会社携帯を管理するためにiPhone+MobileIronを選択

キヤノンイメージングシステムズ株式会社は、キヤノン製品の受託開発業務を行う設計開発事業を 中心とする企業だ。プリンタやカメラといったキヤノン製品のドライバやファームウェア、ハードウェアの開発 などを行っている。

グループ全体に関わる機密情報も多く抱えている同社では、個人所有のPCはもちろん、USBメモリや ストレージ、デジタルカメラ等の情報デバイスを社内に持ち込んで利用することは厳禁だ。もちろん、私物 携帯電話のカメラ機能も利用は禁止されている。厳しいセキュリティ対策が行われている中、浮いた存在 が業務用携帯電話だった。

「必要に応じて上長に欲しい機種を申請すると、それを会社側が支給するという形になっていました。 当然、カメラ付き端末もありますし、機能はばらばら。通話料管理はしているものの、総合的な利用状況の 管理などはできていない状態で、セキュリティリスクになっていると感じていました」と語るのは、キヤノン イメージングシステムズ株式会社総務本部 情報システム部の部長である鈴木宏昌氏だ。

携帯電話を管理するためのMDM導入と、管理しやすい携帯電話への入れ替えは決定事項として、具体的 な製品選定を開始したのが2010年。最もセキュアであり、管理のしやすいものとして選ばれたのが iPhoneとMobileIronの組み合わせだった。

細かい要求に応える多機能さと高機能が決め手

端末がiPhoneに決まるのは、非常に早かった。自由度が高く、端末種も多いAndroid端末はセキュアに 統合管理を行いたいという要望に合致しない。外部メモリカードが利用できないのも、セキュリティ上では プラスになった。

難航したのはMDMの選定だ。検討対象となったのは、キャリアサービスを含めた5種類ほどだったが、 その中にグループ会社であるキヤノンITソリューションズ株式会社からの推薦でMobileIronが含まれていた。

「各サービスの機能を比較するマトリックスを作成しました。この時、ジェイルブレイク(脱獄)した端末の検知 と切り離しができるのはMobileIronだけでした。ほかの要求にも十分応えられる機能がありましたし、OS のアップデートにも迅速に対応してくれるということで、MobileIronに絞り込みました」と語るのは、キヤノン イメージングシステムズ株式会社  総務本部 情報システム部 情報管理課の課長である目崎俊彦氏だ。

iPhoneは携帯電話からの置き換えとして採用したため、主な用途は業務メールの確認、カレンダーや 連絡帳の同期といったExchange連携と通話だった。そのためMDM選定時にはExchange連携がスムーズ に行えることを絶対条件とした上で、スムーズな管理とセキュリティの確保が重視された。

端末認証には、すでに社内でPCの認証に利用していた証明書ベースのものを選択。また構築済の ActiveDirectory環境を活用するためのLDAP連携機能も必須だった。音声とキャリアメール以外は VPN接続を前提とするため、スムーズなVPN利用を支援する機能も求められた。このほか、インストール アプリの管理機能、盗難・紛失時に対応するためのリモート管理機能等も必要だった。

「キヤノングループはポリシーが厳しく、ある程度横一列で対応する必要があります。そのためいろいろな 要求がありましたが、クラウドサービスではなくオンプレミスで利用できることも重要でした。従来の携帯 電話台数が100台程度だったのですが、その程度のデータ量ならば自社で管理した方が安全だという判断 です」(鈴木氏)。全ての条件に合致するということで、MobileIronが選択された。

少人数での管理と将来的な変化への対応がポイント

実際の使い勝手を検証するために評価環境を構築。約半年間、3台のiPhoneを利用した検証が行われた。2012年4月頃まで検証が続いた結果、実採用が決定され、本番環境の 構築が開始された。

「UIは非常に使いやすいですし、ポリシー運用が自動化できているのも よいですね。現在は私1人で運用していますが、本格運用が開始された時 には人数が増える予定です。それでもヘルプデスク対応を含めて3人程度 になる予定なので、自動化は必須です」と語るのは、キヤノンイメージング システムズ株式会社 総務本部 情報システム部 情報管理課の坂井義則 氏だ。

MobileIronにはポリシーの自動配信機能とともに、違反者の検知機能 も搭載されている。違反者へのアラート表示やネットワークからの切り離し 機能もあるため、担当者の負荷は非常に少ない。少人数で大量端末を 管理するのに向いているというMobileIronの特性を、十分に活用して いるようだ。端末の棚卸をした結果、実際に導入するiPhoneは50台程度 まで絞り込まれたが、将来的な台数増にも十分対応できる。

キヤノンイメージングシステムズ株式会社では将来的に運用ルール等 に変化が出ることも十分折り込んでMDMを選定した。特に、パスワード ルールの多彩さとアプリケーションポリシー機能は現状の要求だけでなく、 将来的な変化を見込んで重視したという。

「選定時は具体的にどのようなパスワードルールにするか決まっていま せんでしたが、使いたいルールが使えない、将来的により強固なパスワード が必要となった時に対応できないというのでは困るため、豊富なルールに 対応することを求めていました。アプリケーションポリシーについては当初 ブラックリストで運用しますが、もしモラルが悪化した場合にはホワイト リストに切り替えるつもりです。この変更にも柔軟に対応できるところが、 MobileIronの魅力ですね」(鈴木氏)。

将来的にはSharePointのワークフロー利用も目指す

導入に合わせて、VPNのシステムはシスコシステムズのものへと切り 替えられた。これはMobileIronと組み合わせて利用することで、スムーズ なVPN接続が行えるためだ。

「基本的なVPN利用方法については社内ポータルにFAQを掲載しますが、 非常に簡単に接続できるようになるためMobileIronまわりでエンドユー ザーから質問が出ることはないと考えています」(鈴木氏)。

会社側で取得したAppleIDは付与するため、無料アプリのインストール はユーザー自身が行うことも可能だが、SNSやゲームといった業務に 無関係なアプリはブラックリストに入れられている。

「ウェブアクセスはVPN経由にするためフィルタリングされますし、アクセス ログも取っています。通話履歴もキャリアから提供を受け、アプリも何が 入っているのかを監視。これらの対応は社員にも通知することで、抑止効果 も狙っています。これで大きな課題だった携帯電話まわりのセキュリティ リスクが解決されるでしょう」(鈴木氏)

今後、本格的な展開をした後には「Microsoft Lync」を利用したプレ ゼンスやメッセージング、音声/ビデオ会議の利用も利用可能にする 予 定だ。また、N otes/Dominoからのリプレースで導入済である SharePointも、iPhone用の画面開発を行って、いずれは外出先で承認 ワークフローをiPhoneから利用できるようにしたいという。

「今まで携帯電話の管理ができていなかったので、社員がどのように使って いるかわかりません。大丈夫だとは思うのですが、もしかしたら違反者が 出てくるかもしれない。それに対応できるものが必要です」と語る鈴木氏は、MobileIronに大きな期待を寄せている。