点を最小限に抑え、EMMソリューション がファイルレベルでタスクを管理できるように する業界の取り組みが進んでいます。 6 Cosgrove、Doheny。2016年3月23日。

7 Haje Jan Kamps。“Microsoft Introduces the Desktop App Converter for Bringing Win32 Apps to the Windows Store（MicrosoftがWin32アプリをWindowsストアに公開するため のデスクトップアプリコンバーターを発表）”。TechCrunch、2016年3月30日。

次のステップ：推奨事項

EMMを試してみたい方に、組織にEMM管理モデルを導入する方法をいくつかご紹介します。 EMMを使用した試験的な BYODプログラムを開始 現在、会社が実行している従業員 所有デバイスのセキュリティ対 策を評価してみましょう。マルチ OSのデバイス、コンテンツ、アプ リを完全にサポートしています か？ 組織内の一部のBYODユー ザーを対象とした試験プログラム で、EMMの概念実証を検討してく ださい。 新しいWindows 10デバイスを EMMで管理 デ バ イス のアップグレ ード や Windows 10の新規購入を計画し ているなら、既存のデスクトップ 管理ツールではなく、EMMを使 用した小規模な試験プログラム で新しいデバイスの構成、セキュ リティ、管理を実行してみること をお勧めします。 Office 365をセキュアに導入 Office 365を導入したいなら、ド メイン参加方式のデスクトップ管 理ではOffice 365のクラウドベー スモデルをサポートできないこと にご注意ください。組織内のあら ゆるデバイスでOffice 365を使用 する場合、EMMは、はるかに簡単 で極めてセキュアな方法です。 1. 2. 3.

EMM

に関するIT界の5つの通説

通説1： 「EMMでは社内のすべてのレ ガシーアプリケーションを管理 できない。」 通説2： 「ドメインに参加していない BYODデバイスにはSCCMが 届かないため管理できない。 分散した従業員はVPNで管理 しなければならない。」 通説3： 「かなりの時間とお金をかけ て書いたスクリプトを無駄にす ることはできない。」 通説4： 「S C C M のほうが E M Mより セキュア。」 通説5： 「クラウド セ キュリティは 、 SCCMやLANDESKなどオンプレ のインフラより堅牢ではない。」 事実： Microsoftは、同社の新しいCentennialデスクトップアプリコンバーターで既存の Win32アプリをユニバーサルWindowsプラットフォーム（UWP）アプリに変換で きることを発表しました。Microsoftによれば、Centennialでは簡単にレガシーの Win32、.NETアプリをWindowsストアに公開し、EMMプラットフォームでセキュアに 管理可能です。 事実： 従来のデバイス全体のVPNでは、ユーザーが企業コンテンツにアクセス するたびに手動でVPN接続を確立する必要があり、ワークフローの邪魔 になります。また、デバイス上のどのアプリでも機密データにアクセスできま す。MobileIronは、さらにインテリジェントで綿密なPer-App VPNにより、許可された ビジネスアプリにのみファイアウォールの背後にある企業リソースへのアクセスを 可能にします。未承認のアプリや個人的なアプリはブロックできるため、情報漏洩の 防止とユーザープライバシーの保護に役立つほか、分散した従業員の管理を簡素 化し、セキュアにします。 事実： EMMは、従来のPC管理ツールほどの投資を必要としません。MobileIronなら、現在 のツールを捨ててゼロからやり直す必要はありません。新規またはアップグレード したWindows 10デバイスをEMMシステムに徐々に追加し、時間をかけて規模を拡 大できます。 事実： 多くの場合、EMMのセキュリティのほうがSCCMより強力です。たとえばMobileIron のほうがSCCMより定期的にデバイス状態を確認し、是正措置を取ります。 事実：

MobileIronとAzure Active Directoryの統合は、バックエンドリソースへの条件アクセ スをサポートする非常にセキュアなソリューションです。デバイスがコンプライアン スから外れた場合、ユーザーは、セキュリティ問題が修正されるまで企業リソースへ のアクセスをブロックされます。

最後に

Windows 10のリリースは、PC管理の新時代に豊かな可能性をもたらします。MobileIronなどのEMMプ ロバイダーにより、PC管理者は、1種類のMDM APIであらゆるWindows 10デバイスを管理し、デバイス の形状に関係なくセキュアなユーザー体験を一貫して提供することができます。セキュアなエンタープ ライズアプリストアでWin32アプリケーションと現代的なモバイルアプリの両方を管理することも可能で す。Office  365などの企業リソースへのアクセスは、Azure Active Directoryアクセス制御機能でデバイス状 態を同期化することにより、厳しく管理できます。また、EMMへの移行をいつでも拡大/縮小できるため、既 存の投資を保護し、IT部門は技術や管理プロセスをビジネス要件に合わせることが可能です。 従来のデスクトップツールに依存してきた組織にとって、分散した従業員が持つ企業デバイスとアプリの 大部分をセキュアに管理するために、EMMの必要性を真剣に評価すべき時期が来ています。

詳細情報

MobileIronが御社のWindowsデバイス管理にどう役立つのか、 詳細はglobalsales@mobileiron.comまでお問い合わせください。