モバイル活用に「EMM」が不可欠な理由：IT導入完全ガイド（4/5 ページ）

[土肥正弘，ドキュメント工房]

MAM機能

対応するリスク＝マルウェア侵入、業務データの不正利用

　MAMのポイントは、OS上に独立した業務利用領域を作成し、業務利用領域とOSとを分けて管理可能にすることで、社給端末、BYOD端末にかかわらず、社内情報を安全に扱うために必要不可欠な機能を提供することにある。

　分離された業務利用領域は「セキュアコンテナ」と呼ばれる。ラッピングという言い方もあるが、つまりOSベンダー側の純正コンテナ技術「Managed Open-In（iOS）」「Android for Work（Android）」「Enterprise Data Protection（Windows）」のことと考えた方が分かりやすいかもしれない。これらをそのまま、あるいはEMM独自のコンテナ技術を組み合わせて、EMMツールからの設定で利用することができる。

　コンテナ化された業務領域には原則的に安全が確認されたアプリしか導入できず、それ以外の領域にデータの移動・コピーや、Open-Inを利用したアプリ間のデータ連携はできないようになっている。つまり業務用アプリのデータを標準のメールやブラウザにコピーして外部に送信するような不正な利用法ができないようになるわけだ。アプリのキャッシュデータをもデバイスに保存しない設定も可能である。

　各アプリへのログインにはパスワードを利用することができ、仮に紛失デバイスがロック解除されてもセキュアコンテナ内のデータは暗号化されているので安全だ。

　また設定により一定の条件でコンテナ内のアプリデータだけを自動消去することもできる。この場合、個人利用領域には影響がないため、BYOD実施時にも問題は少ない。

　しかし業務上メールやブラウザ、ビュワー、ファイル共有アプリなどに業務用データが利用できないのは不便という声もあるだろう。そのためにEMMツールは業務専用のメール、ブラウザ、カレンダー、アドレス帳、ファイル共有アプリも提供している。これらの間ではデータが相互に活用できるので、業務上の利便性を損なうことがない。この場合、連携するデータも内部で暗号化されるので漏えいの危険もない。

　では、業務利用可能なアプリをどう導入するかだが、これには利用して良いアプリ（自社製アプリ、安全が確認されている公式アプリストア内のアプリ）を限定し、個別にデバイスに配信するか、企業独自のアプリカタログを作成してその中からユーザーが導入するか、どちらかの手法が取れる。

図5　アプリ配信とアプリカタログの例（出典：NRI）

　MAMの思想をセキュリティ面で追求すると、デスクトップ仮想化によるシンクライアントに行き着くのでは？と感じる方もいるかもしれない。しかしデバイス内に業務アプリもデータもあり、オフライン／オフラインにかかわらず軽快に利用できるのが大きな違いだ。