ゼロトラスト時代の端末管理ソリューション

エンジニアやデザイナーなどの作業用にmacを選択するケースも増えていますが、それでもなお、PCの普及シェアを考えると、一般的には業務用PCにはMicrosoft Windowsを使用するケースが大多数を占めるかと思います。

WindowsがMicrosoftの製品である以上、親和性などのメリットを考えると、パソコン等の端末管理を同社の製品で行うということは自然な発想になります。

Intuneはそういった端末管理を行うためのソリューションです。

導入することにより、自社のPCが社内ネットワークにアクセスする場合などに、ポリシーとして予め定められた条件に適合している時にだけ許可する、といった条件付きアクセス制御を確実に行うことが期待されます。

また、クラウドサービスであるため、例えばオンプレミスのActive Directoryのようにサーバーを用意する必要がありません。

そのため運用にかかる見えづらいコストの抑制にも大きく寄与します。

モバイルデバイス管理機能(MDM)

また、現代ではPC以外にスマートフォンやタブレットなど、さまざまなモバイルデバイスを業務に活用することは欠かせません。

AppleのiPhoneやiPadのような端末を従業員に貸与してビジネスを行っている組織も多くなっています。

Intuneはこのようなモバイルデバイス管理機能(MDM)も備えています。

例えば貸与したスマートフォンを紛失してしまった場合、Intuneではさまざまな選択肢が用意されています。

まず先に行いたいのはリモートロック機能でしょう。紛失した端末が第三者に操作されることがないように、ロックをかけることが可能です。

その際、画面に任意のテキストを表示することができます。例えば、善意の第三者が修得したことを期待して、連絡先はこちら、といったように電話やメール等で連絡先を通知するなどといった用途に応用することができます。

また、端末側のGPS情報を利用して、端末の現在地を地図上に表示することも可能です。これにより、どこで紛失したかということを把握する支援活動を行えます。

これは実際に私が体験したシチュエーションですが、さすがに例えば広大な北海道の畑の中で落とした、といった場合に正確な位置まで特定することは精度的に難しい面もありますが、範囲がわかるだけでも有益な手がかりになります。

最後の手段としては、遠隔で端末内のデータを削除する「リモートワイプ」機能も実装しています。ロックをかけても反応がない場合や、位置が特定できない、あるいは悪意ある者に持ち去られている可能性がある場合はこの選択肢をとることが可能となります。

これらは持ち運ぶ以上避けにくい、モバイルデバイスは紛失しやすいというリスクに効果的な対策となります。

アプリケーションレベルでの制御(MAM)

では、紛失した端末が私物であった場合はどうでしょうか?BYODと呼ばれますが、組織の許可のもと、私物のモバイルデバイスを業務に利用するシーンは多くあります。

このような場合ですと、先ほどのようにリモートワイプをかけるといった選択をとることは難しくなります。従業員のプライベートなデータもろともに消去してしまうことになるためです。

そこで活躍するのがアプリケーションレベルでの制御機能です。これはMAMと呼ばれます。

Intuneでは、私物のモバイルデバイス内のプライベートデータとビジネスデータを明確に区別します。そして、ビジネスにまつわるデータだけを削除する、といった選択的消去の機能を有しています。これにより、BYOD端末でも紛失時の情報漏洩リスクを最小化することができます。

また、ビジネスデータが外部に持ち出されようとしている場合に禁止するなど、データ漏洩防止の機能も備えています。

運用管理が重要

ただ、このような情報漏洩を防止するためには、管理者側の即時対応と紛失時のエスカレーションルールの徹底が欠かせません。

そもそも、紛失したことを放置していたら、この機能は持ち腐れになりますし、即時に管理者に連絡したとしても、Intuneの管理画面から操作ができ、即応できなければ意味はありません。

そのため、モバイルデバイスの管理に活用する場合は、自組織の運用体制を併せてきちんと整備しておくことが必要不可欠となります。

キッティングにも効果絶大

また、モバイルデバイスを配布する場合は、初期設定を施す必要があります。一般的にこの作業は管理者にとって大きな負担であり、結果として大きなコストがかけられています。

Intuneはこの負担を大きく低減します。

そもそもApp Storeのようなアプリ入手経路を利用不可にした状態にしたり、既定のアプリ以外は利用させない、といった初期設定を自動的に行うことができます。

なお、利用アプリを中央管理して、各端末に都度配布するような運用も取れるようになっています。

この辺りはアプリの利用実態に併せて設計することが必要です。アプリの管理はシャドーITの防止などセキュリティ上大きなメリットがありますが、管理者負担は大きく増えますので、その点はトレードオフになることは理解しておきましょう。

PCの管理機能は限定的

Windows端末を管理する場合にも、利用アプリケーションを管理したいというニーズはあるでしょう。

しかし、この点は機能が限定的と考えるべきです。前述したように、パッチの適用状況により、条件付きアクセス制御を行うことは可能ですが、個別アプリケーションのバージョン管理やパッチ適用状態の管理は不得手です。

また、リモートワーク時のPCの利用実態を把握したい、といった用途にも機能不足です。

Microsoft製品との連携に活用

IntuneはMicrosoft製品ですので、ID管理のソリューションであるEntra IDあるいは、Microsoft Defender for Enfpoint(MDE)といったソリューションとの親和性は極めて高いといえます。

Intuneに登録した端末をEntra IDに登録することもできますし、MDEで検知した不正アクセスの兆候をIntuneで修復すると言った用途にも応用できます。

しかし、この辺りは設計がかなり難しくなっています。Microsoft製品は公式ドキュメントが分かりづらかったりする側面もありますので、設計にはベンダーの力を借りることを考慮に入れたほうが良いです。

まとめ

Intuneはゼロトラストセキュリティに欠かせないピースのひとつで、モバイルデバイスやPCといった端末管理や、その上で動作するOSやアプリケーションわ管理することができます。

しかし、使いこなすためには高度な設計や、組織の実態、管理者のスキルやキャパシティなどを考慮した運用を併せて検討することが求められるソリューションです。

導入したからといって、即セキュリティ的な恩恵が受けられる類の製品ではありませんので、導入はしかるべき検討を行った上で慎重に判断すべきです。

うまく活用することができれば、端末管理が容易になりますし、情報漏洩リスクも劇的に削減することが可能となります。

ぜひうまく活用することを考えてみてください。

ソリューション テクノロジー