MobileIronで実現できる「働き方改革」とは
これまで、数種類のMDM、EMM、UEM製品のトライアルを行い、どんなことが実現できるのかを調査してきましたが、 そこで得られた知見を総合して、具体的に実現可能な「働き方改革」を考えてみました。
多くの会社の情報システム管理部門の方々が、この「働き方改革」というキーワードで、どこから何をしたらいいかお悩みの方も 多いと思いますが、そんな方々の一助になれば幸いです。
とういうことで、今回は仕事の現場で使われているデバイスとしてwindowsをはじめ、Mac、iOS(iPhone,iPad)、Androidなど色々なデバイスに対応可能なMobileIronの導入を想定して、その機能で説明していこうと思います。
アジェンダ
- 「働き方改革」で目標とする働き方を明確に
- 目標とする働き方に必要な要点
- セキュリティの観点
- 利用者(社員)の使いやすさの観点
- 管理者(情報システム部門など)の省力化の観点
- MobileIronで実現する働き方改革
- セキュリティの観点
- 1.どんなネットワーク環境から接続しても、業務用サービス(データ)を安全に利用できること
- 2.誰が、どのデバイスから業務用サービス(データ)に接続しているかが明確に管理できること
- 3.紛失、盗難等の場合に速やかにデバイスをロックすることで業務用サービス(データ)を守れること
- 4.どのデバイスも、必要な際は内容を遠隔地から消去できること
- 利用者(社員)の使いやすさの観点
- 5.パスワード入力や認証回数を減らして、利用者の利便性を向上できること
- 管理者(情報システム部門など)の省力化の観点
- 6.休職・退職時等のアカウントのロックや消去のための、管理者の作業工数を減らせること
- 7.入社時に会社から貸与する新規デバイスの初期設定作業の工数を減らせること
- 8.どのデバイスも、必要な際は内容を遠隔地から消去できること
- セキュリティの観点
- まとめ
「働き方改革」で目標とする働き方を明確に
そもそも、働き方を変える(改革する)というのは、どのようなことを目指しているのでしょうか。
一般的には、「どこでも」、「いつでも」、「だれとでも」といった3つのキーワードで表されることが多いですが、具体的にそれらを「どこでも」働ける環境、「いつでも」働ける環境、「誰とでも」働ける環境と理解し、目標とする働き方の要点を3つの観点で整理して、それぞれどのような要件のクリアが必要かを考えることが重要です。
その前に用語の説明
| 用語 | 意味 |
|---|---|
| デバイス | OSを搭載した、windowsPC、Mac、iPhone、iPad、Android機器を差します。 |
| 業務用サービス(データ) | 業務で使用するクラウドサービスやクラウドサービス上に置いたデータを意味します。 |
| 証明書 | 第三者認証用の証明書サービスを提供している事業者にて取得した証明書、またはMobileIronの認証局(CA)にて生成した証明書を差します。 |
| ロック | デバイスを強制的に再起動し、MobileIron側で設定したPINコードを入力しない限りデバイスを使用できなくなる状態。データは消えません。 |
| 消去 | デバイスを初期化し、工場出荷時の状態に戻すことを意味します。保存されていたデータは全て消えます。 |
| 遠隔地 | このページでは、MobileIronサーバを意味します。MobileIronサーバには管理者のみがアクセスできます。 |
目標とする働き方に必要な要点
セキュリティの観点
まず、一番重要なセキュリティに関して。
セキュリティが確実に担保されないと、「どこでも」働ける環境とは言えないばかりか、アカウントを盗まれて大事な情報資産が漏洩したり、消失するリスクが生じます。
そのために必要な要点が以下になります。
1. どんなネットワーク環境から接続しても、業務用サービス(データ)を安全に利用できること
2. 誰が、どのデバイスから業務用サービス(データ)に接続しているかが明確に管理できること
3. 紛失、盗難等の場合に速やかにデバイスをロックすることで業務用サービス(データ)を守れること
4. どのデバイスも、必要な際は内容を遠隔地から消去できること
利用者(社員)の使いやすさの観点
一般的に、セキュリティを強化すると操作手順や、パスワードが増えたりして利用者にとっては、メリットがなく面倒なことが増える印象があるかと思いますが、それらを解決する方法もあります。
MobileIronの機能を積極的に使用して、業務効率を向上させながら安心して仕事ができる環境を目指します。
5. パスワード入力や認証回数を減らして、利用者の利便性を向上できること
管理者(情報システム部門など)の省力化の観点
利用者だけではなく、情報システム管理部門の方々の働き方改革も重要です。日々発生するデバイスのトラブルや、機器の入れ替え、新規購入のデバイスのセットアップ等の業務を省力化が可能になります。
それらによって、情報システム管理部門の「働き方改革」も実現しましょう。
6. 休職・退職時等のアカウントのロックや消去のための、管理者の作業工数を減らせること
7. 入社時に会社から貸与する新規デバイスの初期設定のための作業工数を減らせること
8. 社員数が増えて、IT機器が増えても管理や設定作業の工数が極端に増加しないこと
これらを実現できることで、「どこでも」働ける環境、「いつでも」働ける環境、「誰とでも」働ける環境が実現可能になります。
もちろん、IT機器を使った業務に限られますので、世の中全ての働き方に適用できるものでないことは、ご了承ください。
MobileIronで実現する働き方改革
では、具体的にMobileIronを使用した場合、どのような機能でそれらを実現することができるのでしょうか。
一つずつ説明していきます。
前提として、MobileIronを使用した場合の大まかに想定している構成は以下になります。
セキュリティの観点
1. どんなネットワーク環境から接続しても、業務用サービス(データ)を安全に利用できること
「働き方改革」というキーワードで多くの方が気にされる、「どこでも」という部分に関係する部分になりますが、 これは、基本的に業務用のシステムをクラウドサービスに移行することでよりシンプルな構成で実現が可能になります。
MobileIronでは、オンプレミスでの導入も可能なので、社内のネットワークにある自社サーバアプリでも、クラウド同様に実現することが可能です。
セキュリティの観点の基本として、MobileIronを含む最近のUEM製品では、「Zero Trust」という考え方に基づいており、MobileIronもこの考え方に沿って設計されています。
「Zero Trust」の考え方を日本語でいうと、「何も信じない、常に確認する」という考え方です。
「Zero Trust」の考え方の詳細については、様々な方が解説等されていますので、今回は詳しい説明は省きます。
実際に業務用サービスのクラウドサービスを利用する際は、通信内容がHTTPS等で暗号化されていれば、通信経路上で傍受されたとしても内容を読み取ることができないため、通信自体に特別なツールを使用する必要はありません。
問題なのは、そのサービスを利用する利用者をきちんと認証して、正しい利用者であることを確認することが大切です。
それを実現する一つの手段として一般的には、MFA(Multi-Factor Authentication)が使用されてきました。多要素認証とも呼ばれます。
これは、一つのユーザID&パスワードだけで認証するのではなく、別のデバイスを予め登録しておいて、アクセスされたデバイスを認識してそれらを統合して確認を行う方法です。
MFAの実装方法は様々な方法がありますが、ランダムな数列を表示して、サービス側と照合して認証するという方法が多いと思います。
MobileIronでは、サービスにアクセスしたデバイスがすでにMobileIronサーバに登録されていて、そのデバイスのプロファイルには認証局が発行した証明書を持っているため、そのデバイスに紐づいたユーザIDとアクセス先のアプリケーションに権限が割り当てられていれば、アプリケーションを利用することができます。
MobileIronでは、これらのパスワードを使用しない認証を「Zero sign on」と呼んでパスワードに起因するセキュリティリスクを回避できるとしていますが、これが実現できれば、かなり業務効率も良くなるのではないでしょうか。
また、未登録のデバイスからアクセスした場合にのみ、別の登録済みデバイス(iPhoneやiPad、Android)で認証するという方法も可能です。
正しいユーザ&正しいデバイス&正しく権限が与えられたアプリであることを確認できれば、どのようなネットワークから接続しても、正しいユーザが正しいデバイスで正しいアプリを、安全に使用できることになります。
このプロセスは、アプリケーションの起動もしくは、SaaSアプリへのアクセスの都度実施され、各アプリケーション間で認証情報を共有しないので、より安全ににアプリケーションを利用できます。
MobileIronでは、MobileIron Accessという製品で、セキュリティに対応しています。 https://www.mobileiron.com/ja/cloud-security/MobileIron-Access
2. 誰が、どのデバイスから業務用サービス(データ)に接続しているかが明確に管理できること
これについては、すでに正しいユーザで接続していることを業務用サービス(クラウドサービス)側では認識できていますが、その状態を監視する仕組みがMobileIronには搭載されています。
MobileIronサーバでは、ユーザ、デバイスを登録して管理していますが、そのユーザが利用できるサービスもユーザやユーザグループに登録管理されており、リアルタイムでどのサービスを利用中か監視しています。
逆に、ユーザが正しくても権限のないクラウドサービスにアクセスした場合、MobileIronで弾くことができますので、クラウドサービス内のデータの安全性も確保できます。
MobileIron Accessには、Per-app VPNという機能があり、アプリケーション毎にVPNを張って通信する機能がありますが、その際にユーザおよびデバイスを認証するため、その時点でどのユーザがどのデバイスで どの業務用サービス(データ)を使用しているかを監視することが可能になり、かつ、通信はアプリ毎に別のVPN接続で通信を行いますので、安心して利用することができます。
これらの利用状況の監視もMobileIron Accessにて行われています。
3. 紛失、盗難等の場合に速やかにデバイスをロックすることで業務用サービス(データ)を守れること
もし、デバイスが盗まれたりユーザID&パスワードも窃取された場合でも、ユーザ自身でユーザポータルサイトから、自身の利用するデバイスをロックすることが可能です。 もちろん、ユーザが情報システム部門に盗難や紛失の申告を行なって、管理者が実施することも可能です。
管理者は、追加の停止措置としてユーザアカウントから、各サービスの利用権限を削除することで、それぞれのクラウドサービスのアカウントを削除することなく、利用不可にすることが可能になります。
なお、デバイスのロックは強制的にデバイスを再起動させて、ロック解除のPINコードを入力しない限りデバイスを利用することができない状態になります。
MobileIronを始め、一般的なMDM製品に搭載されている機能の一つです。 https://www.mobileiron.com/ja/unified-endpoint-management/platform
4. どのデバイスも、必要な際は内容を遠隔地から消去できること
最悪、デバイスが一定期間見つからない状態が続いた場合には、MobileIronサーバから強制的に全てのデータを初期化するコマンドをデバイスに送って、工場出荷時に戻すことが可能になりますので、デバイスに保存されたデータを全て消去することが可能です。
利用者(社員)の使いやすさの観点
5. パスワード入力や認証回数を減らして、利用者の利便性を向上できること
MobileIronには、ユーザと共にデバイスも登録してユーザと紐づけを行うことにより、正しいユーザと正しいデバイスがセットで接続した場合、許可された業務用サービス(データ)を利用する際には パスワード入力は求めません。
外部の認証サービス(IDプロバイダーサービス)を利用している場合でも、MobileIronはそれらと連携することによって、最小限の認証手順(場合によっては不要)でサービスを利用することが可能になります。
これによってユーザは、今までブラウザ等で業務用サービス(データ)にアクセスするたびにユーザID&パスワードの入力を行なっていた手順は省略され、作業効率をアップさせることが可能になります。
また、ブラウザにユーザID&パスワードを保存していた運用も、不要になりますのでユーザID&パスワードの漏洩リスクも削減できます。
MobileIronと一緒にパスワードにサヨナラを
https://www.mobileiron.com/ja/blog/together-with-mobileiron-say-goodbye-to-password
管理者(情報システム部門など)の省力化の観点
ここからは、これらの環境を管理運用している情報システム部門の方々の作業工数を減らすことが可能になる機能となります。
6. 休職・退職時等のアカウントのロックや消去のための、管理者の作業工数を減らせること
社員が、長期休暇を取得したり退職した際には、情報システム部門の方々は色々な作業が発生します。
利用していたデバイスを初期化したり、ユーザアカウントをロックまたは削除したり、その現場や会社のポリシーによって様々な手順があるかと思いますが、まぁまぁの作業量になる場合もあるでしょう。
それらの作業は、MobileIronサーバからの操作のみで実行できるようになります。
デバイスは、再度利用する予定がある場合はロックし、工場出荷時に戻す場合は、消去を行います。
どちらも、MobioleIronサーバから実施できますので、デバイス本体での作業は必要ありません。
統合エンドポイント管理
https://www.mobileiron.com/ja/resources-library/datasheets/UEM
7. 入社時に会社から貸与する新規デバイスの初期設定作業の工数を減らせること
新しく入社した社員向けに新規デバイスを準備する際には、当然のことですが会社で使用するための環境設定が必要になります。
昨今、業務の現場でApple製のデバイス(Mac、iPhone、iPadなど)を使用する機会が増えていますが、Apple社が運営提供するABM(Apple Business Manager)を使用すると 注文確定時に会社の管理するデバイスとして自動的にABMに登録されるため、手動で購入したデバイスを登録する作業も必要ありません。
また、ABMとMobileIronを連携することで初回電源投入時に、業務で使用するために必要な設定やソフトウェアを始め各種の利用制限ポリシーの適用など、様々な初期設定を自動的に実施することが可能になります。
WindowsやAndroidの場合も、MobileIronへの登録とデバイスへのエージェントアプリケーションのインストールは必要ですが、同様の仕組みであるOOBEに対応しており、各種ポリシーの適用や設定をほぼ自動で行うことが可能となっています。
これによって、一度に多くのデバイスの初期設定が必要な場合でも電源投入やエージェントの準備をすれば、ほとんどの初期設定は自動で行えるため、情報システム部門の方々の作業工数を減らすことが可能になります。
セキュアなモバイルアプリケーション管理をさらに活用
https://www.mobileiron.com/ja/unified-endpoint-management/solutions/mobile-application-management
8. 社員数が増えて、IT機器が増えても管理の工数が増加しないこと
社員が増えてくると、それぞれの社員がどんなデバイスをどんな状況で利用しているかの把握は難しくなります。
必要な情報を得るためには、様々なソフトウェアを使用して管理用のサーバを立てて運用すること等が必要になりますが、MobileIronではデバイス情報を短い間隔で取得し、どのような状況かをダッシュボードで可視化することが可能です。
例えば、OSのアップデートが適用されているか、不具合の起きそうなソフトウェアがインストールされていないかとか、ハードウェアに不具合がある製品番号を検索してサポートを行うとか、様々な情報を一元管理することで情報システム部門の運用管理業務を効率化することが可能となります。
まとめ
今回はMobileIronをベースに、働き方改革を実現する環境づくりにはUEMが非常に有効であるというお話をしました。
MobileIronは、オンプレミスでの導入または、クラウドサービスでの利用のどちらでも利用が可能です。
※若干、利用できる機能には違いがある可能性がありますので、取り扱いベンダー等にご確認ください。
MobileIronを始めとするUEM製品を使用することで、「正しい人」が、「正しいデバイス」で、「正しいサービス」を安心して利用できる仕組みを構築することが可能になります。
なお、UEM製品は、MobileIron以外にも多くの製品が出ており、それぞれユニークな特徴を持っています。
導入の際は、自社に一番マッチする製品を探すために、ご自身の会社の働き方として何を重要視するか、こういう機能が欲しい等の目的と目標を整理したうえで、製品のトライアルを実施することをお勧めします。
クラスメソッドは、働きやすい環境づくりを積極的に推進し、働き方を社員が選択できるとても働きやすい会社です。
クラスメソッド株式会社にご興味がある方は、是非、応募してみてください。
皆様のご応募、お待ちしております。
関連リンク
BYODで「働き方改革」の実現を考えてみた(MobileIron編)
BYODで「働き方改革」の実現を考えてみた(jamf PRO編)
BYODで「働き方改革」の実現を考えてみた(VMware Workspace ONE編)
BYODで「働き方改革」の実現を考えてみた
