IT資産管理の最前線 Windowsからラズパイまで管理できるツールとは

社内に散らばるデバイスを一元的に管理するUEM（統合エンドポイント管理）。管理対象が多様化し、近年はさまざまな機能を実装しているようだ。UEMの最新動向と、製品選定のポイントを紹介する。

[酒井洋和，てんとまる社]

Raspberry Piも管理しなきゃ……多様化するエンドポイント

　新たな働き方への移行が進むなか、企業における業務環境も大きく様変わりし、今ではオフィスワークとテレワークを組み合わせながら、日々の業務を回す人も増えてきた。

　そのような業務環境では、従業員もさまざまなデバイスをシーンに応じて使い分けていることだろう。ノートPCやタブレット、スマートフォンなどが中心だが、会議に利用するWebカメラや工場などの現場に設置されるIoT機器なども、重要なデバイスの一つだ。

　特に近年の製造業では、UEMで管理すべきデバイスも大きく変化しているようだ。

　製造業の工場には、小型PCの「Raspberry Pi」をベースにしたセンサーを大量に配置し、稼働状況をセンシングして工場DX（デジタルトランスフォーメーション）を推進する企業も現れている。このような場合、システム管理者が管理すべきエンドポイントは、サーバやネットワーク機器も含めて、その数や種類が格段に増える。

　一方で、クラウドサービスが進展し、従来は外部接続されていなかったOTネットワークがクラウドサービスと連携し、現場で得られた情報をクラウドで収集、分析し、工場にフィードバックするようなソリューションが増えた。これまでITネットワークに適用していたセキュリティ対策を、OTネットワークへも適用せざるを得ない状況になりつつある。

　システム部門には、これまで管轄してきたITネットワークとともに、管轄外だったOTネットワーク側で運用されているIT資産も適正に把握し、それらを安全な形で運用していくことが求められている。

エンドポイント管理と「DX」「セキュリティ」の関係性

　IT資産管理は現在でもExcelやスクラッチで開発されたシステムを用いるケースが多く、非効率な運用を強いられている。資産情報が定期的に更新されず、年1回程度の棚卸でしかIT資産情報が把握されていないケースもある。

　この非効率な運用が課題として顕在化した背景にあるのが、多くの企業で取り組みが進められているDXや、脅威の高度化によって急務となったゼロトラストセキュリティ関連の取り組みだろう。どちらの議論でも、デバイスの利用状況を適切に把握できていなければ、正しい施策へとつなげることが難しい。DXやセキュリティ対策推進の前段階として、自社のIT資産を適切に把握し、管理できる環境づくりが脚光を浴びるわけだ。

　実際には、エンドポイント管理に対して予算を要求しづらかったため、DXやセキュリティという文脈であれば予算化しやすくなったことも背景にあると思われる。

エンドポイント管理ソリューションとしてのUEM

　エンドポイント管理において重要な役割を果たすのが、UEM（Unified Endpoint Management：統合エンドポイント管理）と呼ばれるソリューションだ。

　エンドポイント管理のソリューションは、モバイルデバイスを中心としたMDMやアプリケーション管理のMAMなど、目的に応じたソリューションが存在しており、それらを統合的に管理するEMM（Enterprise Mobility Management）と呼ばれるソリューションもある。これらのソリューションは、スマートフォンやタブレット、PCといったモバイルデバイスが対象だが、さらにプリンタやIoT機器なども管理対象に含めたものが、今回紹介するUEMだ。市場に展開されているUEMソリューションを見ると、IT資産管理ツールから拡張されたソリューションが多い。

　一般的にUEMには、インベントリ収集から各種デバイスの資産管理、ソフトウェアライセンス管理、ソフトウェア配信などの機能が備わっている。

図1　UEMが持つ機能例（出典：SCSKのWebページ）

　中にはSaaSで提供されるものも増えており、その選択肢は多岐にわたる。ただし、IT資産情報をクラウドで管理することに抵抗がある企業も少なくないため、SaaSを選択する企業が圧倒的に多いわけではない。

統合的なソリューションも検討を

　企業におけるエンドポイント管理のニーズは、冒頭で説明した通り、働く場所によって分散しているデバイスの把握や制御がその中心だ。しかし、最近ではDXを推進するためにエンドポイントの状況を的確に把握したいというニーズや、ゼロトラストセキュリティのコンポーネントとしてMDMとともにUEMが検討されるケースも出てきている。

　ただし、UEM単体でソリューションを検討するというよりも、デバイスを効率的に運用していくための手段の1つとして検討されることが多く、今後UEMという名称が残っていくかどうかは未知数だ。IT資産の発見や管理という機能はこれからも確実に活用されていくが、UEM単体で導入を検討するケースは減るかもしれない。

UEMソリューション「Ivanti」

　買収した複数のソリューションを組み合わせ、統合エンドポイント管理のソリューションとして市場展開しているのが「Ivanti」だ。豊富な実績を誇るIT資産管理ソリューションベンダーのLANDesk Softwareをはじめ、MDMツールを提供するMobileIronやSSL VPN／セキュアリモートアクセスソリューションを提供してきたPulse Secure、そしてパッチ管理をはじめ脆弱（ぜいじゃく）性管理のソリューションを持つRiskSenseなどを買収し、それらを統合的に活用するソリューションとなっている。UEMの範囲だけでなく、エンドポイント管理、運用を効率的に行うための機能を備える。

図2　Ivantiの各種機能（出典：SCSKの提供資料）

　「Everywhere Work. Elevated」を掲げてエンドポイント管理やその運用に関連したソリューションを提供しているIvantiでは、IT資産を発見するための「Discover」とIT資産の管理を行う「Manage」を中心としたUEMとしての機能とともに、脆弱性管理などIT資産のセキュリティを維持向上させるための「Secure」、ITサービス管理を行う「Service」などを提供しており、これらのコンポーネントを駆使することでIT資産を効率的に管理できる

どこで差別化する？　UEM選びの勘所

　エンドポイント管理は、Windowsや「iOS」「Android」といったOSが持つ機能を活用しているケースが多く、実は各社のUEMソリューションの機能に大きな差があるわけではないが、運用の効率化が可能な機能を実装することで、各社が差別化を図っている。実際の製品選定で注意したいポイントを整理しておこう。

エンドポイント管理を運用に落とし込めるかどうか

　UEMソリューションは、インベントリ情報の収集やライセンス管理、ソフトウェア配信、リモートコントロールといった機能を提供しているが、現場の運用担当者目線で効率的な業務フローに落とせるかどうかはしっかり見ておきたいポイントだ。

　既に把握しているIT資産だけでなく、管理外のIT資産がどこに点在しているのかを見つけ出すことも運用上は必要だ。「把握したIT資産に対してどのレベルで制御できるのか」「健全性を担保するためのセキュリティパッチ配信などをどのように運用するのか」などもしっかり考えておかなければならない。

　IT資産に関する現場からの問い合わせや障害発生時の対応、手続きのための申請承認フローも含めて、ヘルプデスク業務もエンドポイント管理の運用を考える上で検討することが必要だ。

　IT資産の管理や制御といった機能だけに目を向けるのではなく、管理外のIT資産の発見からITSMのようなサービスマネジメント領域まで、運用を見据えたソリューション選択をしたい。

ソフトウェア配信技術の違いに注目

　多くのUEMが持つ機能の一つに、エンドポイントに対してソフトウェアモジュールを配布するソフトウェア配信機能がある。実際の配信方法はソリューションによって違うため、その差異が差別化のポイントとなる。以前はデスクトップPCが社内で使われていたが、今では外出先でも利用できるノートPCが中心的なデバイスとなっているため、常に社内ネットワークにエンドポイントが接続されているとは限らない。また、同一セグメントに大量のPCが接続されていると、1台ずつソフトウェアを配信するとネットワークを圧迫してしまう。

　Ivantiでは、同一セグメント上に代表PCを中心としたグルーピングを行い、ソフトウェア配信用のサーバから代表PCに対して配信し、グループ内のPCに対して代表PCがマルチキャストで配信する手法を採用している。電源がオフのPCや社外に持ち出してネットワーク接続していないPCがあれば、ネットワークに接続されたタイミングで自動的にグループに参加し、ソフトウェア配信が行われるようになる。

図3　Ivantiのソフトウェア配信の仕組み（出典：SCSKの提供資料）

　他にも、代表PCを立てずに近接したPCに対してバケツリレー的に配信する機能など、その方式はさまざまだ。いずれにせよ、自社のネットワーク環境に照らし合わせた上で、効率的かつ確実に配信できる技術かどうかを見極めたい。

テレワーク時代に必要なインターネット経由のデバイス管理

　自宅を中心としたテレワークを取り入れる企業が増えており、会社から貸与されたPCを自宅で利用する人は少なくない。その場合、日々のインベントリ情報の収集や任意のタイミングでソフトウェア配信などを行うためには、インターネット経由でエンドポイントを管理できる仕組みが必要だ。

　Ivantiでは、管理サーバとインターネットで会話できるよう、DMZ上に「Ivanti Cloud Services Appliance」と呼ばれるアプライアンスサーバを設置することで、テレワーク環境であってもエンドポイント管理が可能な仕組みを提供している。また、工場に設置されていてネットワーク接続していないスタンドアロンの環境であっても、構成情報が収集できるUSBデバイスを挿入することで、インベントリ情報を収集管理する仕組みも提供している。

　SaaSで利用できるUEMソリューションの場合は、もともとインターネットを経由することが前提であり、管理サーバもクラウドにあるため、複雑な仕組みにはなりにくい。それでも、資産情報を社外に置きたくない場合は、オンプレミスでの環境整備が必要になる。社内ネットワーク外の環境でいかにエンドポイント管理が可能かどうかはしっかり確認しておきたい。

頻繁にアップデートされるセキュリティパッチ、非効率な管理は避けたい

　UEMソリューションにはソフトウェア配信の機能が備わっているが、エンドポイントに展開しているソフトウェアや、OSのパッチの管理と配布の機能も見ておきたい。実際に多くのUEMソリューションは、Microsoftの「Windows Server Update Services」（WSUS）との連携が基本となっており、Microsoft製品やAdobe製品といったメジャーなものはパッチ管理及び自社に必要なパッチの適用が可能だ。ただし、多くのアプリケーションに対しては、UEMとは別にパッチの情報を把握し、自社に必要なパッチを個別に適用するなど、煩雑な運用が求められる。

　Ivantiのように、「Zoom」や「Google Chrome」といった数百種類のアプリケーションに関するパッチを適用できる仕組みもあるため、これらの要素もUEMの役割として検討してみてもいいかもしれない。パッチ管理の機能や対象範囲も製品選定のポイントになりそうだ。