- ニュース

BYODプログラムは、ほぼあらゆる形態・規模の職場で導入が進んでいます。こうしたプログラムの大きなメリットの一つは、自分の仕事や働き方に最適なモバイルデバイス(iPhone、iPad、その他のデバイス)やアプリを自分で選べることです。中には、オフィスで個人用テクノロジー機器を使用することで発生する費用の一部を補助してくれる企業もあります。例えば、iPhoneやiPadのデータプラン(またはその一部)などです。
この自由感は非常に大きな力となりますが、多くの場合、会社のIT部門がデバイスをモバイル管理システムに登録するという代償を伴います。つまり、セキュリティ上の理由から、デバイスの特定の機能が制限される可能性があります。また、会社はあなたのiPhoneやiPadの使用状況を監視・追跡し、いつでもリモートでデータを消去できることになります。
Appleは2年前、iOS 4でモバイルデバイス管理(MDM)機能を導入しました。これにより、モバイル管理ベンダーがiOSデバイスを管理するための設定フレームワークが構築されました。
MDM企業は数多く存在しますが、いずれもAppleが導入したフレームワークを用いてiPhoneとiPadを管理・監視しています。各社の差別化要因は、追加の管理機能と、AndroidやWindows Phoneといった他のモバイルプラットフォームへのサポートです。つまり、企業がどのソリューションを選択しても、IT部門がiOSデバイス上で管理・監視できる領域は、一貫しているということです。
IT 部門が MDM を使用して実行できることは、設定を構成する (設定の変更オプションの有無にかかわらず)、パスコード ポリシーを要求する、特定の機能へのアクセスを制限する、iPhone または iPad に関するさまざまな詳細情報を監視するという 4 つのカテゴリに分類されます。
まず、IT部門が設定できる項目から見ていきましょう。これらのオプションは主に、企業リソースへのアクセスを確保し、iOS設定アプリの様々な部分に入力する情報を探す手間を省くことでセットアッププロセスを効率化するために利用されます。これらのオプションは、ほとんどの場合、恒久的に適用(変更不可)するか、事前に設定済み(必要に応じて調整可能)にすることができます。
- Wi-Fi – ネットワーク名とパスワード(非表示のネットワークを含む)を入力して企業ネットワークへのアクセスを構成します。また、デバイスが範囲内にあるときに自動的にネットワークに参加するかどうかも構成します。
- VPN – 社内ネットワークへの安全なリモートアクセスを設定します(ログイン認証情報を保存するか、接続時に認証情報の入力を求めるかを選択できます)。また、すべてのインターネットトラフィックにVPN接続を使用する機能も備えており、すべてのオンラインアクティビティは社内ネットワーク経由でリダイレクトされ、監視またはフィルタリングされます。
- メールとExchange – 会社のメールまたはExchange Serverに必要なサーバー情報を事前に設定できます(通常、メールアプリを初めて起動する際にユーザー名とパスワードを入力する必要があります)。また、IT部門は、アカウントをメールアプリでのみ利用でき、Safariや写真などの外部アプリからメールを起動する際には利用できないように設定することもできます。デバイス上の別のフォルダーやメールアカウントにメッセージを移動する機能を無効にすることもできます。Exchangeアカウントの場合、デバイスに同期するメールの量も事前に設定できます(デフォルトは3日分)。
- 共有連絡先 – 会社で Exchange またはオープン LDAP または CardDAV 標準に基づく共有連絡先サービスを使用している場合、IT 部門は共有連絡先が連絡先アプリに表示されるようにアクセスを構成できます。
- 共有カレンダーシステム – 社内でExchangeやオープン標準のCalDAVベースのカレンダー製品をご利用の場合、IT部門はカレンダーアプリの設定を構成して、それらとユーザーアカウントを連携させることができます。また、ユーザーが閲覧のみ可能な購読カレンダーを追加することも可能です。例えば、社内の休日リスト、社内イベント、給与計算日などです。
- Web クリップ – IT 部門は、特定の Web サイトや Web ベースのツールのアイコンをデバイスのホーム画面に表示できます。タップすると Safari で開きます。
パスコードポリシーは、モバイル管理(そしてほとんどのビジネスコンピューティング)において普遍的な要素です。iOSデバイスでパスコードを要求する場合、IT部門が利用できるオプションを以下に示します。
- パスコードとしてシンプルな4桁のPINを要求する
- 英数字のパスコードを要求する
- パスコードの最小文字数と複雑さのレベル(大文字と小文字、特殊文字の混在)を設定します
- 定期的にパスコードを変更するように強制したり、パスコードの再利用を禁止したりする
- 自動的にロックされるまでのデバイスのアイドル時間を設定します
- パスコードの入力を求められることなくデバイスのロックを解除できる猶予期間を設定します
- パスコードの入力失敗回数を指定すると、デバイスは自動的にすべてのデータを消去します
MDMシステムは、リモートでパスコードを削除し、デバイスのロックを解除するためにも使用できます。パスコードを忘れて会社のヘルプデスクに電話した場合、IT担当者がデバイスにコマンドを送信して既存のパスコードを削除し、デバイスのロックを解除して新しいパスコードを設定できるようにします。同様に、MDMソリューションは、デバイスを即座にロックしたり、データを消去したりするコマンドを送信することもできます。
企業は、パスコードポリシーに頼るだけでなく、デバイスとデータのセキュリティを強化するために、特定の機能、アプリ、機能へのアクセスを制限することがよくあります。これにより、企業ポリシー、業界規制、そして(該当する場合)現地の法律への準拠も確保できます。IT部門がiPhoneまたはiPadで制限できる操作のリストを以下に示します。
- カメラの使用
- FaceTimeチャットに参加する
- スクリーンショットを撮る
- 音声ダイヤル
- アプリのインストール
- アプリ内購入を行う
- iTunes Storeへのアクセス
- マルチプレイヤーゲームをプレイする
- Game Centerに連絡先を追加する
- YouTubeの立ち上げ
- Safari を起動します (自動入力、JavaScript、ポップアップ ウィンドウを無効にしたり、Safari が Cookie を処理する方法を指定したり、詐欺検出の警告を強制的に表示したりするなど、特定のブラウザ セキュリティ オプションを適用することもできます)
- 位置情報サービスを使用する(すべてのアプリにグローバルに適用されます)
- 信頼できないセキュリティ証明書(デバイスがサービスの ID を検証できない証明書)を使用する安全な Web サイトやその他のオンライン サービスにアクセスする
- フォトストリーム、ドキュメントと設定の同期、iCloud バックアップなどの iCloud 機能へのアクセス(それぞれ個別に制限できます)
- iPhone 4S で Siri を使用する (IT 部門は、電話がロックされている間は Siri を完全に無効にしたり、アクセスを制限したり、Siri による不適切な言葉や卑猥な表現の使用を制限したりできます)
- 診断データと使用状況データをAppleに送信する
iOSデバイス上のコンテンツへのアクセスを制限するためのオプションも豊富に用意されています。コンテンツは、映画、テレビ番組、アプリ、音楽/ポッドキャストに分類されています。映画、テレビ番組、アプリは、レーティングに基づいて完全に禁止することも、制限することもできます。音楽とポッドキャストは、iTunesで不適切な表現としてフラグ付けされている場合、禁止することができます。
iTunes Store へのアクセスが有効になっている場合、IT 部門は、iTunes、App Store、iBooks アプリでの購入やアプリ内購入のたびに iTunes アカウント情報とパスワードの入力を求めることができます。これにより、アカウントの詳細を入力すると、複数の購入を連続して実行できる従来の猶予期間が無効になります。
また、IT 部門は、コンピューター (自宅または職場) 上のデバイスのバックアップを暗号化形式で保存することを要求したり、デバイスが別の通信事業者のネットワークでローミングしている場合は自動同期操作を禁止したりすることもできます (データ ローミング料金を制限するため)。
IT部門がMDMを使用してサービスを設定し、iPhoneまたはiPadをロックダウンする方法を確認したところで、どのような情報を監視および報告できるかを見ていきましょう。MDMツールは、管理対象デバイス全体を定期的に自動監視したり、必要に応じて特定のデバイスにクエリを送信したりできます。デバイスの電源がオンでインターネットに接続されている限り、デバイスは応答します。iPhoneまたはiPadがIT部門に報告できる情報のリストは次のとおりです。
- デバイスの固有デバイス識別子 (UDID)
- デバイス名
- 電話番号
- iOSとビルドバージョン
- デバイスの種類/モデル
- シリアルナンバー
- 総ストレージ容量と利用可能な空き容量
- バッテリーレベル
- Wi-FiおよびBluetoothハードウェアのネットワーク(MAC)アドレス
- デバイスがアクティベートされたキャリアと現在使用しているキャリアネットワーク
- デバイスがローミング中にモバイルデータの使用を許可されているかどうか
- デバイスがハードウェア暗号化に対応しているかどうか
- パスコードが設定されているかどうか
- デバイスにインストールされているすべてのアプリ – 各アプリについて、アプリID(開発者とApp Storeで使用)、名前、バージョン、アプリ自体のファイルサイズ、アプリデータ(ドキュメント、設定など)に使用されるデバイス上のストレージ容量などの情報が含まれます。
- デバイスに現在適用されているすべての制限
- インストールされている構成プロファイル
- インストールされたセキュリティ証明書とプロビジョニングプロファイルとその有効期限 - ネットワークリソースへの安全なアクセス、会社で作成されたプライベート/内部アプリ、MDMソフトウェアなどに使用されます。
- キャリア設定情報 – キャリア関連の問題のトラブルシューティングに使用できます
- モデムのファームウェアバージョン(これもトラブルシューティング情報です)
- IMEIとICCID番号 – それぞれ携帯電話対応デバイスとSIMカードを識別するために使用されます
これらの項目は、IT部門がAppleのMDMフレームワークを使用して管理できる範囲であることに留意してください。ネットワーク監視・管理技術は、多くの場合、社内Wi-FiまたはVPNに接続したデバイスがインターネットや社内リソースにアクセスする方法を追跡できます。Exchange、メール、ウェブサーバーなどの多くのネットワークサービスも、接続時にデバイスやユーザーアカウントの詳細を記録します。Mobilisafeなどの一部のモバイル管理ソリューションは、これらの技術を使用して、社内ネットワーク上のデバイスを監視・管理できます。
結局のところ、企業がこれらの機能をすべて積極的に活用することは稀です。特にBYODプログラムにおいては、これは個人のデバイスであるという認識が一般的です。また、IT業界では、デバイス自体を管理するのではなく、デバイス上のビジネスデータを管理する方が効果的なアプローチかどうかについて、議論が続いています。とはいえ、BYODプログラムへの参加を検討している場合は、質問をし、会社のポリシーを読み、IT部門が個人資産をどのように管理するかを明確に理解しておく必要があります。