エンタープライズ モビリティ管理 Smackdown 著者: Peter Sterk、Ruben Spruijt バージョン: 1.2 発⾏⽇: 2013 年 9 ⽉ EMM Smackdown © 2013 PQR, all rights reserved. All rights reserved. Specifications are subject to change without notice. PQR, the PQR logo and its tagline Eenvoud in ICT are trademarks or registered trademarks of PQR in the Netherlands and/or other countries. All other brands or products mentioned in this document are trademarks or registered trademarks of their respective holders and should be treated as such. バージョン 1.2 September 2013 Page i EMM Smackdown ⽬次 概要 ...........................................................................................................................................4 1. 1.1 1.2 1.3 1.4 1.5 本書の⽬的 ................................................................................................................................4 対象読者 ....................................................................................................................................4 ベンダーの関与 .........................................................................................................................4 ご意⾒・ご要望の受付先...........................................................................................................4 連絡先........................................................................................................................................5 企業概要 ....................................................................................................................................6 2. 2.1 2.2 2.3 PQR について ...........................................................................................................................6 謝辞 ...........................................................................................................................................6 寄せられたコメント ..................................................................................................................8 モバイル IT の弁当 ....................................................................................................................9 3. 3.1 3.2 3.3 3.4 3.5 3.6 3.7 エンタープライズモビリティは⾄福の弁当..............................................................................9 IT のコンシューマライゼーション ............................................................................................9 アプリケーションデリバリー:3、2、1、アクション! .......................................................11 モバイルアプリケーションデリバリー ...................................................................................12 サービスとしての IT(ITaaS:IT as a Service)と明⽇の IT 組織 ........................................13 弁当とは?! ...........................................................................................................................14 Enterprise Mobility Management 2013(Jack Madden 著) ..................................................14 アプリケーション&デスクトップデリバリー ソリューション 3.0 ...........................................16 4. 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 ADD ソリューション概要図 3.0 ..............................................................................................16 信頼の置ける/信頼の置けないワークプレースシナリオ ........................................................16 セキュアアクセス ...................................................................................................................17 モバイルアプリケーションデリバリー ...................................................................................17 Web アプリケーションアクセラレーション...........................................................................18 接続ブローカー .......................................................................................................................18 アプリケーション仮想化.........................................................................................................19 OS プロビジョニング .............................................................................................................19 サーバーホステッドデスクトップ仮想化(VDI) ..................................................................19 GPU アクセラレーション付き VDI .........................................................................................20 セッション仮想化(TS)........................................................................................................20 クライアントサイド仮想化 .....................................................................................................20 ワークスペースアグリゲーション ..........................................................................................22 クライアント管理 ...................................................................................................................22 ベンダーとその製品のリスト .................................................................................................23 セキュリティ ...........................................................................................................................25 5. 5.1 5.2 主な問題 ..................................................................................................................................25 ⽬標 .........................................................................................................................................26 バージョン 1.2 September 2013 Page ii EMM Smackdown 5.3 構想 .........................................................................................................................................27 6. モバイル IT 戦略 ......................................................................................................................28 7. エンタープライズモビリティ管理 ..........................................................................................31 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 はじめに ..................................................................................................................................31 モバイルデバイス管理 ............................................................................................................31 モバイルアプリ管理 ................................................................................................................32 モバイル情報管理 ...................................................................................................................33 モバイル費⽤管理 ...................................................................................................................34 電⼦メールの保護 ...................................................................................................................34 データの保護、エンタープライズファイル同期 ....................................................................35 Web ブラウザの保護 ...............................................................................................................35 ベンダーとその EMM ソリューション....................................................................................36 8. 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 8.11 8.12 はじめに ..................................................................................................................................36 AirWatch Enterprise Mobility Management Suite....................................................................36 AppSense EMM Suite .............................................................................................................39 Cisco Meraki Systems Manager .............................................................................................43 Citrix XenMobile ......................................................................................................................44 Good for Enterprise .................................................................................................................48 MaaS360 by Fiberlink .............................................................................................................53 Microsoft Exchange ActiveSync ..............................................................................................57 Microsoft Windows Intune .......................................................................................................58 MobileIron................................................................................................................................63 Symantec Mobile Management Suite .....................................................................................66 VMware Horizon ......................................................................................................................71 EMM の機能⽐較 .....................................................................................................................78 9. 9.1 9.2 9.3 9.4 9.5 9.6 はじめに ..................................................................................................................................78 ⽐較リストの早⾒表 ................................................................................................................79 今後の改訂と内容増強の予定 .................................................................................................79 製品バージョン .......................................................................................................................80 機能⽐較マトリクスの凡例 .....................................................................................................80 機能⽐較マトリクス ................................................................................................................81 10. 改版履歴 ..................................................................................................................................98 11. 付録:PQR のチームメンバー ..............................................................................................100 バージョン 1.2 September 2013 Page iii EMM Smackdown 1. 概要 「モバイルデバイス管理」と「モバイルアプリケーション管理」は実際にはどう違う? エン タープライズモビリティが BYO と IT カスタマイズに果たす役割は? エンタープライズモビ リティと、アプリケーションデリバリーやデスクトップデリバリーとの関係は? いろいろな エンタープライズモビリティ管理(EMM)ソリューションの概要を中⽴的な⽴場から評価する とどうなる? EMM ベンダーごとの特⻑と機能の違いは? このようなことを知りたいのであれ ば、本書は必読の書です。 現在の市場では、EMM ソリューションについての公平な情報がますます必要とされています。 本書では、エンタープライズモビリティ管理に重要な役割を果たすと思われるソリューション をいくつか取り上げます。また、それぞれのソリューションにどのような機能があり、どのよ うな違いがあるかを⽐較しやすくするため、機能の概要表を作成しました。 1.1 本書の⽬的 本書は次の情報をお知らせすることを⽬的にしています。 1.2 モバイルの世界におけるアプリケーションデリバリーとデスクトップデリバリー 今後のワークスペースにおけるカスタマイズと BYO EMM ソリューション モバイル管理のいろいろな概念 モバイル管理の各概念の良い点と悪い点 各 EMM ベンダーとそのソリューションの特⻑ いろいろな EMM ソリューションの機能の違い 対象読者 本書は、EMM ソリューションの設計、実装、保守を担当している、またはこれらの業務に興味 をお持ちの IT マネージャ、アーキテクト、アナリスト、システム管理者、および IT プロフェッ ショナルを対象としています。 1.3 ベンダーの関与 本書で分析し、機能⽐較を⾏った製品を提供している⼤⼿ベンダー全社に対して、事前に申し ⼊れを⾏い、本書を作成することをお知らせするとともに、さまざまな機能についての意⾒交 換を⾏いました。 1.4 ご意⾒・ご要望の受付先 各ソリューションの調査と執筆にあたっては、完全さ、正確さ、明確さ、誤謬のなさに最善を 尽くしました。読者の皆様にとって価値のある、できるだけ公平で客観性のある⽂書を作成す ることを⼼がけましたが、ご意⾒、誤りのご指摘、改善のためのアドバイスなどありましたら、 ぜひご⼀報ください。皆様からのフィードバックを歓迎いたします。製品名、バージョン番号、 ⽂書のタイトルをメッセージの中にお書き添えのうえ、Peter Sterk([email protected])または Ruben Spruijt([email protected])宛てに電⼦メールをお送りください。 バージョン 1.2 September 2013 Page 4/ 103 EMM Smackdown 1.5 連絡先 PQR; 電話番号:+31(0)30 6629729 E メール:[email protected]、www.pqr.com Twitter:http://www.twitter.com/pqrnl 本書は、参照のみを⽬的として「現状のまま」提供されるものであり、 その内容に関しては⼀切の保証を伴いません。 COPYRIGHT PQR 本書の内容は(たとえ部分的であっても)、承認なしには公開または配布できません。 バージョン 1.2 September 2013 Page 5/ 103 EMM Smackdown 2. 企業概要 2.1 PQR について PQR は、データ、アプリケーション、ワークスペースの可⽤性を最適化されたユーザーエクス ペリエンスとともに安全で管理しやすい⽅法で提供することを中⼼としたプロフェッショナル な ICT インフラを提供する企業です。PQR は、オンプレミスからクラウド管理までプロセスを 複雑化することなく、顧客に⾰新的な ICT ソリューションを提供しています。「ICT における シンプルさ(Simplicity in ICT)」それが PQR の⽬指すものです。 PQR は、この分野における確固とした信⽤と幅広い専⾨知識を有しており、多くのパートナー から⾼い評価と認定を得ています。PQR は Citrix Platinum Solution Advisor、HDS Tier 1 Platinum Partner、HP GOLD Preferred Partner、Microsoft Gold Partner、NetApp Star Partner、 RES Platinum Reseller 、 VMware Premier Partner の VMware Gold Authorized Consultant Partner に認定されています。PQR のアプローチは、以下の 4 つの分野を⼤きな柱としていま す。 データおよびシステムの⾼可⽤性 アプリケーションおよびデスクトップデリバリー セキュアなアクセスおよびネットワーク 先進的 IT インフラおよび(クラウド)管理 1990 年に設⽴された PQR は、De Meern に本拠を置く、従業員 107 名以上の企業です。 2011/2012 年度の売り上げ額は 9490 万ユーロ、税引き後の純利益は 460 万ユーロでした。詳 しくは、www.pqr.com をご覧ください。 2.2 謝辞 チームリーダー: Peter Sterk ソリューションアーキテクト。PQR の信条である「ICT におけるシンプルさ」に従い、技術的 問題についての顧客サポートを⾏っています。エンタープライズモビリティ、アプリケーショ ンデリバリー、デスクトップデリバリーが専⾨ですが、IT インフラの他のコンポーネントの監 督と助⾔を⾏う能⼒もあります。また、いろいろな国内イベントや国際イベントで、アプリ ケーションデリバリー、デスクトップデリバリー、エンタープライズモビリティなどの案件に ついての PQR の構想を積極的に発信しています。連絡先は [email protected] です。twitter でも連絡 をとることができます。 Ruben Spruijt CTO。主に今後のワークスペース環境(エンタープライズモビリティ、仮想化、アプリケー ションデリバリー、デスクトップデリバリー)を担当。PQR の構想と戦略の決定に積極的に関 与 し て い ま す 。 Microsoft の Most Valuable Professional ( MVP ) 、 Citrix の Technology Professional(CTP)、VMware の vExpert の資格を持ち、この 3 つの仮想化分野の資格を同時 に持つ唯⼀のヨーロッパ⼈でもあります。顧客への助⾔と専⾨知識の提供、社員の意欲を⾼め ることに加え、ブログ、記事、意⾒を定期的に執筆しています。また、いくつかの国内会議や 国際会議で講演を⾏い、アプリケーションデリバリー、デスクトップデリバリー、仮想化ソ バージョン 1.2 September 2013 Page 6/ 103 EMM Smackdown リューションについての知識と⾒解を披露しています。連絡先は [email protected] です。twitter でも 連絡をとることができます。 チームメンバー: 「EMM 徹底検証」チームの努⼒と粘り強さがなければ、私たちの⽬標は達成できなかったで しょう。以下の各チームメンバーに感謝の意を表します。 ⽒名 役職名 連絡先 役割 Twitter Henk Hoogendoorn コンサルタント – PQR [email protected] 執筆者 @henkhoogendoorn Marcel van Klaveren コンサルタント – PQR [email protected] 執筆者 @itguru3 Anton van Pelt コンサルタント – PQR [email protected] 執筆者 @antonvanpelt Sven Huisman コンサルタント – PQR [email protected] 執筆者 @svenh Erik van Veenendaal コンサルタント – PQR [email protected] Cor Reinhard コンサルタント – PQR [email protected] レビュアー @evveenendaal レビュアー @CORequisITe レビューとフィードバックについての謝辞: Bob de Kousemaeker、Gerjon Kunst、Lionel Zufferey の各⽒に謝意を表します。 Alistair Gillespie ⽒への謝辞 本書のレビューを⾏い、貴重なフィードバックを与えてくれた Alistair Gillespie ⽒に⼼から感 謝の意を表します。同⽒はイギリスを拠点に、クライアント仮想化、アプリケーション仮想化、 エンタープライズモビリティを含むエンドユーザーコンピューティングの分野で活躍していま す。同⽒とは電⼦メールで直接連絡をとることができます。また、twitter でも同⽒をフォロー することができます。 Erik Remmelzwaal ⽒および DearBytes 社への謝辞 Erik Remmelzwaal ⽒は、2001 年にオランダのハールレムで商業経済学を勉強中に新興企業の Medusoft(後の DearBytes)のインターンになりました。インターン期間終了後も同社に在籍 し、最初はコンサルタントとして、その後チームリーダーとして顧客テクニカルサポートを担 当。2010 年の同社の買収後に CEO に任命されました。2012 年、同社は業務内容と位置付けの 変遷に合わせて社名を DearBytes に変更。現在、1,000 を超える組織にサービスを提供してい ます。 バージョン 1.2 September 2013 Page 7/ 103 EMM Smackdown Eric ⽒は、以前と変わらず、情報セキュリティ制御についての問題を顧客と話し合うことに最 ⼤の喜びを感じ、そのような話し合いの場に出席できることを楽しんでいます。同⽒とは、 LinkedIn や twitter で簡単に連絡をとることができます。 DearBytes 社は、企業組織の重要な資産や情報のセキュリティ制御の実現とその維持管理を⽀ 援しています。セキュリティサービスの提供者として、同社は企業各社が直⾯している⽇々の セキュリティ制御の問題について、多⼤な知⾒を蓄積しています。同社の⼿法はソリューショ ン主導型であり、Dear360(セキュリティリスク管理)、Bytescan(セカンドオピニオン)、 ⾮常に価値の⾼いサービス管理プログラムといった、さまざまなカスタムソリューションを開 発しています。 2.3 寄せられたコメント Natalie Lambert ⽒、Citrix Systems 製品マーケティングディレクター 「進化の激しいエンタープライズモビリティ管理の現状を把握しようとしているお客様にとっ て、本書はモバイル労働⼒のサポートと管理のますます⼤きくなるニーズに取り組む際に利⽤ できる、ベンダーとソリューションについての総合的な知⾒を与えてくれます。」 Jack Madden ⽒、ブロガー兼ライター 「EMM についての知識を得るのに、本書はまさにうってつけです。まず最初に、Ruben ⽒や Peter ⽒をはじめとする PQR 社のチームメンバー全員が、今⽇の EMM のことを本当によく理 解しています(実際、この知識は誰にでもあるものではなく、すべての情報が⼀か所にまとめ られていることもほとんどありません)。そして、本書はデスクトップデリバリーとアプリ ケーションデリバリーについての何年にもわたる実体験から⽣まれています。いろいろなベン ダーのことを実によく知っていることも驚異的です。これは偉業であり、この⽂献はこの先何 年間も改訂され続け、⼤勢の⼈々に利⽤されることになるに違いありません。」 バージョン 1.2 September 2013 Page 8/ 103 EMM Smackdown 3. モバイル IT の弁当 3.1 エンタープライズモビリティは⾄福の弁当 IT エグゼクティブにとって、2013〜2014 年に最も重要になるのは、エンタープライズモビリ ティ、ビッグデータとその分析、ソーシャルコラボレーション、クラウドコンピューティング とその管理です。 Windows アプリケーション、Web アプリケーション、モバイルアプリケーションを利⽤可能に することでエンドユーザーに⼒を与え、どのデバイスでも、そしてどこからでも、プライベー トデータセンターとパブリックデータセンターの両⽅にあるデータと情報システムにアクセス できるようにする。それが「明⽇のワークスペース(tomorrow’s workspace)」の究極の戦略 ⽬標です。明⽇のワークスペースはビジネスコンシューマであるエンドユーザーに直接結び付 いていますが、その潜在能⼒を完全に引き出すには、「明⽇のデータセンター(tomorrow’s datacenter)」と「明⽇の IT 組織(tomorrow’s IT organization)」の役割を理解することが重 要になります。 明⽇のワークスペースで重要になるのは何でしょう? 3.2 「⾃分」が肝⼼:ユーザー(ビジネスコンシューマ) 7 つの「あらゆる」(デバイス、画⾯、場所、OS、アプリ ケーション、ブラウザ)オンライン/オフライン、管理/管理外 アクセス:データ、アプリケーション、アイデンティティ、 アグリゲーション、ネットワーキング ア プ リ ケ ー シ ョ ン : Windows ( リ ッ チ / ク ラ シ ッ ク ) Web/SaaS、モバイル デバイス:3 つの画⾯+ハイブリッド 管理:なし、デバイス、アプリケーション、データ セルフサービス:IT ストア コンテキスト対応:パーソナライズ コラボレーション:ソーシャル、統合コミュニケーション、メッシュ IT のコンシューマライゼーション 「IT のコンシューマライゼーションとは、消費者市場で⽣まれたものが、ビジネス組織や政府 機関に広がっていくという新しい情報技術の傾向である。初期の数⼗年間のコンピューターの 活⽤と開発で主導的な役割を果たしていたのは、⼤企業と政府機関であった。そのため、消費 者市場が IT ⾰新の主要な原動⼒になることは、IT 業界の⼤きな変化と⾒なされている」(引⽤ 元) ユーザーは、どこからでも、どのデバイスでも、⾃分のあらゆるアプリケーションを利⽤して 仕事がしたい。その⼀⽅で、IT 組織はコンプライアンス順守、データ保護、リスク低減、コス トダウンを⾏わなければならない。これが今⽇持ち上がっている課題です。 IT の最も重要なトレンドの 1 つに、「IT のコンシューマライゼーション」があります。消費者 にとって、使いやすさ、アプリケーションストア、タブレット、スマートフォンは当たり前で バージョン 1.2 September 2013 Page 9/ 103 EMM Smackdown す。ビジネスコンシューマが望んでいるのも、それとまったく同じです。IT の素養が少ししか、 またはほとんどないユーザーでも、あっという間にアプリケーションを選んで、そのダウン ロードとインストールを⾏えなければなりません。 これらの課題を解決するには、IT 業界の組織と IT プロフェッショナルのマインドシフトが必要 です。たとえば、次のような⼼構えが必要です。 今は IT のコンシューマライゼーションの時代。IT の主導権を握っているのはビジネス コンシューマだ。 新しい標準は BYOD(私物デバイスの業務利⽤)だ。しかし、BYOD は誰もが利⽤でき るものでも、どんな状況でも使えるものでもない。 ⾃主性、⾃⼰解決、⾃由、制御のバランスをとらなければならない。そして、このバ ランスは、ユーザーの役割、場所、デバイス、セキュリティなどの状況に応じて変わ る。 ビジネスコンシューマの IT 組織への期待、そして IT 組織のビジネスコンシューマへの 期待を管理することが、IT のコンシューマライゼーションというパラダイムシフトの 鍵になる。 これは「あらゆる」のオンパレードだ(あらゆるデバイス、あらゆる画⾯、あらゆる 場所、あらゆる OS、あらゆるブラウザ、あらゆるアプリケーション、あらゆる⼈々、 管理/管理外、オンライン/オフラインなど)。変⾰に備えた設計を。 肝⼼なのはデバイスやアプリケーション(の管理)ではない。データだ。 3 ⽂字の BYO という略語は、「Bring Your Own」(私物持ち込み)、「Buy-Your Own」(私 物購⼊)の頭⽂字をとったものです。ソリューションの全体構想から⾒れば、より重要なのは、 デバイスの所有者は誰か、そして⾃主性、⾃由、制御のバランスをどうとるかです。制御が必 要だとして、何を制御すればよいのでしょう。デバイスでしょうか、アプリケーションでしょ うか、それともデータでしょうか。 BYO(私物持ち込み)戦略の鍵を握るものは次のとおりです。 バージョン 1.2 エンタープライズアプリケーションストア EMM(エンタープライズモビリティ管理) セキュアアクセス、セキュアネットワーキング ファイル共有 統合コミュニケーション、コラボレーション、企業向けソーシャルメディア リッチなモバイルアプリケーションと Web アプリケーションのデリバリー⼿段 Windows デスクトップと Windows アプリケーションのデリバリー⼿段 September 2013 Page 10/ 103 EMM Smackdown 3.3 アプリケーションデリバリー:3、2、1、アクション! ユーザーのワークスペースで重要になるのはアプリケーションデリバリーです。場所やデバイ スにかかわらず、アプリケーションを利⽤できるようにし、ワークスペースの中でも外でも、 ネットにつながっていてもいなくても、いつでも、どこでも、(⾃分の)どのデバイスでも仕 事ができるようにすることが⽬標になります。そのためにはアプリケーションの動的なデリバ リー機能が⽋かせず、これはより幅広いワークスペース戦略の⼀部になります。ここで重要に なるのが、さまざまなアプリケーションやデスクトップのデリバリーの概念、つまり「弁当」 です。これを実現するため、当社はいろいろなアプリケーション/デスクトップデリバリーソ リューションをまとめたスキーマを作成しました。この発表されたばかりのソリューションス キーマの詳細については、4 章を参照してください。 ⾃分の組織に最も適しているアプリケーションデリバリーソリューションはどれか。それを突 き⽌めるには、次の 3 つの検討が必要です。 1. アプリケーションの実⾏プラットフォームは何か。Windows アプリケーション、Web アプリケーション、リッチなモバイルアプリケーションやモバイル Web アプリケー ションの実⾏に必要なシステムリソースは、実⾏プラットフォーム上で使われます。 最もよく使われる実⾏プラットフォームには、デスクトップ、ノート PC、ウルトラ ブック、タブレット、スマートフォン、仮想デスクトップインフラ、サーバーベース コンピューティング(いわゆるセッション仮想化)などがあります。最も基本的な検 討項⽬になるのが、実⾏プラットフォームの選択です。アプリケーションはデバイス 上でローカルに実⾏されるか、中央のデータセンター上で実⾏されます。実⾏プラッ トフォームごとに独⾃の特⻑があります。実際、それぞれの組織ではいろいろなデバ イスアクセスシナリオが使われています。「少ないことは良いことだ」、「例外をな くせ」、「多様性を管理せよ」。この考え⽅を忘れないようにしてください。 2. 実⾏プラットフォーム上でアプリケーションをどのように利⽤可能にするか。実⾏プ ラットフォームは確かに重要ですが、アプリケーションがなければ、エンドユーザー にとって何の役にもたちません。2 番⽬に検討が必要になるのは「アプリケーション を実⾏プラットフォームにどのように組み込むか」です。Windows アプリケーション、 Web アプリケーション、リッチなインターネットアプリケーションやモバイル Web ア プリケーションをプラットフォーム上で利⽤可能にする⽅法はいろいろあります。 3. IT プロフェッショナルやエンドユーザーの視点から、実⾏プラットフォームとアプリ ケーションをどのように管理するか。いろいろな Windows アプリケーション、Web ア プリケーション、モバイルアプリケーションが組み込まれた実⾏プラットフォームを 構築できたとして、その環境の管理と保守をどのように⾏えばよいでしょう。 頭に⼊れておく必要のある重要なポイントは次のとおりです。 バージョン 1.2 September 2013 Page 11/ 103 EMM Smackdown アクセスシナリオ、ペルソナは何か。 BYOD シナリオの場合は、どこからどこまでを管理するか。 デバイス、アプリケーション、データの管理が必要か。 3 番⽬の検討項⽬、「概念として、そして IT プロフェッショナルやエンドユーザーの視点から ⾒たエンドポイントデバイスとして、ワークスペースの制御、管理、サポートをどのように⾏ うか」には、このような検討がかかわってきます。 3 番⽬の管理⾯の検討項⽬には、エンタープライズモバイル管理、ワークスペースアグリゲー ション、ユーザー環境管理の各ソリューションが関係してきます。いろいろな概念、機能、技 術があるため、エンタープライズモビリティ(EM)が、ユーザーとしての「⾃分」に何をもた らすかを理解することが⼤切です。 本書は、「明⽇のワークスペース」におけるエンタープライズモビリティ管理の意義と役割を 理解していただくことを⽬的にしています。 3.4 モバイルアプリケーションデリバリー Apple、Google、BlackBerry、Microsoft のスマートフォンやタブレットのようなモバイルデバ イスにアプリケーションをデリバリーする⽅法はいろいろあります。 サーバーホステッド Windows ソリューションによる Windows アプリケーションや Windows デスクトップのデリバリー HTML5 アプリケーションと(モバイル)Web アプリケーション リッチモバイルアプリケーション 3.4.1 サーバーホステッド Windows ソリューションによる Windows アプリケー ションと Windows デスクトップのデリバリー この⽅式では、Windows アプリケーションをデータセンターで実⾏し、表⽰のみをモバイルデ バイス上でローカルに⾏います。アプリケーションの実⾏と表⽰が切り離されること、(管理 されない)デバイスへの依存性がないこと、ビジネスアプリケーションの(再)開発を⾏わな くても、「従来の」アプリケーションをそのまま使えることがメリットです。デバイスの管理 やデータフローの制御もあまり考える必要がありません。その反⾯、ネットワークに(⼗分な 速度で)接続していないと利⽤できないこと、そして何よりも、Windows アプリケーションや Windows デスクトップはマウス、トラックパッド、キーボード、⼤型の画⾯の使⽤を前提に開 発されていることが問題になります。市場には、Windows アプリケーションのインターフェー スをモバイルデバイス⽤に最適化する、Citrix の XenApp Mobility Pack のような「アプリケー ション再構成」ツールも出回っています。 当社は、「スマートフォンやタブレットなどのモバイルデバイスへの、従来の Windows アプリ ケーションや Windows デスクトップのデリバリーは、他の選択肢がない場合に限って使⽤すべ きだ」という⽴場をとります。いずれは、ほとんどのビジネスコンシューマが、モバイルデバ イス⽤に開発・最適化された(ほぼ)ネイティブなアプリケーションを使いたいと考えるよう になるでしょう。 バージョン 1.2 September 2013 Page 12/ 103 EMM Smackdown 3.4.2 HTML5 アプリケーションと(モバイル)Web アプリケーション 今⽇の企業 Web アプリケーションのほとんどは HTML5 アプリケーションではなく、単なる従 来型の Web アプリケーションです。Web アプリケーションには OS やブラウザへの依存性がな く、LAN、WAN、WiFi、インターネット接続経由で動作します。モバイルデバイスでも使うこ とができますが、モバイルデバイスプラットフォーム⽤に開発、最適化されているわけではあ りません。Web アプリケーションはモビリティの問題をある程度解決してくれますが、ユー ザーの使い勝⼿がどうなるか、⼗分な体感性能を実現できるかが⼤きな問題になります。 HTML5 は、究極の解決策であり、将来のモバイルアプリケーションデリバリーの主流になると 考えられます。HTML5 アプリケーションはオフラインで使うことができ、プラットフォームや ブラウザへの依存性がなく、デバイス固有の API を使ってインターフェースをモバイルプラッ トフォーム⽤に最適化することができます。ただし、モバイルプラットフォーム上のブラウザ による制限を受け、使われるブラウザによっては、オフラインストレージや通知のプッシュと いった⼀部の機能がサポートされません。HTML5 アプリケーションとモバイルプラットフォー ム上の残りのアプリケーションとの通信の制御も問題になります。 3.4.3 リッチモバイルアプリケーション モバイルアプリケーションのほとんど(〜98%)は、Google Play Store、Apple App Store、 Windows Store のような⼀般消費者向けのアプリケーションストアから配信されています。こ れらのアプリケーションは、設計段階からモバイルデバイス上で隔離/サンドボックス化されて いるため、モバイルアプリケーション管理(MAM)ソリューションでは管理できません。モバ イル(ビジネス)アプリケーションをモバイルデバイスにどのように組み込めば、管理を⾏え るようになるでしょう。次の⽅法があります。 MAM ベンダーから提供される SDK の利⽤ アプリケーションのラッピング MAM ベンダーから提供されているソフトウェア開発キット(SDK)を利⽤すると、起動時から モバイルアプリケーションの管理機能をフックすることができます。ただし、アプリケーショ ンの開発・コンパイル時に、SDK から提供される機能を組み込んでおく必要があることが難点 です。⾃社で構築と配布を⾏う社内アプリケーションなら問題はありませんが、商⽤(または フリーの)⼀般向けアプリケーションのほとんどには、この⼿法は適⽤できません。 アプリケーションのラッピングは、商⽤の⼀般向けアプリケーションのバイナリを管理層で ラップすることで、MAM ソリューションから制御を⾏えるようにする⼿法です。ただし、モバ イルプラットフォームに組み込まれたデジタル著作権管理(DRM)機能と暗号化機能により、 モバイルアプリケーションに対するラッピングがブロックされるため、(署名のない)ソース バイナリにはアクセスできないことが最⼤の問題になります。ソースバイナリにアクセスでき る場合は、アプリケーションラッパーツールによって、認証、(アプリケーションレベルの) VPN のサポート、デバイスポリシー、リモート強制終了スイッチ、暗号化などの管理機能が追 加されます。MAM ソリューションの企業アプリケーションストア機能を利⽤すると、アプリ ケーションを社内開発アプリケーションとしてパッケージ化、再署名、配布することができま す。 3.5 サービスとしての IT(ITaaS:IT as a Service)と明⽇の IT 組織 ビジネスコンシューマが期待しているもの、必要としているものはソリューションです。それ が IT 組織から提供されないのであれば、エンドユーザーは他のところからソリューションを⾒ バージョン 1.2 September 2013 Page 13/ 103 EMM Smackdown つけてきがちです。組織の中で無断で使われる IT ソリューションを表す⽤語として「影の IT」 や「ステルス IT」があります。多くの場合、ステルス IT は組織の制御、セキュリティ、信頼性、 ⽂書化などの要件に合いません。影の IT の問題を解決するには「ITaaS」を考えなければなり ません。 ITaaS の主な特⻑は次のとおりです。 セルフサービス 信頼性とパーソナライズ コンテキスト対応 ⾃動化とセキュリティ 利⽤料⾦制(課⾦制) プライベートクラウド、パブリッククラウド、ハイブリッドクラウドソリューション の活⽤ 「明⽇の IT 組織」は、IT サービスの提供者として、そしてパブリッククラウドサービスのデリ バリーの仲介役として振る舞い、⾃社のビジネスコンシューマへのサービスの提供を統率しな ければなりません。 3.6 弁当とは?! 3 章の題名が「エンタープライズモビリティ管理は⾄福の弁当」になっているのはどうしてか。 多分疑問に思ったでしょう。弁当とは、⽇本料理で⼀般的な⼀⼈前の持ち帰り料理や家庭の詰 め合わせ料理です。伝統的な弁当箱には、いろいろな美味しい料理が⼊れられます。⽇本の主 婦たちは、配偶者、⼦供、または⾃分⾃⾝のために、時間と情熱をかけて⼼のこもった弁当を よく作ります。エンタープライズモビリティやモバイル IT も弁当箱です。ビジネスコンシュー マが各種のアプリケーションデリバリーソリューションを利⽤して、デバイスや場所にかかわ らずデータや情報システムにアクセスできるように、いろいろなソリューションから構成され ているからです。 「⽬まぐるしい変化の時代に、⽴ち⽌まっているのは最も危険な⾏為」であり、「チャンスが やってきてから準備するのでは遅すぎ」ます。 「明⽇のワークスペース」への⼗分な備えができるように、本書をお役だていただければ幸い です。 3.7 ENTERPRISE MOBILITY MANAGEMENT 2013(JACK MADDEN 著) Jack Madden ⽒は独⽴系のブロガーであり、The VDI Delusion の共著者であり、BriForum や Citrix Synergy などのイベントの講演者でもあります。2013 年 5 ⽉、同⽒の新しい著書 Enterprise Mobility Management 2013 が出版されました。この書籍の中で、ポスト BlackBerry 時代の急速に変化する EMM 情勢(MDM、MAM、MIM、アプリケーションラッピング、コンテ ナ、ファイル同期、SDK、モバイル仮想化、BYOD など)が掘り下げられています。 「本書は、エンタープライズモビリティ管理の誇⼤広告に気付いたあらゆる⼈々、MDM のこと を知り、その仕組みを知りたい⼈々、MDM ベンダーや MAM ベンダーの主張を聞き、それをど う組み合わせればよいか知りたい⼈々、BYOD の危険性についての不吉な警告を⽿にし、それ がどういうことか知りたい⼈々のためにある。 バージョン 1.2 September 2013 Page 14/ 103 EMM Smackdown さらに、本書は⾃分の勤務先の企業が何をしているか知りたいユーザー、仕事⽤と個⼈⽤の電 話機が別々なのはばかげていると思うユーザー、私物の電話機の管理を会社に任せたくない ユーザー、そもそも電話機やタブレットを職場に持ち込めればそれでよいユーザーのためにあ る。 そして、本書は BlackBerry Enterprise Server を核にしたモビリティプランを構築していて、そ こからの移⾏に迫られている企業、新プラットフォームへのアプリケーションとデータのデリ バリーを受け持つことになったデスクトップ担当者、過去 10 年間は Blackberry で満⾜してい たが、ユーザーの iPhone の持ち込みに対処しなければならなくなったモバイルマネージャのた めにある」 エンタープライズモビリティ管理がユーザーと企業にもたらす変⾰について、より詳しい(背 景)情報をお知りになりたい⽅は、この書籍をお読みください。必読の書です! バージョン 1.2 September 2013 Page 15/ 103 EMM Smackdown 4. アプリケーション&デスクトップデリバリー ソリューション 3.0 4.1 ADD ソリューション概要図 3.0 エンタープライズモビリティ管理の世界に「ディープダイブ」するには、「アプリケーション &デスクトップデリバリー(ADD)」の全ソリューションについての⼤まかな知識が必要です。 当社は、いろいろなアプリケーション&デスクトップデリバリーソリューションの概要をまと めた「アプリケーション&デスクトップデリバリーソリューション概要図」を作成しました。 この章をお読みになれば、この図の全体像と、その中に含まれているアプリケーションソ リューションやデスクトップソリューションのことを把握できます。この章では、すべての適 ⽤シナリオとその技術的な利点と⽋点を説明するのではなく、アプリケーション&デスクトッ プデリバリーの分野におけるソリューションの連携についての⼀般論を、特定のベンダーに依 存しない中⽴の⽴場から述べます。 図 1 アプリ&デスクトップデリバリーソリューション概要図 4.2 信頼の置ける/信頼の置けないワークプレースシナリオ 信頼の置けるワークプレースとは、有線/無線ネットワーク経由で既存の IT バックエンドインフ ラに接続されているデバイスのことです。信頼の置けないワークプレースとは、既存の IT バッ クエンドインフラへの安全な有線/無線ネットワーク接続⼿段がないデバイスや、IT 組織による 中央管理の対象になっていないデバイスのことです。たとえば、セキュリティ上の理由から、 バージョン 1.2 September 2013 Page 16/ 103 EMM Smackdown または⾃宅や業務研修先で使われているために、別のネットワークセグメントに接続されてい る装置などが、これに相当します。 それぞれの組織には、いろいろなワークプレースシナリオや適⽤シナリオがあります。特に、 BYOD とエンタープライズモビリティが使われる場合は、シナリオの量は急速に増えます。IT 部⾨は、さまざまなワークプレースシナリオや適⽤シナリオの概要をよく理解しなければなり ません。これを「ペルソナ」または「アクセスシナリオ」といいます。いろいろなユーザーが アプリケーションをどのように利⽤するか、これらの利⽤者が必要としているものは何かを表 しているからです。ワークプレースシナリオでは、「クライアントサイド仮想化」、スマート フォンやタブレットなどのモバイルデバイス、ノート PC や(ハイブリッド)ウルトラブック、 デスクトップやシンクライアントが使われます。 4.3 セキュアアクセス セキュアアクセスソリューションを利⽤すると、(信頼の置けない)デバイス から企業 IT への安全なアクセスを実現できます。このようなソリューションに は、サーバーホステッドデスクトップ⽤のゲートウェイサービスや、フル ( SSL ) VPN ソ リ ュ ー シ ョ ン な ど が あ り ま す 。 セキュアアクセスシナリオの実現に使⽤できるソリューションには、Cisco ASA、Citrix Netscaler Gateway、Juniper SSL VPN、Microsoft Unified Access Gateway(UAG)、VMware View Security Server などがあります。セキュアア クセスソリューションとセキュアネットワーキングソリューションの全体像に ついての公開資料を、www.pqr.com からダウンロードすることができます。セ キュアアクセスの機能は次のとおりです。 4.4 安全なネットワークアクセス、盾の記号 企業リソースへのアクセス、交通信号。アクセスのきめ細かな分類も⾏えます。 モバイルアプリケーションデリバリー Apple iOS、Google Android、Blackberry、Windows Phone 上でネイティ ブに実⾏されるリッチモバイルアプリケーションや、RT や Windows 8.x 上のモダンアプリケーションは、モバイルアプリケーションデリバリーソ リューションを使って配信します。エンタープライズ顧客のシナリオで は、ほとんどのエンタープライズモビリティ管理ソリューションにこの機 能が組み込まれていますが、この機能をより顧客指向のアプリケーション ストアで活⽤することもできます。モバイルアプリケーションデリバリー の機能は次のとおりです。 バージョン 1.2 ストア - アプリケーションの利⽤、デリバリー、レポート機能⽤ のユーザーインターフェース いろいろなモバイルデバイスへのリッチモバイルアプリケーションのデリバリー September 2013 Page 17/ 103 EMM Smackdown 4.5 WEB アプリケーションアクセラレーション Web アプリケーションアクセラレーション装置やアプリケーションデリバリー コントローラーを使うと、Web アプリケーションの⾼速化とセキュリティ保護 を実現できます。今⽇では、これらのソリューションは⾮常に⼀般的です。た とえば、Google、MSN、eBay のような⼀般向けのインターネットアプリケー ションのすべてで活⽤されています。Web アプリケーションアクセラレーショ ンソリューションは⼤規模な公的組織で効果的なだけでなく、個⼈⽤の Web ア プリケーションでも活⽤できます。Web アプリケーションアクセラレーション 機能とセキュリティ機能のあるソリューションには、Citrix Netscaler や F5 BigIP などがあります。 Web アプリケーションアクセラレーションの機能は次のとおりです。 4.6 SaaSとWebリソースへの安全なアクセス、盾の記号 Webアプリケーションへのアクセスの⾼速化と最適化、スピードメーターの記号 接続ブローカー 接続ブローカーは、どのユーザーが、サーバーホステッド型のどのリモートアプリケーション やリモートデスクトップを利⽤できるかを制御します。サーバーホステッド仮想デスクトップ インフラでは、ユーザーに専⽤のデスクトップを使わせたり、リ モートデスクトップのプールの中からデスクトップを割り振ること ができます。デスクトップブローカーには、リモートデスクトップ の作成、削除、停⽌を⾃動的に⾏う機能もあります。接続ブロー カ ー を 提 供 し て い る ベ ン ダ ー は 多 数 あ り ま す が 、 Citrix の XenDesktop、Microsoft の Remote Desktop Services、Dell/Quest の vWorkspace、VMware の Horizon View が、VDI ソリューションと して最も有名です。ベンダーによっては、接続ブローカーに追加機 能が組み込まれていることがあります。たとえば、リモートデスク トップとの安全な(SSL)接続を確⽴するための Web インター フェース、ディレクトリサービスとの統合機能、USB のフルサポー ト、各種表⽰プロトコルのサポート、Remote Desktop Services Session Host(従来の RDSH)との統合機能などが追加されている場合があります。また、 ルールによっては、サーバーホステッド VDI 上やターミナルサーバー上で、アプリケーション を中央で実⾏できます。 接続ブローカーの機能は次のとおりです。 バージョン 1.2 サーバーホステッド型のアプリケーションとデスクトップ、アプリケーションのロゴ マークが付いた灰⾊の窓 どのユーザーがどのアプリケーションを継続的および⼀時的に利⽤できるかを決める 「⽅位磁⽯」 September 2013 Page 18/ 103 EMM Smackdown 4.7 アプリケーション仮想化 アプリケーション仮想化を使うと、ローカル OS を変更したり、特定のワークプレースへのア プリケーションソフトウェアのインストールを⾏わずに、Microsoft Windows アプリケーション を利⽤できます。つまり、ローカルにインストールされているかのように アプリケーションを実⾏することができ、現在のローカルクライアントの ままで、データの保存や印刷を⾏うことができます。CPU、メモリ、 ハードディスク、ネットワークカードなどのリソースが、これらのアプリ ケーションの実⾏を処理します。 アプリケーションストリーミングとアプリケーション仮想化を利⽤する と、デスクトップ、ノート PC、サーバーホステッド VDI、リモートデス クトップサービスのセッションホスト(TS)のどのプラットフォームで も、アプリケーションを利⽤できるようになります。アプリケーションは 「クライアント」プラットフォーム上で実⾏されますが、そのプラット フォームに⼿を加える必要はありません。 アプリケーション仮想化には、インストール、アップグレード、ロール バック、デリバリー時間、アプリケーションのサポートと管理のしやすさのメリットがありま す。アプリケーションのインストールを⾏わずに済むので、競合が起きにくくなり、その結果 として動的なアプリケーションデリバリーインフラを実現できます。アプリケーションスト リーミング/アプリケーション仮想化ソリューションには、Cameyo、Citrix(XenApp)のアプ リケーションストリーミング、Microsoft App-V、Symantec Workspace Virtualization、Spoon、 VMware ThinApp などがあります。アプリケーション仮想化についてのさらなる情報について は、こちらをご覧ください。 4.8 OS プロビジョニング OS プロビジョニング(マシン単位のイメージング)を利⽤すると、中央 のイメージを使ってワークステーションの起動と実⾏を⾏うことができま す。1 つの共通のイメージを複数のワークステーションで同時に利⽤でき ます。この⽅式には、アプリケーションとエージェントが組み込まれた完 全な OS を、素早く、安全に利⽤できるという利点があります。競合を起 こさずに、同じイメージを複数の VDI 環境、RDS 環境、クライアントサ イド仮想化環境、物理デスクトップ環境で利⽤できます。また、OS の アップグレードやロールバックも、⼤きなリスクを負わずに、素早く、簡 単に⾏うことができます。仮想デスクトップで OS ストリーミングを利⽤ すると、(貴重な)ストレージが節約され、仮想デスクトップの管理が⽐ 較的簡単になります。つまり、OS プロビジョニングを利⽤する仮想マシ ンや物理マシンを、ステートレスデバイスにすることができます。OS プ ロビジョニング機能のあるソリューションには、Citrix の Provisioning Services と Machine Creation Services、XenDesktop ファミリーの⼀部の製品、Doubletake Flex、VMware Mirage、Dell/Wyse Streaming Manager(WSM)、Unidesk、VMware View Composer などがあります。 4.9 サーバーホステッドデスクトップ仮想化(VDI) サーバーホ ステッド仮 想デスクト ップインフ ラ(VDI)は、Windows XP/Vista/7/8/Server 2008/Server 2012 や Linux のデスクトップへのリモートアクセスを実現する、専⽤のリモート デスクトップソリューションです。仮想マシンがデータセンターの内部から実⾏されます。仮 バージョン 1.2 September 2013 Page 19/ 103 EMM Smackdown 想化インフラを利⽤すると、システムの独⽴性、可⽤性、管理性が⾼まります。サーバーホス テッド VDI を実装すると、テスクトップが特定の場所やエンドユーザーの特定のデバイスに縛 られなくなり、それぞれのユーザーに⾃分だけの、パーソナライズされた、完全に独⽴した ワークプレースを持たせることができます。プログラムの実⾏やデータの処理と保存は、中央 のパーソナルデスクトップで⾏われます。そして、Microsoft RDP/RemoteFX、Citrix ICA/HDX、 Teradici/VMware “PC-over-IP”、SPICE、VNC のようなリモート表⽰プロトコルを使⽤して、 情報がクライアントの画⾯に送られます。適切な情報を表⽰するために使われるプロトコルは、 OS、帯域幅、アプリケーションのタイプ、技術的環境に応じて変わります。他のデスクトップ デリバリーソリューションと同様に、VDI は管理、負荷分散、セッション制御、仮想マシンと の安全なアクセスを実現する、さまざまなインフラコンポーネントから成り⽴っています。 Microsoft、Citrix、Dell/Quest、Oracle、Virtual Bridges、RedHat、VMware の各社は、いずれ もサーバーホステッド VDI の分野で重要なベンダーです。 4.10 GPU アクセラレーション付き VDI サーバーホステッド VDI ソリューションには、「グラフィカルプロセッサユニット(GPU)ア クセラレーション」機能を追加できます。この機能を組み込むと、1 台 1 台の(仮想)マシン のグラフィック性能を⾼め、マルチメディアアプリケーション、2D/3D アプリケーション、次 世代アプリケーション、CAD/CAM アプリケーションを実⾏可能にすることができます。 表⽰データは最適化されたリモート表⽰プロトコルを使ってクライアントデバイスに渡されま す。エンドユーザーに快適な使い勝⼿を提供するには、できるだけ⾼い性能が必要になります。 また、帯域幅、レイテンシ(遅延)、ローカル(ソフトウェア)コンポーネントの要件も厳し くなります。 4.11 セッション仮想化(TS) セッション仮想化では、⼀⼈⼀⼈のユーザーに専⽤のターミナルサーバーセッションが割り振 られます。セッション仮想化はターミナルサービスとも呼ばれ、データセンターの中にある ターミナルサーバー上で実⾏されるデスクトップやアプリケーションへのリモートアクセスを 実現するソリューションです。どの場所からでも、どのマシンからでもデスクトップやアプリ ケーションにアクセスすることができ、プログラムはターミナルサーバー上で、中央で実⾏さ れます。 クライアントの画⾯へのデータの表⽰には、Microsoft RDP/RemoteFX、Citrix ICA/HDX のよう なリモート表⽰プロトコルが使われます。リモートデスクトップサービスは、管理、負荷分散、 セッション制御、サポートを担う、さまざまなインフラコンポーネントから構成されています。 この⽅式には、素早く安全にアプリケーションを利⽤できる、TCO を抑えることができる、場 所やワークプレースにかかわらずアプリケーションを利⽤できるという利点があります。リ モートデスクトップサービスのセッションホスト(TS)は、Citrix、Ericom、Microsoft、 Dell/Quest などから提供されています。 4.12 クライアントサイド仮想化 クライアントサイド仮想化は、クライアントデバイス上で仮想マシンをローカルに実⾏する、 専⽤のローカルデスクトップです。それぞれの仮想マシンのハードウェア依存性をなくし、同 じワークステーション上で多数の仮想マシンを同時に使えるようにするため、ハイパーバイ ザーが使⽤されます。ハイパーバイザーはクライアントサイド VDI ソリューションで⽋かせな い役割を果たし、同期、ポリシー、適⽤、管理⾯の処理は管理コンポーネントが受け持ちます。 バージョン 1.2 September 2013 Page 20/ 103 EMM Smackdown クライアントサイドデスクトップ仮想化ソリューションには、次の2種類があります。 Type 2 - 「クライアントホステッド」ハイパーバイザーを、エンドデバイスのOS (Windows、Mac OS X、Linux)上のアプリケーションとしてインストールおよび実⾏ します。 (Citrix DesktopPlayer for Mac、Microsoft Virtual PC、MED-V、MokaFive、Parallels Desktop、Oracle VirtualBox、VMware Fusion/Workstation、VMware View Client with Local Modeなど) Type 1 - デバイスのベースOSとして振る舞う「ベアメタル」クライアントハイパーバ イザーを、他のOSより先にインストールしておきます。 (Citrix XenClient、Citrix XenClient Enterprise(以前のVirtual Computer NxTop)、 Windows 8 Hyper-Vなど) Type 1 ハイパーバイザーと Type 2 ハイパーバイザーの主な違いは、ハードウェアのサポート、 性能、管理性、エンドユーザーの使い勝⼿です。 バージョン 1.2 September 2013 Page 21/ 103 EMM Smackdown 4.13 ワークスペースアグリゲーション ワークスペースアグリゲーションとは、次のような複数のタイプのアプリケーションやデスク トップの統⼀的なデリバリーを実現するソフトウェアを指す⽤語です。 ネイティブモバイルアプリケーション SaaS(Software as a Service)アプリケーション モバイル Web アプリケーション Windows アプリケーション(アプリケーション仮想化された、ま たはローカルにインストールされたアプリケーション) デスクトップ(ローカルデスクトップ、サーバーホステッド仮想 デスクトップ(VDI)、SBC の公開デスクトップ) ワークスペースアグリゲータには、ユーザーのデバイスを評価して、そのデバイスでいつ、ど のアプリケーションを利⽤可能にするかを決定する機能もあります(コンテキスト対応アクセ ス)。また、アプリケーションデリバリーに加えて、さまざまなデバイスからのファイルデー タへの安全なアクセスを実現する機能もあります。ワークスペースアグリゲータを利⽤すると、 アプリケーションの配備とライフサイクル管理が簡単になります。アクセスポイントが 1 つに なるので、セキュリティルールやポリシーの適⽤によるプロビジョニングとプロビジョニング 解除、監査、監視を簡単に実現できます。ワークスペースアグリゲータの多くには、アプリ ケーションへのシングルサインオン(SSO)機能もあります。「ワークスペースアグリゲー ション」は、ハードウェア依存性がなく、OS やブラウザに対して中⽴的な、明⽇のワークス ペースにおける戦略的機能です。今後、ワークスペースアグリゲータは成熟性を⾼め、より完 全なものになっていくでしょう。 4.14 クライアント管理 誇り⾼いプロフェッショナルな IT 組織なら、OS の配備、パッチの管理、アプリケーションと クライアントの配備、資産管理、サービスデスク統合、遠隔制御などの作業に、クライアント 管理ソリューションを活⽤せざるを得ないでしょう。 クライアント管理システムには、Altiris/Symantec Client Management、 IBM BigFix 、 LANdesk Client Management 、 Microsoft System Center Configuration Manager ( ConfigMgr/SCCM ) 、 Novell ZENworks Configuration Management(ZCM)などがあります。 クライアント管理の(アプリケーション&デスクトップデリバリーの⽂ 脈における)機能は次のとおりです。 バージョン 1.2 Windows アプリケーションのデリバリーと管理 Windows OS のデリバリーと管理 September 2013 Page 22/ 103 EMM Smackdown 4.15 ベンダーとその製品のリスト 本書では、さまざまなベンダーと製品を取り上げます。それらの概要を以下の表にまとめます。 ベンダー 製品 ソリューション Citrix Citrix Ericom Microsoft RedHat Dell/Quest Virtual Bridges VMware XenDesktop VDI-in-a-Box PowerTerm WebConnect VDI with RemoteFX Enterprise Desktop Virtualization vWorkspace VERDE View VDI VDI VDI VDI VDI VDI VDI VDI Ericom Citrix HP Microsoft Dell/Quest Oracle Virtual Bridges VMware/Teradici RDP/Blaze HDX-ICA RGS RemoteFX/RDP EOP/RDP ALP SPICE PC over IP リモート表⽰プロトコル リモート表⽰プロトコル リモート表⽰プロトコル リモート表⽰プロトコル リモート表⽰プロトコル リモート表⽰プロトコル リモート表⽰プロトコル リモート表⽰プロトコル Teradici Ericom HP Citrix VMware PC over IP PowerTerm WebConnect Remote Graphics Software XenDesktop HDX3D Pro View SH- 物理デスクトップ SH- 物理デスクトップ SH- 物理デスクトップ SH- 物理デスクトップ SH- 物理デスクトップ Citrix Citrix Microsoft Virtual Bridges Citrix Microsoft VMware Bromium XenClient XenClient Enterprise Windows 8 Client Hyper-V LEAF DesktopPlayer for Mac MED-V(MDOP) Player/Fusion/Workstation/View vSentry CSV、ベアメタル CSV、ベアメタル CSV、ベアメタル CSV、ベアメタル CSV CSV CSV CSV、セキュリティ Double Take Citrix Citrix Quest/Dell VMware VMware Unidesk Virtual Bridges Dell/Wyse Flex Provisioning Services / MCS Personal vDisk(former RingCube) HyperDeploy View Composer Mirage Unidesk Dynamic Gold Imaging Streaming Manager(WSM) OS プロビジョニング OS プロビジョニング OS プロビジョニング++ OS プロビジョニング OS プロビジョニング OS プロビジョニング++ OS プロビジョニング++ OS プロビジョニング OS プロビジョニング Microsoft Citrix Dell/Quest Windows Server 2008R2/2012 XenApp vWorkspace セッション仮想化 セッション仮想化 セッション仮想化 Cisco Citrix ASA Netscaler Gateway セキュアアクセス セキュアアクセス バージョン 1.2 September 2013 Page 23/ 103 EMM Smackdown ベンダー Ericom Microsoft Juniper VMware 製品 Ericom Secure Gateway Unified Access Gateway SA View ソリューション セキュアアクセス セキュアアクセス セキュアアクセス セキュアアクセス Citrix Cameyo Microsoft Symantec Spoon VMware Application Streaming Cameyo App-V Workspace Virtualization Spoon ThinApp アプリケーション仮想化 アプリケーション仮想化 アプリケーション仮想化 アプリケーション仮想化 アプリケーション仮想化 アプリケーション仮想化 Fiberlink IBM LANDesk Microsoft Novell Symantec RES MaaS360 BigFix Client Management Suite System Center Config Manager ZenWorks Configuration Mgr Client Management Suite Automation Manager クライアント仮想化 クライアント仮想化 クライアント仮想化 クライアント仮想化 クライアント仮想化 クライアント仮想化 ランブック⾃動化 Citrix VMware Centrix Framehawk XenMobile Horizon Suite Workspace Universal Framehawk ワークスペースアグリゲータ ワークスペースアグリゲータ ワークスペースアグリゲータ ワークスペースアグリゲータ Airwatch Appsense Cisco Citrix Fiberlink Good Microsoft MobileIron Symantec VMware Enterprise Mobility Mgmt Suite MobileNow Meraki XenMobile MaaS360 For Enterprise Windows Intune Advanced Management Mobile Management Suite Horizon Mobile モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション モバイルアプリケーション 表 1 アプリケーション&デスクトップデリバリーのソリューション、製品、ベンダー バージョン 1.2 September 2013 Page 24/ 103 EMM Smackdown 5. セキュリティ EMM(エンタープライズモビリティ管理)が検討される⼀番の動機は、おそらくセキュリティ でしょう。結局のところ、最⾼レベルの使いやすさが実現されている個⼈向けのデバイスを、 なぜ中央で管理したいと思うのでしょう。それは、これらのデバイスが機密情報へのアクセス に使われるからです。機密性は、情報セキュリティの三本柱の 1 つです。 それでは、モバイルデバイスのセキュリティを⾼め、かけがえのない情報の安全性を本当に保 ち続けるには、どうすればよいのでしょう。 5.1 主な問題 エンタープライズモビリティ管理のセキュリティには、次の 3 つの⼤きな問題があります。 5.1.1 モビリティ モバイルデバイス、スマートフォン、タブレット、ノート PC は、企業ネットワークの境界の 外で使われるのが普通です。この当たり前のことが、最も重要で、真っ先に持ち上がる問題で す。使⽤状況やシステムの健康状態を常に把握するには、デバイスがどこにあっても適⽤でき るようにセキュリティ制御を設計しなければなりません。しかも、制御を適⽤するだけでなく、 継続的に制御を⾏えなければなりません。 モバイルデバイスの紛失・盗難が起きたときは、発⾒者(もしくは窃盗犯)が、そのデバイス 上のデータや実⾏中のアプリケーションを利⽤できないようにすることが⼤切です。たとえば、 同期処理によってデバイスの電⼦メール受信箱に⾃動的に送られる企業データには、デバイス そのものよりはるかに⾼い価値があるかもしれません。 さらに、デバイスが企業ネットワークの外(空港など)で使われる場合は、正体が不確かな (信頼の置けない)ネットワークが使われることになります。多分、ネットワークセキュリ ティ機能はほとんどないでしょう。そんなときは、企業ネットワークに適⽤されるセキュリ ティレベルと同等の、攻撃からのローカルな保護が必要です。特に、ファイアウォールによる 防護、侵⼊防⽌、パッチ管理をセキュリティ制御⼿段として検討する必要があります。 5.1.2 多様性 世の中には、ノート PC からスマートフォン、タブレットまで、いろいろなタイプのいろいろ なモバイルデバイスがあります。使われる OS やそのバージョンもさまざまです。この違いの ために、システム構成によってはセキュリティ⼿段の適⽤が困難になったり、時には不可能に なります。 詳細な技術的側⾯をすべて検討しないかぎり、セキュリティを制御したい組織は、まずどのセ キュリティ制御⼿段を実装する必要があるかを決める必要があります。そうすることで初めて、 ⼀定⽔準以上のセキュリティレベルに達している、サポート対象のデバイスと OS のリストを 作成できるようになります。特に、EMM 戦略の 1 つとして BYOD が採⽤される場合に、この ことが当てはまります。 5.1.3 所有権 EMM 戦略では、その⼀部として BYOD がよく採⽤されます。その場合は、デバイスを所有し、 その管理を⾏うのはユーザーです。つまり、セキュリティはユーザーに任されることになり、 バージョン 1.2 September 2013 Page 25/ 103 EMM Smackdown 「所有者たちが⾃分のデバイスを適切に管理してくれるだろうか」という問題が持ち上がりま す。おそらく、万全な管理は無理でしょう。つまり、このような私物のデバイスは、いつサイ バー犯罪の餌⾷になってもおかしくなく、このようなデバイスを企業ネットワークに接続させ ることにはリスクがあります。 組織が所有・管理していないデバイスは、常に隔離されたネットワークに配置すべきです。そ のネットワークから、企業ネットワークへの必要最⼩限のネットワーク接続だけを許可し、異 常がないかを詳しく調査することができます。 ユーザーに所有権が移るということは、ユーザーの同意を得なければ、デバイスの変更(ソフ トウェアのインストールやファイルの削除)を⾏えないことにもなります。この問題に対処す るには、私物のデバイスから企業データにアクセスするユーザー全員から、適切なポリシーに 対する署名を取り付ける必要があります。 5.2 ⽬標 エンタープライズモビリティ管理にセキュリティを適⽤するのは、企業データの機密性 (Confidentiality)、完全性(Integrity)、可⽤性(Availability)を実現することで、情報とシステム の継続性を保ち、セキュリティ攻撃によって引き起こされる潜在的なダメージを、⼀定レベル 以下に抑えるためです。この情報セキュリティの三本柱が CIA の三⼤要素になります。 Confidentiality Information kept private and secure CIA Triad Integrity Availability Data not modified, deleted or added Systems available to whom requires them 特に EMM の分野では、この三⼤要素は次のような意味を持つと⾒なすことができます。 バージョン 1.2 ‐ 機密性:どのデータを保存したり、モバイルデバイスからアクセスできるようにする か。権限のあるユーザーだけが機密情報を⾒られるようにするにはどうすればよいか。 ‐ 完全性:モバイルデバイスや、そこで実⾏されるプロセスやユーザーによる、企業 データの不正な改ざんを防ぐにはどうすればよいか。 ‐ 可⽤性:企業のデータやシステムにアクセスする必要のあるモバイルユーザーを、ど のようにサポートすればよいか。 September 2013 Page 26/ 103 EMM Smackdown 5.3 構想 EMM、特にモバイルデバイスの管理は、IT セキュリティの管理とは切り離して(またはその⼀ 部だと)考えられがちです。今後は、モバイルデバイスが(その所有者が誰で、フォームファ クタが何かにかかわらず)企業デバイスの主流になるでしょう。これらは「次世代のエンドポ イントデバイス」であり、従来のデスクトップとともに、企業 IT セキュリティの全体戦略の中 に本格的に取り込むべきです。 この新種のエンドポイントに強⼒な予防セキュリティを提供するには、リスク管理の適⽤が必 要になります。そのためには、次の検討を⾏う必要があります。 バージョン 1.2 1. ビジネス⽬標をサポートする優れたセキュリティポリシーを定めます。 2. (広域)ネットワークの中にどのような資産があるかを調査し、それらに優先順位を 付けます。 3. システムにどのような脆弱性があり、それによって組織が実際にどの程度のリスクを 被るかを把握します(リスク=確率×想定される損害額)。 4. 対処が必要なリスクに対する対策として、セキュリティを適⽤します。 5. セキュリティ⼿段の状態と有効性の全体像を常に把握できるようにします。 September 2013 Page 27/ 103 EMM Smackdown 6. モバイル IT 戦略 ますます現実味を増す IT のコンシューマライゼーション。そしてパーソナルモバイルデバイス の業務利⽤の普及。IT 組織の多くは、IT の従来の運⽤、サポート、管理⼿法の⾒直しを迫られ ています。望みもしない問題を避けたいのであれば、これらの⼈々をどうサポートすればよい かについての優れた戦略が重要になります。 多くの組織は、機能、製品、ベンダーばかりに⽬を奪われ、明確で練り込まれた全体戦略や全 体構想を持ち合わせていません。これは良い、悪いの問題ではありません。要は、「組織の⽬ 標は何か」です。特定⽬的のためのポイントソリューションがあればよいのであれば、さまざ まなベンダーとその製品群が問題を解決し、要求を満たしてくれるでしょう。 しかし、「エンタープライズモビリティ管理」の可能性、メリット、使われ⽅、機能を検討す るのであれば、話は別です。それには詳細な構想と戦略が必要になります。次の検討項⽬をモ バイル IT 戦略の中に取り⼊れてください。 デバイス どのようなデバイスを扱うのか(スマートフォン、タブレット、ノート PC など)。 どのような OS とデバイスをサポートするのか。 デバイスの所有者は誰か。 私物のデバイスを認めるのか(BYOD)。 o ユーザーの個⼈的なアプリやデータをどう扱うか。 o 私物のデバイスに対してどの程度のサポートを提供するか。 企業⽀給品のパーソナルデバイス(COPE)も使⽤可能にするのか。 デバイス、アプリ、情報/データの管理を⾏うのか。 ユーザーに私物のデバイスのセルフサポートを⾏わせるのか。 デバイスの盗難・紛失が起きたときにどうするか(データの全消去や選択的消去は可 能か)。 アプリ バージョン 1.2 どの「アプリデリバリー」戦略を採⽤するのか。Windows アプリと Windows デスク トップ、リッチなネイティブモバイルアプリ、従来型の Web/SaaS アプリ、HTML5 ア プリのうちのどれを、さまざまなデバイスにデリバリーすればよいか。 ユーザーの⽣産性を⾼めるには、どのようなアプリが必要か(メーラー、ブラウザ、 ファイル同期プログラム、オフィススイート、業務⽤アプリなど)。 専⽤モバイルアプリの開発(⾃社開発または ISV への外注)を⾏う予定はあるか。 社内 Web アプリをモバイルデバイスに対応させるのか。 社内メールの受信にサードパーティ製のメールクライアントを使わせるのか。 統合コミュニケーションを使うのか。 EMM に対する(ビジネス)アプリのベンダーのサポートポリシーはどうなっているか。 September 2013 Page 28/ 103 EMM Smackdown データ管理 企業データがユーザーの私物のデバイスに格納された場合に、そのデータの所有者は 誰になるのか。 ユーザーが私物のモバイルデバイスで利⽤するのはどのような情報か。デバイス上の 個⼈の情報と企業情報を分ける必要はあるか。 デバイスへの情報の格納に関する法的な規制はあるか。 ユーザー個⼈のアプリでの企業データの利⽤を禁⽌する必要はあるか。 デバイスや特定のコンテンツの暗号化が必要か。 安全なアクセスとネットワーキング ホステッド型のアプリやデスクトップに接続しているモバイルデバイスに対して、セ キュアアクセス/セキュアネットワーキングソリューションがどう影響するか。このよ うなセキュアアクセスソリューションが使われるときに、ユーザーの使い勝⼿はどう なるか。 安全なアクセスとネットワーキングを実現するには、どのような性能、認証、セキュ リティ、管理性、可⽤性が必要か。 デバイスやアプリから企業リソースへの安全なアクセスを⾏えるようにする必要はあ るか。現⾏のセキュアアクセスソリューションは要件を満たしているか。ユーザーの 使い勝⼿はどうなるか。 アプリをデリバリーするのに⼆要素認証は必要か。必要なのであれば、そのソリュー ションがエンタープライズモビリティソリューションに組み込まれているか。 ポリシーと法的規制 メールやメッセージングについてのセキュリティポリシーがあるか。 データについてのセキュリティポリシーがあるか。 メールの添付ファイルの暗号強度がセキュリティポリシーの基準を満たしているか。 モバイルデバイスの特定の機能(カメラや特定のソフトウェア)をブロックする必要 はあるか。 現在地に適⽤されるセキュリティ上の規制や法令はあるか。 デバイスのどの情報を監視する必要があるか。 ⼀般 バージョン 1.2 モバイル IT 戦略の所有者は誰か。⽬標は何か。 ビジネスケースは何か。ROI として期待するものは何か。 達成したいものは何か(ビジネスイネーブラ、TCO(総所有コスト)、コスト削減)。 EMM ベンダーの構想、戦略、ロードマップを理解しているか。 EMM ソリューションの検証済みのデザインはあるか。 September 2013 Page 29/ 103 EMM Smackdown EMM ソリューションをどのように利⽤するのか(パブリッククラウドサービスとして 活⽤するのか、専⽤のプライベートデータセンターでホスティングと管理を⾏うの か)。 IT 部⾨に、この技術を導⼊する知識と技量があるか。EMM ソリューションの本番環境 への導⼊と運営を⾏うには、どのような⼈材が必要か。そのための専⾨知識はあるか。 EMM ソリューションの全体像を把握しているのは誰か。 EMM ベンダーの財務状態は健全か。ベンダーとソリューションを評価するときに、そ のことを重視するか。 EMM ソリューションを取り巻くパートナー、コンサルティング、トレーニング、教育 の巨⼤なエコシステムがあるか。⾃分たちにとって、そのことが重要か。 役員レベルの管理、セキュリティ、ネットワーキング、HR、アプリデリバリー、ワー クスペースサポート、そしてビジネスコンシューマがモバイル IT 戦略に関係している か。 MAM(モバイルアプリ管理)ソリューションには標準といえるものは存在しない。 MAM ソリューションをアプリデリバリーに活⽤するには、⻑期的な取り組みが必要に なる。 ⼀定⽔準以上のユーザーの使い勝⼿を実現するにはどうすればよいか。 肝⼼なこと:モバイル IT 戦略はチームワークだ。成功=構想×実⾏×普及。 バージョン 1.2 September 2013 Page 30/ 103 EMM Smackdown 7. エンタープライズモビリティ管理 7.1 はじめに 「エンタープライズモビリティ管理」とは、デバイス、アプリ、データを安全に管理するソ リューションを指す⽤語です。いろいろな製品やソリューションがあり、モビリティをサポー トする⼿法が、それぞれ少しずつ違います。 この章では次の⼿法を説明します。 7.2 モバイルデバイス管理 モバイルアプリ管理 モバイル情報管理 モバイル費⽤管理 電⼦メールの保護 データの保護 Web ブラウザの保護 モバイルデバイス管理 モバイルデバイス管理(MDM)ソリューションは、基本的にスマートフォンやタブレットのよ うな、モバイル携帯デバイスのポリシーと構成を管理するツールです。 MDM の⽬的はデバイスの管理です。デバイスを MDM サーバーに「登録」すると、そのデバイ スに構成プロファイル(または MDM アプリ)がインストールされます。その中に、そのデバ イス固有の設定情報が格納されています。さらに(そしてこれが BYOD 構想では重要なのです が)、IT 部⾨はデバイスの活動を監視したり(アプリのインストール、メッセージの受け渡し など)、デバイスに制限をかけたりすることができます(パスコードの適⽤、アプリのブラッ クリスト登録など)。 モバイルデバイスへのアプリの配備と削除を⾏うには、ポリシーを使⽤します。ポリシーには、 他のどの(個⼈⽤)アプリの実⾏を許可・拒否するかを定めたルールも組み込むことができま す。MDM には、デジタル証明書、WiFi 接続などのセキュリティ構成情報を、モバイルデバイ スにプロビジョニングする機能もあります。デバイスが IT 部⾨の管理が及ばない誰かの⼿に 渡った場合は、モバイルデバイスの全消去や選択的消去を⾏うことができます。 ⼀般に、今⽇の MDM ソリューションには次の機能があります。 バージョン 1.2 プロビジョニング ポリシーの適⽤ 資産管理 管理 レポート September 2013 Page 31/ 103 EMM Smackdown ⼀部の例外はありますが、MDM は OTA(無線通信)経由で実⾏されるため、IT 部⾨はデバイ スがどこにあったとしても、その制御を⾏うことができます。なにしろ、モバイルデバイスは 「常にオンライン状態」で使われるものなのですから。 MDM には「難しさ」もあります。モバイル OS は最初からセキュリティを考慮に⼊れて開発さ れています。Apple iOS であっても、Google Android であっても、BlackBerry であっても、 Microsoft Windows Phone であっても、アプリは⾃分⾃⾝の「コンテナ」の外側にはアクセス できません。モバイル OS には管理 API があり、それによって MDM ソリューションの機能が 決まります。たとえば、あるモバイル OS に特定の制限機能(カメラの無効化など)がなかっ たとすると、MDM 製品でも、その制限の適⽤は⾏えません。つまり、⼀般にどの MDM ベン ダーも利⽤する API は同じであり、まったく同じ管理機能しか提供できません。 さらにややこしいことに、iOS と Android の間には違いがあり、Android のバージョンによる違 いもあります。前述のようにモバイル OS によって機能が決まるため、特定の機能が iOS では 使えるのに、Android では使えないことがあります(その逆もあり得ます)。Android はオープ ンソースの OS なので、OEM ベンダーはそのコードを必要に応じて変更し、管理 API を拡張で きます。その最も良い例に、Samsung の SAFE(Samsung Approved For Enterprise)がありま す。SAFE では数多くの管理機能が Android に追加されていますが、当然ながら、その利⽤は Samsung 製のデバイスだけに制限されています。Android にはさまざまなバージョンがあり、 それぞれに違いがあるため、適切な管理ソリューションの選択は困難です。 前述のように、MDM ベンダー各社が提供している機能は、モバイル OS で利⽤できる API に よって決まるため、基本的に同じです。しかし、違いもあります。その中で最も重要なのは、 ⽂書/ファイル共有、デリバリーモデル、コンテナ化、アプリデリバリー、管理/レポート機能、 使いやすさの違いです。 MDM 製品をモビリティの問題の解決策として活⽤しようと考える企業は、次のことを考慮して ください。 MDM で管理されるのはデバイスです。 ⼀般に、ユーザーはデバイスの押し付けを好みません。私物のデバイス(BYOD)な ら、なおさらです。 MDM ソリューションは、モバイル OS の管理 API による制約を受けます。 モバイル OS ごとの管理機能の違いを考慮する必要があります。 「BYOD 構想を実現するのに MDM でよいのだろうか」と、胸に⼿を当てて考えてみてくださ い。ほとんどの場合、答えは「ノー」でしょう。「私物のデバイスなのに、IT 部⾨にあれこれ 指図を受けるなんて、もってのほかだ」、「私物のデバイスにまで、複雑なパスコードポリ シーを強要されたくない」と思うに違いありません。 ただし、医療福祉、運輸、教育など、(今⽇のキオスクモードの PC のように)モバイルデバ イスが特定の業務作業に使われる分野では、MDM 製品の採⽤事例があります。このようなケー スであれば、お仕着せのデバイスはまさにうってつけです。 7.3 モバイルアプリ管理 モバイルアプリ管理(MAM)を利⽤すると、IT 部⾨の管理が及ばず、安全ではない従業員の私 物のモバイルデバイスへの、ネイティブアプリの安全なデリバリーを⾏うことができます。企 業アプリストアからデリバリーを⾏えるようにするため、アプリは「ラッピング(コンテナ 化)」されます。また、このアプリコンテナの中にデータと情報が格納されるため、IT 部⾨側 バージョン 1.2 September 2013 Page 32/ 103 EMM Smackdown からアプリを無効化し、ユーザーの個⼈的な情報には⼿を付けずに、データの選択的消去を⾏ うことができます。 MAM では、特定の(企業)アプリに対してポリシーを適⽤できるので、デバイスの制御や管理 を⾏う必要がなくなります。IT 部⾨にデバイスを制御させなくても、そしてまったく制約を受 けずに、ユーザーの個⼈的なアプリを、セキュリティ保護された企業アプリと隣り合わせに使 ⽤できます。まさに BYOD 構想の実現にうってつけの⽅式といえるでしょう。ユーザーは特定 のデバイスの使⽤を強制されず、パスコードによるデバイスのロックも必要ありません。アプ リのホワイトリスト登録やブラックリスト登録も不要です。Facebook や Twitter に近況を投稿 したり、息⼦や娘の写真を撮ったりしても、企業が定めた制限に触れることはありません。 ユーザーが企業アプリを使い始めると、状況が⼀変します。アプリに対するポリシーを適⽤す ることで、IT 部⾨はそのアプリを使える条件を定めることができます。たとえば、WiFi 接続が ないときは使⽤を許可しない、13 ⽂字のドメインパスワードを⼊⼒しないと起動できない、と いった条件を適⽤できます。さらに、ユーザーの個⼈的なアプリ、⽂書、写真には⼀切⼿を付 けずに、企業アプリによって保存される全情報を暗号化したり、それらを選択的に消去するこ ともできます。 ただし、モバイルアプリ管理の適⽤対象になるのは、MAM ソリューションによってデリバリー されるアプリだけです。Apple App Store や Google Playstore のような、⼀般向けのアプリスト アからダウンロードされたアプリは、MAM では管理できません。その原因は、モバイル OS の クローズ性にあります。MAM エージェントからの他のアプリの制御は OS によって禁⽌されて いるため、そのような制御は⾏えません。 企業アプリストアやプライベートアプリストアからアプリのデリバリーを⾏えば、この問題を 解決できます。MAM ベンダーがサポートしている⼿法にもよりますが、アプリデリバリープロ セスの中には、アプリを「ラッピング」したり、特定の SDK(ソフトウェア開発キット)を使 ⽤してアプリを構築するステップが含まれています。これを利⽤して、管理者はアプリに対す るポリシー制御を設定できます。これらの各⼿法の違いの概要については、3.4.3 節を参照して ください。 MAM は BYOD の実現に適しているように思えます。セキュリティポリシーは従業員の私物の デバイスに対して適⽤されるのではなく、企業アプリにだけ適⽤されます。その⽅が、ユー ザーに受け⼊れられやすいでしょう。 しかし、MAM には問題もあります。現時点では、署名付きアプリのラッピングに関する共通の 標準はありません。「アプリのラッピング」と SDK の使⽤のうちのどちらが使えるかは、 MAM 製品でサポートされている⼿法によって決まり、その MAM 製品でしか通⽤しません。ソ リューションを選ぶときは、この点についての注意が必要です。 著者による注釈:iOS 7 には、いくつかの MAM 機能が組み込まれる予定です。そのため、iOS プラットフォームでは、MAM ソリューションの必要性は薄れることになるかもしれません。こ の点については、本書の今後の改訂版で、さらに詳しく調査する予定です。 7.4 モバイル情報管理 モバイル情報管理(MIM)では、データ/情報が管理されます。IT 部⾨はポリシーを使⽤するこ とで、データへのアクセスにどのアプリが使われたとしても、データのアクセス制御、暗号化、 盗難防⽌を実現できます。MAM(モバイルアプリ管理)を使⽤したとしても、情報へのアクセ スに使われるのは、結局のところアプリです。しかし、ユーザーは、使⽤するアプリを⾃由に バージョン 1.2 September 2013 Page 33/ 103 EMM Smackdown 選べるわけではありません。そのため、IT のコンシューマライゼーションに対応するには、お そらく MIM が最適でしょう。 今のところ、本当の意味で MIM ソリューションといえるものはありません。モバイル OS のク ローズ性なアーキテクチャでは不可能だからです。モバイルデバイス上での安全な情報格納を 実現するには、MAM ⼿法と、ファイル同期、メールの保護、Web ブラウザの保護を組み合わ せる必要があります。これらについては、7.6 節以降を参照してください。 7.5 モバイル費⽤管理 モバイル費⽤管理(MEM)を利⽤すると、データローミング費⽤の制限や削減を⾏うことがで きます。MEM ソリューションでは、データプラン管理機能によって使⽤状況を把握し、定めら れたしきい値に達したときに、ユーザーに警告を送ることができます。MEM は企業⽀給品のデ バイスに適しています。 7.6 電⼦メールの保護 ⼀般に、モバイルデバイスの魅⼒的な機能になるのは、電⼦メールとスケジュール帳です。 メールを読んだり、(短い)返信を送ったり、スケジュール帳で予定を⽴てたり、連絡先を整 理するのに、モバイルデバイスはうってつけの⼤きさです。しかし、このような情報には(特 にメールの本⽂や添付ファイルには)、⼤切な企業情報が含まれている可能性があります。 メールの保護にはいろいろな⼿法があり、そのためのアプリもいろいろあります。たとえば、 標準搭載されている(ネイティブ)アプリ⽤の⼿法があります。⼀般に、使い勝⼿が最も優れ ているのは、これらの⼿法です。サードパーティ製のアプリを利⽤して、企業のメール、スケ ジュール帳、連絡先を分離する⼿法もあります。 おそらく、最も簡単な(そして最も低機能な)⼿法は、Microsoft Exchange Server と EAS (Exchange Active Sync)ポリシーの併⽤でしょう。EAS を使⽤すると、パスコードロックな どの機能をデバイスに適⽤できます。ネイティブメールアプリでは、これで問題はありません が、この⼿法では不⼗分な場合もたくさんあります。 添付ファイルがモバイルデバイスに届いたときに、その内容をただちに暗号化する⼿法もあり ます。復号化するには、そのファイルを特定のアプリで開かなければならず、そのときに⽴ち 上がる認証機能とポリシールールによって、不正使⽤を防ぐという仕組みです。ただし、この ⼿法が適⽤されるのは添付ファイルだけです。(テキストのような)本⽂の情報は保護されず、 ⽂⾯が誰かに転送されたり、他の(管理対象外の)アプリにコピー&ペーストされたりする可 能性があります。 最後に、Citrix WorxMail(iOS および Android ⽤)や Nitrodesk Touchdown(iOS および Android ⽤)のような、サードパーティ製のメールクライアントを利⽤する⼿法があります。⼀般に、 これらのメールクライアントは MAM ベンダーから提供され、管理対象の他のアプリと同じ安 全性を実現できます。このサードパーティ製のメールクライアントを、企業メール専⽤のメー ルアプリとして使⽤します。IT 部⾨は MAM ポリシーを適⽤することで、添付ファイルを開く ことのできるアプリを制限することができます。サードパーティ製のメールクライアントはサ ンドボックスの中に⼊れられるので、メールの本⽂と添付ファイルの両⽅を暗号化することが できます。 当然、デバイスに標準搭載されているネイティブメールアプリを使いたいと思うユーザーが多 いでしょうが、それは最も安全性の⾼い⽅法ではありません。問題は、それよりはるかに安全 性の⾼い他のメールアプリを、ユーザーたちが企業メール⽤として使う気になってくれるかど バージョン 1.2 September 2013 Page 34/ 103 EMM Smackdown うかです。サードパーティ製のメールクライアントの側でも、ネイティブメールクライアント にはない機能を搭載することで魅⼒を⾼める努⼒がされています。それはカレンダーに週番号 を表⽰する、スケジュール帳に付箋を挿⼊/表⽰する、スケジュールを⽴てるときに空きあり/ 空きなしの情報を表⽰する、のようなシンプルなものでよいかもしれません。それで⼗分かど うかはユーザーによります。 ほとんどの MAM ベンダーから、ベンダー独⾃のサードバーティ製メールアプリが提供されて います。 7.7 データの保護、エンタープライズファイル同期 Dropbox(などのファイル同期アプリ)は、直感的に操作することができ、使いやすいため、 広く普及しています。これらのアプリを使うと、デスクトップ、モバイルデバイスといったあ らゆるデバイスで、⽂書やファイルの読み込みと保存を⾏うことができます。これらの(フ リーの)ファイル同期アプリのほとんどでは、クラウドにデータが格納されるため、企業はこ の⽅式のデータアクセスの使⽤に乗り気ではありません。今⽇では、オンプレミスストレージ を使って同等の機能を実現する製品がたくさんあります。モバイルデバイス⽤のモバイルファ イル同期アプリも提供されています。 これらのモバイルファイル同期アプリは、サードパーティ製のメールアプリのようなモバイル アプリと同じ技術を使⽤して実現されています。(ここでも)MAM が、ファイル同期アプリの デリバリーと、同期・保存時のアクセスと暗号化の制限/許可ポリシーの設定を⾏うためのアー キテクチャとツールになります。データにアクセスするときに使⽤できるアプリを制限するこ ともできます。データ漏洩を防⽌するため、管理対象外のモバイルアプリからのアクセスは禁 ⽌するとよいでしょう。ほとんどの MAM ベンダーから、ベンダー独⾃のモバイルファイル同 期アプリとファイル同期インフラが提供されています。ファイル同期インフラ、認証、そして データストレージを、SaaS やオンプレミスソリューションとして使⽤することができます。 7.8 WEB ブラウザの保護 ここまでに取り上げたデータアクセス⼿法はすべて、モバイルアプリによって実現されるもの でした。しかし、ますます多くの割合のエンタープライズアプリが、オンプレミス型の、また はクラウドからの SaaS 形式の Web アプリとして、すでに利⽤可能です。安全な Web ブラウ ザも、管理対象のモバイルアプリとして提供され、それを利⽤して社内リソースへの安全なア クセスを実現できます。MAM ⼿法を使⽤してアプリへの安全なアクセスを実現すれば、社内 Web リソースにモバイルデバイスからアクセスできます。その実現には、ある種の VPN トン ネル⼿法が使われますが、その実装はベンダーごとに異なります。このソリューションには、 インターネットから社内リソースへの直接的なアクセスを許可する必要がないという⼤きな利 点があります。MAM システムで必要になるサーバーが、名前解決、URL の書き換え、社内 Web サーバーへの(安全な)アクセスを受け持ちます。ほとんどの MAM ベンダーから、ベン ダー独⾃の安全な Web ブラウザとそのインフラが提供されています。 バージョン 1.2 September 2013 Page 35/ 103 EMM Smackdown 8. ベンダーとその EMM ソリューション 8.1 はじめに この章では、EMM(エンタープライズモビリティ管理)分野の主要ベンダーの概要を理解して いただくため、それぞれのソリューションを(ベンダー名のアルファベット順に)紹介します。 ベンダーの視点から、ベンダー⾃⾝の⾔葉で語られたエンタープライズ管理分野について、理 解を深めていただくことが⽬的です。 注:各ソリューションの説明⽂はベンダーから提供されたものですが、宣伝⽂句はできるだけ 取り除くように⼼がけました。 8.2 AIRWATCH ENTERPRISE MOBILITY MANAGEMENT SUITE 概要 AirWatch(2003 年創業)は、EMM(エンタープライズモビリティ管理)ソリューションの⼤ ⼿プロバイダーです。そのモビリティプラットフォームには、MDM(モバイルデバイス管理)、 MAM(モバイルアプリ管理)、MCM(モバイルコンテンツ管理)、BYOD(私物デバイス持 ち込み)、マルチユーザー管理など、さまざまなソリューションが組み込まれています。従業 員数は 1,200 名以上、そのうち、この業界で最⼤規模の 400 名以上が研究開発に従事していま す。AirWatch のリーダーシップチームと開発チームは、最も⼤規模で、最もグローバルで、最 もセキュリティに配慮している世界中の組織を⽀援することを⽬標に、ソフトウェアを開発し ています。 AirWatch は 6,500 社以上の顧客を抱え、その製品は 50 カ国以上の教育機関、⾦融機関、政府 機関、医療福祉業界、⼩売り業界、運輸業界で採⽤されています。世界各国の顧客数の増⼤に 合わせて、アトランタ、ワシントン DC、イギリス、オーストラリア、インドの 6 カ所にグロー バルオフィスを持ち、シンガポールにも拠点があります。 Airwatch Enterprise Mobility Management Suite は次のソリューションから構成されています。 バージョン 1.2 モバイルセキュリティ - エンタープライズモビリティシステムのセキュリティを実現し、 ユーザー、デバイス、アプリ、コンテンツ、データ、電⼦メール、ネットワークをす べて網羅した総合的なセキュリティで企業情報を保護します。デバイスのリアルタイ ムな監視とコンプライアンスの継続的な監視により、ユーザー、デバイス、企業デー タの安全性を保ちます。 モバイルデバイス管理 - モバイルデバイスの問題解決を可能にします。複雑な事柄から、 セキュリティを犠牲にすることなく、シンプルで総合的でユーザーフレンドリーな解 決策を構築できます。エンタープライズ環境へのデバイスの素早い登録、無線接続経 由でのデバイス設定情報の構成と更新、セキュリティポリシーとコンプライアンスの 適⽤、企業リソースへの安全なモバイルアクセス、管理対象デバイスの遠隔ロックと 遠隔消去を⾏うことができます。また、Android、Apple iOS、BlackBerry、Mac OS、 Symbian、Windows Mobile、Windows Phone の多種多様なデバイス群を、同じコン ソールから管理することができます。 モバイルアプリ管理 - モバイルアプリの⼊⼿、配布、セキュリティ保護、追跡の問題を 受け持ちます。企業⽀給品のデバイス、企業で共同使⽤されるデバイス、従業員の私 September 2013 Page 36/ 103 EMM Smackdown 物のデバイスにある社内アプリ、無料公開アプリ、有料アプリを、同じ中央コンソー ルから簡単に管理することができます。 モバイルコンテンツ管理 - AirWatch Secure Content Locker™(SCL)による、⽂書の 安全な配布と安全なモバイルアクセスを実現します。⼤切なコンテンツを企業コンテ ナの中に⼊れて保護することができます。また、モバイルデバイスから最新の営業プ レゼンテーション、ボードブック、財務報告書に安全にアクセスするための中央ポイ ントを従業員に提供できます。 モバイルメール管理 - 企業電⼦メールインフラの総合的なセキュリティを実現します。 モバイルデバイスからのメールアクセスの制御、データ盗難防⽌、データ暗号化、コ ンプライアンスポリシーの適⽤などを⾏えます。ネイティブメールクライアント、コ ンテナ、エンタープライズサービス、クラウドベースのクライアントに対応していま す。 BYOD - モバイルデバイスのセキュリティと管理性を損なわずに、さまざまなタイプの デバイス、さまざまなデバイス所有権モデルを使⽤できます。柔軟なモデルを使⽤し て、資産管理、ポリシーの適⽤、デバイスの所有者に応じたプロファイルとアプリの 配布を⾏えます。 マルチユーザー管理 - 最も⾰新的なマルチユーザー管理ソリューションを提供し、各種 業界のマルチユーザーデバイス管理の問題解決を⽀援します。企業デバイスのセキュ リティと管理の要件を満たしつつ、ユーザーが必要としているパーソナライズされた 使い勝⼿を実現できます。 アーキテクチャ AirWatch のソリューションには、数百〜数千台のデバイスの配備に対応できるスケーラビリ ティがあり、その堅牢なアーキテクチャは、顧客の環境と要件に合わせて⾃由に構成できます。 このソリューションの構築には業界標準の技術が使われているため、既存の企業アプリととも に簡単に管理を⾏うことができます。また、⾼可⽤性環境への配備を⾏うことができ、ダウン タイムを最⼩限に抑える災害復旧構成に完全対応しています。主な機能は次のとおりです。 バージョン 1.2 スケーラビリティ – アーキテクチャのスケーラビリティが極めて⾼く、10 台〜10 万台 超のデバイスを簡単にサポートできます。また、システムの成⻑に合わせてシームレ スに規模を拡⼤できます。 マルチテナント性 – 企業インフラ内の断⽚化(AD サーバー、フォレスト、ドメイン、 ロケーションの切断など)を吸収し、単⼀のインスタンスにまとめることができます。 構成性 – 中核機能がコンポーネント化されているため、変化する環境やアーキテク チャの要件に合わせてソフトウェアを配備できます。 ⾼可⽤性 – ネットワークロードバランサ、VM HA 技術、サーバークラスタリングを使 ⽤して、アプリサーバーから SQL データベースまでを網羅した完全な⾼可⽤性ソ リューションを実現できます。 災害復旧 – リモートデータセンター上で構築を⾏うことで、災害復旧構成をサポート できます。 柔軟な配備 – クラウドホスティング環境とオンプレミスホスティング環境のどちらで も使⽤できます。 September 2013 Page 37/ 103 EMM Smackdown どちらの配備⽅式であっても、オンプレミス企業リソースとの深い統合を実現できます。 ディレクトリサービス – 認証/グループメンバーシップ⽤の AD/LDAP と統合できます。 証明書と PKI –Microsoft CA、CA、または MSCEP や VeriSign のような SCEP 認証サー ビスプロバイダーとの統合を⾏えます。 o デバイスに証明書を⾃動的に配布し、ユーザーの介在なしにリソースへのアク セスを設定できます。 o 証明書の更新、期限切れが近付いた証明書の確認を⾏えます。 o 証明書管理ダッシュボードから証明書を呼び出して、設定済みの証明書の状態 を詳しく確認できます。 電⼦メールインフラ o プロキシ – Exchange 2007 またはそれ以前、Lotus Domino、Lotus Traveler、 Novell GroupWise、Beehive、およびその他の EAS o PowerShell – Exchange 2010、Office 365/BPOS o Google – Google Apps for Business 企業ネットワーク – Wi-Fi と VPN ネットワークの設定を⾏えます。 ファイルシステム – SharePoint、ファイルサーバー、ネットワークシェアのような既 存のファイルシステムと直接統合できます。 社内アプリ(SDK)– セキュリティ、統合、管理⽤の中核機能を利⽤するビジネスアプ リを構築できます。 API – 既存の IT インフラやサードパーティ製アプリとの統合を⾏えます。 セキュリティ情報&イベント管理(SIEM)– SIEM ソリューションとの統合を⾏い、発 ⽣イベントの詳細な記録をコンソールで確認できます。 ライセンス ライセンスはデバイス単位です。ライセンスモデルは 2 種類あります。サブスクリプションラ イセンスは⽉額制で、先⾏コストがかからず、⻑期的に使い続ける必要もありません。初期投 資を⾏って永久ライセンスを購⼊することもできます。 バージョン 1.2 September 2013 Page 38/ 103 EMM Smackdown サブスクリプションライセンス – デバイス 1 台ごとの⽉額料⾦、保守料⾦込み 永久ライセンス – デバイス 1 台ごとの 1 回かぎりの料⾦、保守料⾦は年間その 20%の ⾦額 配備⽅式 配備⽅式には、AirWatch Cloud への配備、オンプレミス型の配備の 2 種類があります。機 能はどちらもまったく同じです。 AirWatch Cloud AirWatch のソリューションは、共有ホステッド環境と専⽤ホステッド環境のどちらでも利 ⽤することができ、インターネット経由で簡単に活⽤できます。1 つのソフトウェアインス タンスで、オンプレミス配備と同等の安全性とスケーラビリティのあるクラウドソリュー ションを実現できます。 クラウドの特⻑ 1 台〜10 万台超のデバイスに対応できるスケーラビリティ 素早い配備、最⼩限の労⼒ 技術への多額の投資が不要 AirWatch による保守とアップグレード オンプレミス型配備への移⾏が可能 オンプレミス 企業ファイアウォールセキュリティの背後で、または専⽤のソフトウェアアプライアンス として、完全にオンプレミスで配備、管理、保守を⾏うことができます。専⽤ハードウェ ア環境と仮想化環境のどちらでも、柔軟性、スケーラビリティ、制御を実現できます。 オンプレミスの特⻑ 8.3 1 台〜10 万台超のデバイスに対応できるスケーラビリティ エンタープライズサービスとの緊密な統合 ハードウェアとソフトウェアの完全な制御 サイト外へのデータの転送と格納が不要 APPSENSE EMM SUITE 概要 AppSense Enterprise Mobility Management Suite には、モバイルデバイス、アプリ、データ、 電⼦メール、コンテンツの総合的なセキュリティ機能があります。この製品は、(モバイルア プリとモバイルデバイスの管理を実現する)AppSense MobileNow と、(ファイル同期、ファ イル共有、場所を問わない安全なデータアクセスを実現する)AppSense DataNow の 2 つのソ リューションから構成されています。 AppSense MobileNow AppSense MobileNow は、デバイス、アプリ、データのリアルタイムな保護を実現する、業界 初の、そして唯⼀のオンデマンド型エンタープライズモビリティソリューションです。ユー バージョン 1.2 September 2013 Page 39/ 103 EMM Smackdown ザーが必要としている「選択の⾃由度」を損なわずに、IT 部⾨が必要としている「総合的なセ キュリティと制御性」を実現できます。MobileNow には、本当の意味で総合的なエンタープラ イズモビリティ管理を実現するための機能が完全搭載されています。 モバイルデバイス管理(MDM)。MobileNow スイートの他のコンポーネントとシーム レスに、またはそれらと独⽴して配備することのできる、フル機能版の総合的な MDM 機能を提供します。完全開放から厳格な保護までの幅広いデバイス制御を⾏うことが でき、エンドユーザーのデバイスを物理的に扱わずに、リモートコンソールからデバ イス単位のポリシーを適⽤できます。管理コンソールの設定を⾏うだけで、たった 1 回 のクリックでモバイルデバイスからのビジネス情報のアクセスを禁⽌できます。堅牢 な MDM ポリシーを使⽤することにより、100% OTA(無線通信)経由によるエンド ユーザーへのプロビジョニング、監査機能付きの総合的なデバイスポリシーの実装と 管理、Wi-Fi、VPN、電⼦メールなどのデバイス側からのアクセスのリモート設定を⾏ えます。 モバイルアプリ管理(MAM)。アプリのコードやデバイスの OS には⼿を加えずに、 プロビジョニングから利⽤終了までの、アプリとデータの完全なライフサイクル管理 を実現します。エンドユーザーのデバイスにまったく触れずに、中央コンソールから アプリ、データ、コンプライアンス、場所についてのきめ細かなポリシーの定義、設 定、送り込みを⾏うことができます。⾃社開発あるいはサードパーティから提供され たビジネスアプリやデータからユーザーを隔離し、エンドユーザーの満⾜度を完全に ⾼めることができます。強度の弱いデバイスレベルの暗号化⽅式を採⽤していた第 1 世 代の BYOD ソリューションと異なり、AES256 暗号化アルゴリズムを使ってビジネス アプリデータをすべて暗号化できるため、完璧なセキュリティを実現できます。 安全なネイティブ&サードパーティ製メールクライアント。企業電⼦メールに 2 種類の ⽅式でアクセスできます。最初の⽅式では、安全で完全にネイティブなメールクライ アントを使⽤して、企業と個⼈のメールを混在させます。この安全なネイティブメー ルクライアントから、MobileNow の安全でネイティブなメールポリシーを利⽤するこ とで、添付ファイルの暗号化やデータ盗難防⽌を実現します。特定のタイプの添付 ファイルについてのみ暗号化を⾏ったり、承認を受けたビジネスアプリに対してのみ 添付ファイルの共有を許可することができます。MobileNow では、より⾼いセキュリ ティが必要なユーザーのために、安全な最⾼クラスのサードパーティ製メールアプリ も提供されます。また、顧客が選んだサードパーティ製メールアプリを安全にするこ ともできます。これらの安全なメールクライアントには、MobileNow のすべての MAM 制御機能とアプリポリシーが、そのメールクライアントに同化した形で組み込まれま す。たとえば、関連する全データの暗号化、ファイル共有の完全なデータ制御、コ ピー&ペーストのような編集を⾏ったり、「脱獄」デバイス、OS のバージョンの違い、 ブラックリスト登録されたアプリ、現在地、オフライン利⽤,認証、起動制限などの 制御を⾏えます。また、安全なネイティブメールクライアントと安全なサードパー ティ製メールクライアントのどちらについても、いつでもメールの使⽤の禁⽌とその 解除を⾏うことができます。 AppSense DataNow AppSense DataNow は、あらゆる保管先にある企業ファイルに対する、シンプルで安全なアク セス、同期、共有を実現します。独⾃の⼿法により、データの移⾏を⾏う必要はなく、新しい ストレージを⽤意する必要もありません。既存の IT ストレージとユーザー認証インフラをその まま活⽤できるため、シンプルで容易な配備と管理を実現できます。 バージョン 1.2 September 2013 Page 40/ 103 EMM Smackdown 既存のストレージとのシンプルな統合 数分で実装できる仮想アプライアンスを使って、モバイルファイルアクセスを管理す ることができます。DataNow のアプライアンスには、ユーザーのホームディレクト リ、ファイルシェア、Microsoft SharePoint、WebDAV サーバー、FTP サーバーといっ た既存の保管先との接続機能があります。既存のファイルがどこに保管されていたと しても、それらを⼀元的に管理できるため、新しいストレージの調達やデータの移⾏ を⾏わずに済みます。 ユーザーに魅⼒的な、場所を問わないシンプルなデータアクセス DataNow のブローカーが Windows、Mac、iOS、Android、そして HTML5 Web イン ターフェース⽤のネイティブアプリ群と連携して動作します。⼈々を惹き付けた Dropbox のようなサービスと同様の、シンプルなファイル同期とモバイルアクセスを実 現できます。ただし、ファイルはそれぞれの企業と業界のストレージ要件に準拠し、 両⽅とも既存のインフラに格納されることに違いがあります。そのため、セキュリ ティを保ったまま、ユーザーの満⾜度と⽣産性を⾼めることができます。 モバイルデータアクセスのきめ細かなポリシー制御 既存の Active Directory 環境と簡単に統合し、ユーザー管理とユーザー認証を⾏うこと ができます。ファイルに対する既存のアクセス制御をそのまま適⽤しながら、モバイ ルデバイス固有の問題に合わせて、モバイルデータアクセス⽤の総合的なポリシーを 追加できます。 総合的なセキュリティ ユーザーに VPN を使う⼿間をかけさせずに、ファイルの安全性を保つことができます。 クライアントとデータセンター上の DataNow アプライアンスとの間で転送されるデー タは、すべて 256 ビット AES 暗号化を使って保護されます。ユーザーのタブレットや スマートフォンデバイスにダウンロードされたファイルも、すべてデバイス上で暗号 化されます。また、これらのファイルは管理者の側から必要に応じて消去することが できます。 既存のビジネスプロセスを妨害しない 既存のファイルへのシンプルなモバイルアクセスを実現できるだけでなく、ネット ワークドライブ、SharePoint/WebDAV Web インターフェース、FTP クライアントのよ うな従来の⼿法でも、それと同じファイルに引き続きアクセスできます。既存のビジ ネスプロセスはそのままに、ユーザーの⽣産性を⾼める道が開けます。 シンプルで効率的なチームシェアリング 処理能⼒に余裕のあるファイルサーバーを、チームコラボレーション⽤の柔軟なドラ イブとして活⽤し、どの PC、Mac、タブレット、スマートフォンからでも、それらを ⽣産的に使⽤できます。電⼦メールや安全とは⾔えないクラウドサービス経由で、⼤ 切なファイルを頻繁にやり取りしなくても、作業効率を⾼めることができます。 ストレージに縛られない柔軟な⼿法 DataNow は、クローズドなストレージモデルを押し付けずに、安全なモバイルアクセ ス機能を素早く実現できるように開発されています。現在のシステム構成をそのまま 活⽤することができ、将来のパブリッククラウドストレージのような新しい⼿法を、 必要なときに採⽤できる柔軟性を保ち続けることができます。 バージョン 1.2 September 2013 Page 41/ 103 EMM Smackdown アーキテクチャ AppSense の EMM アーキテクチャは、「配備の容易さ/素早さ」と「⼤切な情報の厳重な制御 の必要性」のバランスを重視して開発されています。また、SaaS/オンプレミスのハイブリッ ドモデルと、オンプレミス型の⼿法の 2 種類が採⽤されています。MobileNow の MDM 機能、 MAM 機能、安全な電⼦メール機能は、完全なオンプレミス型と、SaaS ハイブリッドモデルの どちらの形式でも即座に配備することができます。管理者はクラウドにホスティングされたコ ンソールから、デバイスへの OTA 経由のプロビジョニング、エンタープライズアプリストアの 構築と管理、デバイス単位/アプリ単位のポリシーの定義と割り当てといった、さまざまな管理 /レポート機能を実⾏できます。また、ユーザーの側からも SaaS プラットフォームにアクセス し、セルフサービス型の登録/管理機能を利⽤できます。 AppSense の⼿法では、顧客サイト上の侵⼊不可能なスペースを少し占有するだけで、Active Directory のような既存のエンタープライズシステムとのシームレスな統合を実現できます。 DataNow のモバイルファイルアクセス機能とファイル同期機能は仮想アプライアンスから提供 され、この仮想アプライアンスは使われ⽅に応じて、DMZ の中や内部ネットワークの中に簡単 に実装できます(VMware、Hyper-V、XenServer ⽤の仮想アプライアンスがあらかじめ⽤意さ れています)。この DataNow ⽤のアプライアンスには、ファイルサーバーのような既存のファ イル保管先との接続機能があり、Windows、Mac、iOS、Android、HTML5 Web インター フェース⽤のネイティブアプリ群と連携して動作できます。実際に、DataNow では、⼈々を惹 き付けた Dropbox のようなコンシューマクラウドストレージサービスと同様の、シンプルな ファイル同期とモバイルアクセスが実現されています。ただし、ファイルは顧客の既存のイン フラに保管されるため、各企業と業界のストレージの要件を⾒たすと同時に、安全性も保つこ とができます。 DataNow のアーキテクチャには、既存のデータ保管先との接続機能があるため、データの移⾏ を⾏う必要がないという⼤きな特⻑があります。競合他社のほとんどの⼿法では、ベンダーが 提供するクラウドインフラへのデータの移⾏が必要です。たとえオンプレミスストレージ機能 があったとしても、通常は既存の保管先からクローズドなストレージゾーンへのファイルの移 ⾏が必要になります。これに対して DataNow では、今あるデータにアクセスすることができま す。新しいストレージの調達やファイルの移⾏を⾏う必要がないため、実装がシンプルになり、 ユーザーの既存のワークフローをそのまま保つことができます。ユーザーは、たとえ DataNow から新しいモバイルアクセス機能が提供されたとしても、ネットワークドライブのような従来 の⽅法で、ファイルに引き続きアクセスすることができます。 正しい EMM 戦略のもう 1 つの重要な要素である「アプリ間のデータ共有の制御」に対する取 り組み⽅にも、AppSense のソリューション独⾃の特⻑があります。ファイルへの安全なモバ イルアクセスの実現は重要な第⼀歩ですが、実際にはユーザーが特定のデバイスへのファイル の同期を⾏うのは、それらのファイルをそこでローカルに編集できるからです。ほとんどの EMM ⼿法では、信頼の置けないアプリの安全ではない保管先にファイルをコピーすることを許 すか、クローズドなビューアやエディタを強制的に使わせる⼿法が採⽤されています。これに 対して MobileNow では、サードパーティ製の任意のアプリや AppSense 独⾃の DataNow アプ リを、データ共有を厳重に制御するポリシー層でラッピングすることができます。この⽅式で あれは、信頼の置けない野良アプリへの⼤切なデータの漏洩を防ぎつつ、ユーザーが⾃分で選 んだアプリを使って、企業ファイルを⽣産的に扱える⾃由度を実現できます。 AppSense の MobileNow と DataNow は、それぞれ単体でも⼤きな価値がありますが、両⽅を 組み合わせると総合的な EMM ⼿法を実現できます。 バージョン 1.2 September 2013 Page 42/ 103 EMM Smackdown ライセンス AppSense の MobileNow と DataNow は、スタンドアロン製品としてそれぞれ個別に購⼊する ことができますが、EMM(エンタープライズモビリティ管理)スイートライセンスの形でセッ ト販売もされています。 AppSense の EMM スイートは、ユーザーあたりの年間サブスクリプションライセンス制で提供 されます。その中には、ソフトウェア使⽤権、継続的アップデート料⾦、年額⼀律のサポート 料⾦が含まれています。ライセンスを購⼊した各ユーザーは、MobileNow と DataNow をデバ イス台数の制限なしで使⽤できます。 スタンドアロンソリューションとしての AppSense MobileNow は、ユーザーあたりのサブスク リプションライセンスとデバイスあたりのサブスクリプションライセンスの 2 種類のライセン ス制で提供されます。どちらのライセンスについても、ソフトウェア使⽤権、継続的アップ デート料⾦、年額⼀律のサポート料⾦が含まれています。ユーザーあたりのライセンスにはデ バイス台数の制限はありません。 スタンドアロンソリューションとしての AppSense DataNow は、ユーザーあたりのサブスクリ プションライセンス制で提供されます。その中には、ソフトウェア使⽤権、継続的アップデー ト料⾦、年額⼀律のサポート料⾦が含まれています。このライセンスにはデバイス台数の制限 はありません。 8.4 CISCO MERAKI SYSTEMS MANAGER 概要 Cisco Meraki Systems Manager は、モバイルデバイス、Windows デバイス、Mac OS X デバイ ス⽤の、クラウドベース(SaaS 型)のデバイス管理ソリューションです。Systems Manager は使いやすいブラウザベースのフリーウェアのダッシュボードです。 Systems Manager では、iOS、Android、Mac OS X、Windows PC デバイス上のアプリの中央 管理を⾏うことができます。必要なソフトウェアをインストールすると、管理対象のデバイス がダッシュボードに表⽰されます。iOS、Android、Kindle へのモバイルアプリの配備も⾏えま バージョン 1.2 September 2013 Page 43/ 103 EMM Smackdown す。Systems Manager には、Google Play、Amazon Appstore for Android、Apple App Store、 Apple’s Volume Purchase Program との統合機能があります。 組織が管理しているモバイルデバイスにポリシー適⽤を実施します。デバイスとそのデータを 保護し、その使われ⽅をきめ細かなパスコードポリシーで制御し、アプリストア、ゲーム、コ ンテンツへのアクセスを制限します。Systems Manager であれば、ワイヤレス接続などのネッ トワークの設定、セキュリティの設定、リモート VPN アクセスを簡単に定義し、それらをネッ トワーク上のすべてのデバイスに⼀度に転送できます。 ノート PC やモバイルデバイスが世界のどこにあっても、今どこにあるかを追跡できます。 Systems Manager にはソフトウェア⽬録の管理機能があり、マルチプラットフォーム環境で あっても、ソフトウェアライセンスを簡単に管理できます。管理対象のデバイスにインストー ルされたすべてのソフトウェアとアプリについての詳しい情報を検索・参照ができます。 ⽂書とファイルを、Cisco Meraki ダッシュボードに統合された仮想リュックサックの中に格納 します。リュックサックの中のコンテンツを、1 台〜数千台のデバイスに OTA 経由でシームレ スに送信できます。Systems Manager を使って、ファイルや⽂書をサーバー上の最新版のもの と簡単に同期できます。 デバイスにタグを付けると、コンテンツの管理と配布が簡単になります。配布先の別々のクラ ス、別々の部署、別々のグループに合わせて、別々のリュックサックを⽤意します。Systems Manager が、適切なデバイスに適切なコンテンツを⾃動的に渡してくれます。 Meraki ネットワーク製品群との完全な統合 Cisco Meraki のクラウドアーキテクチャは、WAN、LAN、無線 LAN、モバイルデバイスの⼀元 管理を可能にする、業界唯⼀の総合的なソリューションを実現します。MX セキュリティアプ ライアンス、MS スイッチと MR 無線 LAN、そして Systems Manager を組み合わせて、ネット ワークの中枢から末端まで、さらにはクライアントデバイスまでの、総合的な可視性と制御を 実現します。 ライセンス Cisco Meraki Systems Manager は無料です。ユーザー数やデバイス台数の制限はなく、電⼦ メールによる簡単なサポートを受けられます。無線 LAN 機器、スイッチ機器、セキュリティ機 器をご購⼊いただいた Cisco Meraki のお客様は、電話によるサポートも利⽤できます。 8.5 CITRIX XENMOBILE 概要 Citrix XenMobile には次の 3 種類のエディションがあります。 XenMobile Enterprise XenMobile App Edition XenMobile MDM Edition XenMobile は、総合的なエンタープライズモビリティ管理ソリューションです。ユーザーは⾃ 分のデータ、モバイルアプリ、Web/SaaS アプリ、Windows アプリ、Windows デスクトップに Citrix Worx アプリ経由でアクセスできます。 バージョン 1.2 September 2013 Page 44/ 103 EMM Smackdown XenMobile には、すべてのアプリ、データ、デバイスのプロビジョニングと制御をユーザーの アイデンティティ別に⾏う機能があります。この機能を利⽤することで、適切な権限を持つ ユーザーだけにアプリを利⽤させる、退職した従業員のアカウントを⾃動的に抹消する、盗 難・紛失されたデバイス上のデータとアプリを遠隔消去するなど、ポリシーに基づく制御を 使って企業のアプリとデータを保護することができます。 XenMobile MDM Edition と XenMobile Enterprise にはモバイルデバイス管理機能があり、企業 ⽀給品のデバイスと従業員の私物のデバイスのどちらに対しても、ロールベースの管理、設定、 セキュリティ機能を提供できます。ユーザーのデバイスが登録されたときのポリシーとアプリ のデバイスへの⾃動転送、アプリのブラックリスト登録とホワイトリスト登録、脱獄デバイス の検出と隔離、盗難・紛失されたデバイスやコンプライアンス違反のデバイスの全消去や選択 的消去を⾏えます。ユーザーは使⽤するデバイスを⾃由に選ぶことができ、IT 部⾨は企業資産 のコンプライアンスと、デバイス上の企業コンテンツの安全性を保つことができます。 XenMobile の主な機能は次のとおりです。 エンタープライズ MDM デバイスの管理、Active Directory とのリアルタイムな統合 ポリシーの設定、セキュリティ、コンプライアンス スケーラビリティと⾼可⽤性、管理のしやすさ プロビジョニングとセルフサービス⽅式の登録 エンタープライズ統合、監視とサポート デバイスの登録抹消 統合アプリストア バージョン 1.2 モバイルアプリのデリバリー Web/SaaS アプリのデリバリー Windows アプリのデリバリー(XenDesktop/XenApp の顧客⽤) September 2013 Page 45/ 103 EMM Smackdown Follow-me アプリ 電⼦メール、ブラウザ、データ共有アプリの保護 Citrix WorxMail、電⼦メール暗号化 Citrix WorxWeb、Citrix ShareFile との統合 Microsoft SharePoint との統合 Citrix GoToAssist との統合 モバイルアプリコンテナ モバイルアプリの管理 アプリのラッピング アイデンティティ管理、シングルサインオン、シナリオに基づくアクセス制御 AD 証明書の利⽤、アプリとデータの即時プロビジョニング アプリやデータへのシングルサインオン、アプリ要求 アプリとデータの即時プロビジョニング解除 XenMobile のエディションの違い XenMobile には、XenMobile Enterprise に加えて、XenMobile MDM Edition と XenMobile App Edition の 2 種類のエディションがあります。MDM Edition にはエンタープライズ MDM 機能が、 App Edition には統合アプリストア、⽣産性アプリ、モバイルアプリコンテナ、SSO 機能が含ま れています。エディションの違いを以下の表にまとめます。 MDM Edition モバイルデバイスのセキュリティ設定と プロビジョニング ワンクリック型のライブチャットとサポート SharePoint とネットワークドライブへのアクセス モバイル Web ブラウザの保護 アプリ別のマイクロ VPN メールアプリ、カレンダーアプリ、連絡先アプリの保護 あらゆるモバイルアプリのエンタープライズ対応化 Windows アプリのシームレスな統合 統合企業アプリストア 多段階シングルサインオン ⽂書共有、同期、編集の保護 クラウドデータストレージとオンプレミスデータ ストレージの両⽅式への対応 App Edition • • • • Enterprise Edition • • • • • • • • • • • • • • • • • • • • • アーキテクチャ XenMobile のメインコンポーネントは App Controller です。App Controller は、Web アプリ、モ バイルアプリ、SaaS アプリ、ShareFile ⽂書の集約と制御、そしてあらゆるユーザーのあらゆ バージョン 1.2 September 2013 Page 46/ 103 EMM Smackdown るデバイスへのデリバリーを⾏います。App Controller を使⽤すると、あらゆるデバイスからの、 アプリに対する⼀元的なアクセス/セルフサービスポイントをユーザーに提供できます。App Controller には、状況に応じた制御や、サポート対象のアプリのユーザーアカウントの⾃動プロ ビジョニングを⾏う機能もあります。ユーザーはセルフサービスで⾃分のアプリや⽂書にアク セスできます。 もう 1 つの主要なコンポーネントに XenMobile Device Manager があります。Device Manager は、モバイルデバイスの管理、モバイルポリシーとコンプライアンスルールの設定、モバイル ネットワークの参照、モバイルアプリとデータの制御、 モバイル攻撃からの企業ネットワーク の保護を実現します。「ワンクリック」型のダッシュボード、シンプルな管理コンソール、そ して Microsoft Active Directory、PKI、SIEM(セキュリティ情報&イベント管理)システムなど のエンタープライズインフラとのリアルタイムな統合機能により、モバイルデバイスをシンプ ルに管理することができます。 この他に次のコンポーネントもあります。 NetScaler Gateway は、(アプリへの)安全なアクセスを実現するソリューションです。 アプリ別のきめ細かなポリシーとアクションの制御を可能にし、ユーザーがどこから でも仕事ができるようにしつつ、アプリやデータの安全な利⽤を実現します。 MDX Toolkit には、Mac OS X バージョン 10.7 以降のデバイスにインストールすること のできるソフトウェアアプリが含まれています。このツールを使うと、iOS や Android の署名のないモバイルアプリを、署名付きの MDX ファイルに変換し、その中にポリ シーフレームワークとデフォルトのポリシーセットを埋め込むことができます。これ を利⽤して、App Controler から、変換済みの各アプリの設定、安全な配布、管理を⾏ うことができます。 Citrix Worx Home は、ユーザーが App Controller を利⽤して、⾃分のアプリとデータに アクセスできるようにするために、ユーザーデバイスにインストールされるクライア ントソフトウェアです。 XenMobile には Citrix StoreFront との連係機能もあります。Citrix StoreFront は既存の Citrix XenApp 環境や Citrix XenDesktop 環境と統合され、セルフサービス型の統合ストアフロントか らの、あらゆるデバイスへの Windows アプリと仮想デスクトップのデリバリーを実現します。 XenMobile と StoreFront を連携させると、Windows アプリと仮想デスクトップだけに留まらず、 Web アプリ、SaaS アプリ、モバイルアプリ、ShareFile までをも網羅した、統⼀的なアプリス トアを実現できます。 ライセンス XenMobile には、ユーザーあたりのライセンスとデバイスあたりのライセンスの 2 種類のライ センスモデルがあります。ユーザーあたりのライセンスは、このソフトウェアを利⽤するユー ザーの総数に上限を設けるもので、使われるデバイスの台数には制限はありません。これに対 して、デバイスあたりのライセンスでは、このソフトウェアを利⽤するデバイスの総数に上限 が設けられます。XenMobile は永久ライセンスか年間ライセンスのどちらかで利⽤することが できます。 XenMobile MDM と XenMobile App Edition は単独の製品として購⼊できます。XenMobile MDM には、セキュリティ保護機能と SMB およびエンタープライズ向けの簡単に使えるモバイルデバ イス管理機能があります。この製品はクラウドサービスとしても利⽤できます。XenMobile バージョン 1.2 September 2013 Page 47/ 103 EMM Smackdown App Edition にはモバイルアプリ管理機能があり、ネイティブモバイルアプリのデリバリーと、 ユーザーのあらゆるデバイスでの安全なメールアプリとブラウザアプリの使⽤を実現します。 8.6 GOOD FOR ENTERPRISE Good for Enterprise の機能は次のとおりです。 組織内のほぼすべてのモバイルの管理と制御 モバイル電⼦メールの保護と従業員の安全なコラボレーション カレンダー、連絡先、予定などへの安全なアクセス ⼆要素認証、S/MIME による電⼦メールの署名と暗号化 安全なブラウザによる、企業イントラネットサイト、アプリ、データ(SharePoint な ど)への VPN を使わないアクセス モバイルアプリとデータの中央への安全な集約と制御 Good Dynamics の機能は次のとおりです。 モバイルでのインスタントメッセージ(IM)とプレゼンスの使⽤(Good Connect) 企業ファイアウォールで守られた SharePoint などのファイルサーバー上にあるファイ ルの利⽤、同期、共有(Good Share) 強⼒な⼆要素認証、S/MIME による電⼦メールの署名と暗号化による安全なメールアク セス(Good Vault) 社内で利⽤したいアプリへの簡単なアクセスを実現する、エンタープライズアプリス トア機能(App Central) 安 全 な モ バ イ ル ア プ リ の 提 供 、 ア プ リ デ ー タ の 総 合 的 な 保 護 ( Good Dynamics Marketplace) 概要 Good Technology は 、カ リ フ ォルニ ア 州 サニー ベ ー ルに拠 点 を 置く企 業 で す。Good for Enterprise(GFE)はモバイルコラボレーションをサポートするモビリティスイートであり、 強⼒なセキュリティ機能と管理機能があります。Good 社の製品ポートフォリオには次のよう なスイートが含まれています。 バージョン 1.2 September 2013 Page 48/ 103 EMM Smackdown Good for Enterprise。MDM、ローカルデータストア、安全な(イントラネット)ブラ ウザ、安全なワイヤレス電⼦メール、PIM を実現。 Good Dynamics。開発(SDK)、コンテナ化されたアプリの保護と配備を実現。 Good Boxtone。モバイルライフサイクル管理、モバイルサービス管理、モバイルアプ リ管理、モバイルアプリ分析を実現。 Good for Enterprise(GFE)の管理・セキュリティ機能を利⽤するには、デバイスへの Good Mobile Messaging クライアントのインストールが必要です。このクライアントによって、企業 ファイアウォールの内側にある企業イントラネットサイト、アプリ、データへの、VPN インフ ラを必要としない安全なアクセスが可能になります。さらに、Good Vault を導⼊すると、 Common Access Card との統合機能や、S/MIME のようなセキュリティ機能も組み込むことが できます(S/MIME は GFE の内部でもサポートされ、電⼦メールの署名や暗号化に利⽤されま す)。 Good for Enterprise は、モバイルデバイスに対する強⼒なセキュリティ機能を望んでいる企業 や、ビジネス情報と個⼈情報を混在使⽤することの法的責任が⼼配な⼈々におすすめの製品で す。 Good Dynamics を利⽤すると、豊富にある Good Dynamics ⽤のサードパーティ製のアプリを 利⽤したり、(カスタムメードの)アプリを作成して、モバイルデバイス上の安全なコンテナ の中に配備したりすることができます。Good 社が特許を持つ App-Kinetics 技術により、GFE と Good Dynamics ⽤アプリとの間で(さらには Good Dynamics ⽤アプリどうしの間でも)、 データを安全に転送できます。シングルサインオンによって、安全なコンテナどうしの間で シームレスなデータ共有を⾏えるように、ポリシーを設定することもできます。また、専⽤に 開発された Good SDK を利⽤すると、独⾃の“Good”アプリを開発して社内で内部公開したり、 Veracode 社によるセキュリティチェックを受けたうえで「アプリストア」から配信することが できます。 アーキテクチャ Good 社のアーキテクチャは、主にオンプレミス Good サーバーと、Good 社によって運営され るデータセンター、Network Operations Center(NOC)の 2 つのコンポーネントから構成され ています。この 2 つが組み合わさることで、Good 社の技術の基盤になる総合的なセキュリティ ソリューションが実現されます。 バージョン 1.2 September 2013 Page 49/ 103 EMM Smackdown オンプレミス部の最⼩構成は、Good Mobile Messaging サーバー(GMM)と Good Mobile Control サーバー(GMC)の 2 つです。この両⽅のアプリを同じ 1 台のサーバーにインストー ルすることができます。 Good Mobile Manager(GMM)は、企業⽀給品と私物のスマートフォンやタブレットの管理を ⾏います。 Good Mobile Control Console(GMC)は、Web ベースのメインコンソールを提供します。この コンソールから、システムへのユーザーとデバイスの登録、デバイス管理ポリシーの設定、設 定済みのデバイスの監視を⾏うことができます。 GMM サーバーで作成されるのは、NOC へのアウトバウンド暗号化接続だけです。インター ネットからのインバウンド接続は作成されないため、DMZ 内へのサーバーの設置は必要なく、 推奨もされません。GMM サーバーから NOC への初期セッションはアウトバウンド⽅向のみで 確⽴されるため、このサーバーはネットワーク上の通常のプロキシクライアントとして振る舞 います。管理する必要のあるモバイルには、OTA(無線通信)ポリシーを使⽤してプロビジョ ニングを⾏うことができます。メールボックスのプロビジョニングが⾏われる場合は、⼿順と PIN コードが書かれた通知メールがユーザーに送られます(必要であれば、この機能を無効に して、エンドユーザーに別の⽅法で情報を提供することもできます)。この仕組みによって、 ユーザーは「アプリストア」からモバイルアプリのインストールを⾏い、オンプレミス GMM サーバーとの間の NOC 経由の AES 256 ビット暗号化接続を確⽴できます。このモバイルから GMM へのモバイル暗号化接続を使って転送されるデータは、最⾼クラスの暗号モジュールを 使ってチェックされ、保存データと転送データの保護が⾏われます(FIPS 140-2)。モバイル デバイス側と GMM 側で暗号鍵が⽣成されるため、NOC 上には鍵はまったくありません。その ため、ハッカーがトラフィックの内容の復号化や盗み⾒を⾏う危険性はありません。NOC は、 モバイル⽤の接続ポイントとして、およびデータセンター経由の接続経路として機能します。 Good for Enterprise Good for Enterprise は、セキュリティを犠牲にすることなく、従業員の⽣産性と満⾜度の向上 を実現する、安全なモバイル電⼦メール・コラボレーションスイートです。従業員はどのデバ イスからでも、直感的に扱える統⼀的な操作⽅法で、業務⽤の電⼦メール、⽂書、連絡先、カ レンダー、スケジュール、イントラネットにアクセスできます。モバイル上の Good アプリは、 ⾒た⽬はネイティブアプリと同じですが、その中にはより多くの機能が盛り込まれています。 Good for Enterprise では、安全な(暗号化された)コンテナを使ってビジネスデータが従業員 の個⼈的な情報から隔離されるため、デバイス上で使⽤中や保管中の企業データを保護するこ とができます。また、さまざまなポリシーや設定を使って、管理対象/管理対象外のデバイスに 対する企業ポリシーを実装し、デバイスの紛失・盗難時のデータ漏洩を防⽌することができま す。 バージョン 1.2 September 2013 Page 50/ 103 EMM Smackdown Good Dynamics Good Dynamics スイートは次のコンポーネントから構成されています。 Good Vault は、Good for Enterprise に強⼒な⼆要素認証と S/MIME による電⼦メールの署名・ 暗号化機能を取り⼊れるための製品です。これにより、メールアクセスの保護、メッセージの 盗み⾒と改ざんの防⽌、データ保護の強化を実現できます。ユーザーの鍵と証明書をスマート カードや microSD に保管できるので、モバイルのフォームファクタやユーザーの使い勝⼿が犠 牲になることはありません。 C スイート⽤の機能 o 強⼒な⼆要素認証(PIN、セキュアエレメントカード)による企業データの保 護 o S/MIME*暗号化とセキュアエレメント内に保管された証明書によるデータ漏洩 防⽌ o 最⾼レベルの標準と法令への準拠 o HSPD-1、FIPS、FFIEC、PCI-DSS、HITEC、HIPAA などへの準拠 IT マネージャ⽤の機能 o スマートフォンへの、デスクトップやノート PC と同じレベルのメール/データ セキュリティの適⽤ o 重い(または使い勝⼿の悪い)外付けのカードリーダーが不要な、カードを 使ったアイデンティティ管理 o PIV/CAC カード上や microSD カード上のセキュアエレメントのサポート o これまでの投資を無駄にしない、既存の PKI 環境との統合 o モバイル IAM のセキュリティと情報保証の要件への適合 モバイルワーカー⽤の機能 o 社外でも⽣産性を保つことのできる、モバイルデバイス上での安全なコラボ レーション o 群を抜いた便利さ、使いやすさ、可搬性 o 電話機のデザイン性を損なわないカードリーダーの使⽤ Good Connect は、通信やコラボレーションに利⽤できる、企業向けの IM(インスタントメッ セージ)/プレゼンスアプリです。VPN を使ったり、ファイアウォールに⽳を開けたり、DMZ 内にサーバーを設置したりしなくても、(Lync、OCS、Lotus Sametime のような)企業 IM プ ラットフォームをモバイルデバイスで利⽤可能にすることができます。 バージョン 1.2 従業員向けの主な機能 o 個⼈的な連絡先と IM のプライベート性の保持 o 同僚の在席状態、連絡を取り合えるかどうかのリアルタイムな確認 o 最適な連絡⽅法(IM、電⼦メール、電話)の選択 o アプリがバックグラウンドで実⾏中のときもメッセージを受信 September 2013 Page 51/ 103 EMM Smackdown o 連絡先の素早いブロックや削除 o 企業名簿からの連絡先の検索 o 会話画⾯での複数のチャットの管理 o オフラインでも、機内モードでも会話履歴を検索 IT 部⾨向けの主な機能 o 強⼒な暗号化による、使⽤中や保管中の企業データの保護 o ファイアウォールにポートを開けたり、DMZ 内にサーバーを設置することなく、 企業ネットワークの安全性を確保 o (強⼒なパスワードの強制など)きめ細かなセキュリティポリシーの設定 o データ漏洩防⽌(カット/コピー/ペーストの禁⽌、仕事⽤と個⼈⽤の連絡先の 分離) o 個⼈的な情報を残したまま、企業データだけに対する遠隔ロックと遠隔消去 Good Share は、SharePoint や企業ファイルシェアへの素早く簡単なアクセスを実現します。 どちらの場合も、安全な転送と安全なストレージを使って、企業のデータとリソースを保護す ることができます。VPN の使⽤、ファイルウォールの設定変更、ファイルストアの追加を⾏わ ずに、即座に従業員による企業⽂書の利⽤、同期、共有を実現できます。 主な機能 o 企業情報⽤と個⼈情報⽤のコンテナを分けることによるデータセキュリティの 実現 o NOC 上でのデバイスとの間の AES 暗号化転送による転送データの保護 o きめ細かなポリシー制御による⽂書操作の管理 o 個⼈的なデータを残したまま、企業データだけに対する遠隔消去 o メール、⽂書エディタなどへの安全なアクセスによるモバイル⽣産性の向上 AppCentral は、エンタープライズアプリストア機能を提供します。ユーザーはこのアプリスト アから、社内で利⽤したいサードパーティ製アプリ、Good Technology アプリ、企業の独⾃ア プリに簡単にアクセスすることができます。そのインターフェースは親しみやすく、Apple App Store や Google Playstore のインターフェースを使って、社内で承認を受けたアプリの参 照とインストールを⾏うことができます。アプリストア上でアプリに点数を付けたり、そのア プリについてのフィードバックを返すこともできます。 Good Dynamics Marketplace は、安全な(カスタムメードの)モバイルアプリの素早いデリバ リーを⾏いたい企業のための総合ソリューションです。独⾃開発のアプリに(Good 社の主張 によると)業界で傑出したレベルのセキュリティ層を組み込んで、素早くリリースすることが できます。この⽅式を採⽤することで、アプリからの企業データへのアクセスと、包括的な暗 号化による、そのデータのセキュリティ保護の課題を克服できます。配備されるアプリは暗号 化されたローカルコンテナとして振る舞うので、企業データの安全性を保ち、Dropbox や SkyDrive のような⼀般向けアプリに情報がコピーされることによるデータ漏洩を防⽌できます。 バージョン 1.2 September 2013 Page 52/ 103 EMM Smackdown 主な機能 あらゆるアプリのコンテナ化。ソースコードがなくても、(AppWrapping を使って) 独⾃アプリに暗号化機能とポリシー制御機能を素早く組み込むことができます。 安全なアプリ間通信。特許出願中のアプリ間通信技術(App-Kinetics)を利⽤して、 (open in などの)Good Dynamics ⽤アプリどうしの間や Good for Enterprise との間の ⽂書転送を⾃動的に保護することができます。 ポリシー制御の実現。脱獄やルート化の検出、パスワード、ロック/消去、コンプライ アンス、アプリ固有のカスタムポリシー、DLP(データ漏洩防⽌)といったセキュリ ティ制御をアプリ別に適⽤できます。 ポリシーの動的変更。アプリの更新を⾏わずに、OTA 経由でいつでもポリシーを変更 できます。 クロスプラットフォームセキュリティ。iPhone、iPad、Android フォン、タブレット⽤ のアプリに加えて、HTML5 ⽤のアプリについても制御を⾏えます。 セキュリティ攻撃の防⽌。脱獄の検出とアプリ/デバイスの認証チェックにより、悪意 のあるアプリやマルウェアをブロックできます。 安全なインフラ。転送されるアプリデータの⾃動的な暗号化、ファイアウォールの外 側でのアプリごとの認証を実現できます。 フォルトトレランス性。HA/DR(⾼可⽤性/災害復旧)機能により、システムダウンを 防⽌し、性能を向上させることができます。 総合的アプリライブラリ。Good Dynamics のモバイルアプリセキュリティプラット フォーム上で構築された、いろいろなビジネスニーズを満たすさまざまなアプリをす ぐに利⽤できます。 ライセンス Good for Enterprise では、サーバーあたりおよびデバイスあたりの永久ライセンス制(CAL) が採⽤されています。サポートは年間(または複数年間)料⾦制です。Good Dynamics はデバ イスあたりおよびアプリあたりの年間サブスクリプション制(サポート料⾦込み)です。サー バーライセンスが付属しています。サードバーティ製アプリのライセンス制は ISV によります。 8.7 MAAS360 BY FIBERLINK MaaS360 は、ユーザー、デバイス、⽂書、アプリ、Web、使⽤コストを網羅した、総合的なエ ンタープライズモビリティ管理プラットフォームです。MaaS360 の製品ラインアップは次のと おりです。 バージョン 1.2 MaaS360 Mobile Device Management MaaS360 Mobile Application Management MaaS360 Application Security MaaS360 Mobile Content Management MaaS360 Secure Mail MaaS360 Secure Browser September 2013 Page 53/ 103 EMM Smackdown MaaS360 Enterprise Gateway MaaS360 Mobile Expense Management MaaS360 Laptop Management 概要 MaaS360 は、ユーザーの使い勝⼿、データセキュリティ、データプライバシーを損なわずに、 私物や企業⽀給品のモバイルデバイスからの、企業リソースや企業データへの安全なアクセス を実現します。MaaS360 には、デュアルペルソナ⼿法、マルチプラットフォーム対応、セルフ サービス登録、OTA(無線通信)構成のカスタマイズ、ポリシーの⾃動適⽤、アプリと⽂書の 安全な配布などの機能があり、柔軟性が⾮常に⾼い BYOD を実現できます。また、いろいろな 製品モジュールやバンドル製品があるため、各企業のモビリティの要件を効果的に満たすこと ができます。 ただのモバイルデバイス管理に留まらない機能 MaaS360 は、モバイルデバイスを管理するための、総合的な管理機能とセキュリティ機能を提 供します。OTA 経由の登録、設定、セキュリティポリシーの管理、遠隔操作といった、必要な 機能がすべて搭載されています。 先進の MDM 機能には、次のようなものがあります。 コンプライアンスの⾃動監視と脅威の軽減 – 監視とルールに基づく対処。コンプライ アンスルール(OS のバージョン、暗号化のサポート、アプリのコンプライアンス、脱 獄/ルート化の状態、登録状態、SIM ⼊れ替え)。イベントの記録。コンプライアンス 違反が検出されたときの⾃動処理(通知、デバイスの使⽤制限、消去)。 場所に基づくポリシー – 場所やネットワーク接続に応じたポリシーの動的割り当て。 デバイスが特定の場所の中に⼊ったときや、そこから出たときに、そのことを⾃動的 に検出し、特定の操作(通知、ポリシー切り換え、消去)を⾏うことができます。 BYOD プライバシーの設定 – 特定の 1 台のデバイス、すべてのデバイス、特定のデバ イスグループについて、個⼈情報(アプリの情報、場所の情報、ネットワークの情報) の⾃動収集を無効にできます。 エンタープライズ統合 – Microsoft Exchange、Microsoft Office 365、Gmail、Active Directory 、 LDAP 、 Lotus Traveler 、 認 証 局 な ど の エ ン タ ー プ ラ イ ズ シ ス テ ム へ の MaaS360 Cloud Extender のシームレスな統合。NAC、SIEM、TEM のようなサード パーティ製の IT インフラシステムをはじめとする、他のシステムとの統合を実現する 堅牢な API セットが⽤意されています。 モバイルアプリの管理と保護 MaaS360 には、プライベートなアプリ、パブリックなアプリ、購⼊されたアプリのモバイルデ バイスへの配布、更新、管理を遠隔操作で⾏う機能があります。MaaS360 App Catalog がデバ イス上のエンタープライズアプリストアになり、ユーザーはそこから簡単にアプリの参照とイ ンストールを⾏ったり、更新の通知を受けたりすることができます。 バージョン 1.2 管理対象のアプリの選択的削除 アプリのブラックリスト登録とホワイトリスト登録 アプリの⽬録、バージョン、コンプライアンスの監視 September 2013 Page 54/ 103 EMM Smackdown ⼤量購⼊のサポート アプリのコンプライアンス違反とその対処の詳細レポートの表⽰ スケーラブルなホスティングと配布を実現する MaaS360 App Cloud(オプション機能) MaaS360 では、(ラッピングを⾏うか SDK を使うことで)企業の独⾃アプリやサードパー ティ製のアプリをコンテナ化し、それらにアプリ別のポリシーを適⽤できます。これにより、 データ漏洩を防⽌したり、認証を強制したり、カット/コピー/ペーストを制限したり、オンラ インサービスへのデータコピーを禁⽌したり、ポリシー違反が発⽣したときに通知を送ったり、 アプリを削除したり、デバイスの内容を消去したりといったことが可能になります。コンプラ イアンスが完全に守られていないと、アプリの起動や実⾏を⾏えないようにすることもできま す。たとえば、アプリ検疫機能を使うと、次のことをアプリを実⾏するための条件にすること ができます。 1. デバイスが現在のポリシーに従っている 2. ユーザーに適切な権限がある 3. アプリが改ざんされていない 4. アプリがブラックリストに登録されていない 5. アプリが MaaS360 のアプリ評価モジュールでマルウェアに認定されていない 企業⽂書の配布 MaaS360 Mobile Content Management は、コンテンツ管理ツール、セキュリティツール、⽣産 性ツールがセットになったもので、モバイル⽂書の中央制御、アクセス制御、配布、ポリシー などの機能があります。その中の 1 つである MaaS360 Doc Catalog は、デバイス上のパスワー ドで保護されたコンテナであり、安全でシンプルな⽂書の利⽤、参照、共有を実現します。 MaaS360 で管理される⽂書に対しては、編集、バージョン制御による管理、監査、有効期限の 設定を⾏うことができます。 DLP(データ漏洩防⽌)ポリシー機能を使うと、ユーザー単位で認証を強制したり、コピー/ ペースト機能を制限したり、⽂書を他のアプリで開くことや共有することを禁⽌することがで きます。MaaS360 は SharePoint、ファイルシェア、ネットワークドライブのような企業⽂書の 保管先と統合されます。オプションの MaaS360 Document Cloud を利⽤すると、スケーラブル なホスティングと配布を実現できます。 データの安全性を⾼めるデュアルペルソナ機能 MaaS360 Secure Productivity Suite は、スタンドアロンの安全なオフィス⽣産性アプリです。 ユーザーはこれを利⽤して、メール、カレンダー、連絡先の利⽤と管理を⾏うことができます。 このアプリには、データの漏洩を防⽌する、メールと添付ファイルの制御機能があります。た とえば、他のアプリへの内容の転送や移動を制限したり、認証を強制したり、コピー/カット/ ペーストを制限したり、⽂書をロックしたりすることができます。 バージョン 1.2 メールの本⽂と添付ファイルの保護(他のアプリとの共有の禁⽌) 添付ファイルのポリシー制御、メールアプリの外部からの添付ファイルの消去 (従来の安全なメールベンダーのような)インラインメールインフラを使わずに、総 合的な制御を実現 September 2013 Page 55/ 103 EMM Smackdown Fiberlink データセンター経由でメールを「流さない」 パスコードによる有効期限付きの保護、オフラインでのコンプライアンスチェック後 にメールへのアクセスを許可、FIPS 140-2 に準拠した AES-256 暗号化 「添付ファイル抽出」に対する優れたメールセキュリティ iOS と Android の両⽅に対応 ⾃社製およびサードパーティ製のラッピングされたアプリに対応 アーキテクチャ MaaS360 プラットフォームは、IT 管理者のためのオープンで、拡張性があり、変化に対応でき る、マルチテナント型のプラットフォームです。SaaS アプリとして提供され、ホステッド型 のクライアント/サーバーアーキテクチャにおけるモビリティの安全な管理を実現します。 このプラットフォームは、企業のモバイルデバイスやモバイルテータのアクセス、制御、保護 を実現する、エンタープライズモビリティ管理ソリューションを提供します。 管理者は単⼀の管理コンソールから、デバイスの登録、コンプライアンスルールと通知の設定、 ポリシーの設定と割り当て、対話型のダッシュボードとレポートの参照、そして⾼度な検索を ⾏うことができます。MaaS360 のアーキテクチャには、堅牢な API(アプリプログラミングイ ンターフェース)も搭載されています。 MaaS360 Cloud Extender には、Exchange ActiveSync(EAS)、Active Directory、LDAP、 Lotus Traveler、BlackBerry Enterprise Server、認証局などのエンタープライズシステムとの安 全な統合機能があります。MaaS360 Cloud Extender は特許技術であり、インフラ内の重要なシ ステムと MaaS360 プラットフォームとの、価値ある簡単で安全なプラグ&プレイ型の統合を 実現します。 次のシステムとの統合がサポートされています。 バージョン 1.2 Exchange ActiveSync and Traveler – Cloud Extender には、メールシステムに接続して いる既存のデバイスを即座に確認する機能があります。また、⾃動検疫機能により、 新しいデバイスからの権限のない接続を阻⽌することができます。 Active Directory と LDAP – Cloud Extender を利⽤すると、AD/LDAP 認証を使⽤したセ ルフサービス登録を実現できます。また、ポリシー、アプリ、⽂書の割り当てと配布、 およびロールベースの管理アクセスを⾏うためのグループ分けを⾏うことができます。 認証局 – Cloud Extender を利⽤すると、ワイヤレスプロファイル、VPN プロファイル、 メールプロファイルへのデジタル証明書の⾃動プロビジョニングを⾏うことができま す。 BlackBerry Enterprise Server – Cloud Extender には、BlackBerry Enterprise Server( BES)の API を使⽤して、BlackBerry デバイスの完全な参照と制御を実現する機能があ ります(BlackBerry 10 デバイスへの対応も進⾏中です)。 Mobile Enterprise Gateway – Cloud Extender を利⽤すると、ファイアウォールの背後 にある情報リソースへの安全なモバイルアクセスを実現できます。従来の VPN より効 率的な専⽤の接続⽅式を利⽤できます。 September 2013 Page 56/ 103 EMM Smackdown ライセンス MaaS360 は、構築、アップグレード、保守、24 時間 365 ⽇の顧客サポート込みのサブスクリ プションサービスとして提供されます。価格は必要な機能と、ライセンスを使⽤するデバイス 台数やユーザー数によって変わります。ユーザーあたりの価格制では、各ユーザーのデバイス (スマートフォン、タブレット、ノート PC)の台数は制限されません。 8.8 MICROSOFT EXCHANGE ACTIVESYNC Microsoft Exchange ActiveSync は、(Office 365 を含む)Microsoft Exchange プラットフォー ムの⼀部です。Microsoft Exchange は企業で盛んに利⽤されているため、Microsoft Exchange ActiveSync にどのような MDM 機能があるかを知っておくとよいでしょう。 概要 Microsoft Exchange ActiveSync は、モバイルデバイスで Microsoft Exchange Server との通信⽤ に使われるプロトコルです。主にサーバーからモバイルデバイスへのメール、連絡先、予定の 同期に使われます。Exchange Server との同期は 1996 年あたりから可能になりましたが、メー ルの同期以外の機能を使う必要性はありませんでした。その主な理由は、デバイスにメールの 同期以外の同期機能がなかったからです。 スマートフォン(そして、それに続けてタブレット)が登場すると、それ以外の同期も⾏える ようになり、企業環境におけるデバイスのセキュリティがますます重要な意味を持つようにな りました。 Exchange ActiveSync には、クライアント-デバイス間のメールボックスデータの保護と制御 の点では⼗分な機能がありますが、真の MDM ソリューションほどの完全なモバイルデバイス 管理機能はありません。⾏えることは次のことに限られています。 バージョン 1.2 企業メールの転送、返信の制限 デバイスから同期が⾏われるときのパスワードの使⽤の強制 September 2013 Page 57/ 103 EMM Smackdown 特定のデバイスや、特定の機種のデバイスの許可、拒否、検疫 ActiveSync の使⽤のユーザー別の許可、拒否 添付ファイルのダウンロードやそれを開くことを許可するかどうかの制御 デバイスを暗号化する必要があるかどうかの制御 連絡先をデバイスに同期できるかどうかの制御 Windows の著作権管理サービス(RMS)機能の利⽤(Exchange Server 2010 SP1 以 降)* 遠隔消去 失敗した試⾏の数 Microsoft Exchange ActiveSync には、モバイル上での作業の最低限の保護機能しかありません。 Exchange Server 環境や Office 365 テナントがある環境で、メールデータの同期以外の MDM 機 能は使う必要がない場合を除いては、Exchange ActiveSync はニーズを満たすソリューション にはならないでしょう。 * RMS を利⽤すると、ポリシーに基づく特定のデータの暗号化を⾏えるようになり、メール、 ⽂書、企業 Web ページなどの機密情報の保護が可能になります。 8.9 MICROSOFT WINDOWS INTUNE Windows Intune には次の機能があります。 企業ポータルからのアプリの提供 アップデートの管理と PC のプロアクティブな監視 マルウェアからの PC の保護、セキュリティポリシーの設定 リモートアシスタント(Windows 8 では未サポート) ハードウェアとソフトウェアの⽬録管理 Windows 7 Enterprise へのアップグレード 概要 Windows Intune は、2011 年 7 ⽉にリリースされた、Microsoft のクラウドベース(SaaS 型)の 管理ソリューションです。初めて登場したときは PC 管理・セキュリティ⽤のサービスでした が、(ソフトウェア配布機能が追加された)Intune 2.0、(iOS と Android に対応し、Exchange ActiveSync によるデバイスの管理が可能になった)Intune 3.0 のリリースにより、クラウドへ の対応が強化されました。2013 年 1 ⽉にはリリース 4.0(Wave D)が登場し、Windows 8 デバ イス、Windows RT デバイス、Windows Phone 8 デバイスのような最新のモバイルデバイスの サポートが実現しました。 Intune は PC の管理や、Active Directory ドメインに参加していないモバイルデバイスに使⽤で きます。Exchange ActiveSync(EAS)の機能は限られているため、Microsoft は EAS から MDM(モバイルデバイス管理)への移⾏を進めています。そのため、より⾼機能なエージェン トをデバイスにインストールする必要があります。(新しいモバイルプラットフォームを含む) Microsoft のプラットフォームや Apple の iOS では、このエージェントがサポートされています が、Android はいまだに EAS ⽅式です。次期リリース(Wave E)では、Android でもエージェ バージョン 1.2 September 2013 Page 58/ 103 EMM Smackdown ント⽅式が採⽤されることになるかもしれません。そうなれば、Windows、iOS、Android 間で 機能が統⼀されることになるでしょう。それまでは、EAS と MDM の両⽅がモバイルデバイス のサポートに使われます。 サポートされている OS をデバイスのタイプ別にまとめると、次のようになります。 デバイス OS 管理⽅式 Microsoft Surface Windows RT 直接 Windows Phone 8 WP 8.0 直接 Windows Phone 7 WP 7.x EAS iPad、iPhone、iPod Touch iOS 4.0 またはそれ以降 直接 Android デバイス Android 2.1 またはそれ以降 EAS Microsoft Surface Pro Windows 8 直接 PC デバイス Windows XP SP3、Vista、7、8 直接 最新のモバイルデバイスに対応するため、Windows Intune は 6 か⽉ごとに新リリースが提供さ れます。その際に、機能の追加や改善が⾏われることもあります。Intune には PC 管理⽤とモ バイルデバイス⽤のさまざまな機能があり、真のクラウドベースの管理ソリューションを実現 できます。 次期リリース 2013 年 6 ⽉の Microsoft TechEd Europe において、Windows Intune の次期リリース(Wave E) が発表されました。このリリースによって、System Center とのより深い統合、いろいろなモ バイルデバイスの使い勝⼿のさらなる統⼀、そしてより優れたデータ保護が実現されることに なります。Android の直接管理も可能になり、EAS を使う必要がなくなりそうです。 現時点で判明している機能は次のとおりです。 企業⽀給品と私物のどちらのデバイスを管理するかの選択 Windows デバイス、iOS デバイス、Android デバイス⽤のネイティブなセルフサービス 型ポータルアプリ クラウドからのデバイスの登録 VPN プロファイルポリシー、Wi-Fi プロファイルポリシー、設定情報の配備 サポート対象の全デバイスタイプでより多くのポリシーをサポート 管理対象のデバイスからの企業データの選択的/遠隔消去 この新リリースは、おそらく 2013 年第 3 四半期か第 4 四半期に、System Center R2 と同時に リリースされるでしょう。 アーキテクチャ Windows Intune では、クラウド上の Web ポータルや System Center 2012 Configuration Manager(SCCM)からデバイスを管理することができます。このどちらのソリューションに も、それぞれ固有のメリットがあります。Intune 上でアカウントを作成すると、アカウント ポータル、管理コンソール、そして企業ポータルが使えるようになります。Windows Intune と SCCM を組み合わせた場合は、管理はすべて SCCM で⾏われます。この 2 つの製品を組み合わ せるには、SCCM 2012 と Service Pack 1 のインストールが必要です。どちらのソリューショ バージョン 1.2 September 2013 Page 59/ 103 EMM Smackdown ンでも、Exchange コネクタを使うことで、EAS 機能が利⽤可能になります。SCCM ⽤のコネ クタを使⽤した場合は、10 万台までのコンピューターをサポートすることができます。 クラウドベースの管理(Windows Intune の単独使⽤) Configuration Manager が配備されていなくても利⽤可能 シンプルなポリシー制御 デバイス台数は 7,000 台未満、ユーザー数は 4,000 ⼈未満 Web ベースのシンプルな管理コンソール 図 1:Windows Intune 統合デバイス管理(Windows Intune と System Center の併⽤) バージョン 1.2 Configuration Manager が配備されていることが必要 PC の完全な管理(OS の配備、エンドポイントの保護、アプリデリバリーの制御、豊 富なレポート機能) 詳細なポリシー制御が可能 10 万台までのデバイスをサポートできるスケーラビリティ 総合的管理ツール(RBA、PowerShell、SQL Reporting Services) September 2013 Page 60/ 103 EMM Smackdown 図 2:Windows Intune と System Center Configuration Manager の併⽤ コンソール Windows Intune では次のものを利⽤できます。 アカウントポータル アカウントポータルからは、Intune のサブスクリプションの管理と、Intune を利⽤できるユー ザーの設定を⾏うことができます。ユーザーアカウントとセキュリティグループの⼿動による 追加、サービスの設定情報の指定と管理、サービスの状態の確認、オンラインヘルプへのアク セスなどの作業を⾏えます。このポータルから管理コンソールや企業ポータルにアクセスする こともできます。また、ユーザーはこのポータルにアクセスすることで、⾃分のパスワードを 変更することができます。 管理コンソール 管理コンソールは⽇常的な管理作業に使⽤します。(Microsoft Silverlight を使って構築された) このコンソールから、ユーザーグループ、デバイスグループ、ソフトウェアアップデート、エ ンドポイント保護、ソフトウェアパッケージ、ポリシーの管理を⾏えます。Silverlight 3.0 がイ ンストールされてさえいれば、どこからでもこのコンソールを起動できます。特定のコンソー ルソフトウェアをインストールする必要はなく、デバイスから管理コンソールを開くだけで管 理作業を開始できます。必要なものは、Intune の管理者⽤アカウントだけです。 管理コンソールには次の機能があります。 バージョン 1.2 システムの参照:エンドポイント保護、ソフトウェアアップデート、エージェントの 健康状態についての情報がダッシュボードに表⽰されます。タイプ別のアラートも表 ⽰されます。 グループ:ユーザーグループやデバイスグループの作成と管理を⾏えます。管理対象 の PC やモバイルデバイスが何台あるかも確認できます。グループ別やデバイス別の管 理が可能です。 アップデート:ソフトウェアアップデートの設定と承認を⾏うにはアップデート(ク ラウド上の WSUS)を使⽤します。⾃動配備ルールを作成することもできます。 エンドポイント保護:マルウェアダッシュボードからウイルス対策を管理することが できます。エージェントの設定も⾏えます。 September 2013 Page 61/ 103 EMM Smackdown アラート:全種類のアラートをまとめて確認できます。アラートのタイプと通知ルー ルを設定し、通知をメールで送信できます。 ソフトウェア:ソフトウェアの追加と配備の管理。企業ポータルへのソフトウェア パッケージの配備。 ライセンス:その他の⼿段で購⼊された Microsoft や Microsoft 以外のソフトウェアのラ イセンス契約情報の追加と管理。 ポリシー:エンドポイント保護、ソフトウェアアップデート、Windows ファイア ウォール、エンドユーザーの使い勝⼿についての設定情報の配備と管理。モバイルデ バイスのセキュリティ制御。 レポート:ソフトウェア、ハードウェア、ソフトウェアライセンス情報についてのレ ポートの⽣成。後で利⽤できるように、その内容を保存することもできます。 管理:Intune アカウントの詳細情報の確認。アップデート、アラート、アラートの通知、 クライアントソフトウェア、ストレージの使⽤状況、MDM についての⽇常作業の実⾏。 Windows Intune を SCCM と統合した場合は、Intune ではなく、SCCM で⽇々の管理が⾏われ ます。その場合は、管理コンソールを開く必要はなくなります。 企業ポータル 企業ポータルでは、デバイスの登録と管理、エンドユーザーへのアプリの提供を⾏うことがで きます。ユーザーに配備することのできるすべてのアプリが、このアプリストアに⾃動的に表 ⽰されます。このアプリストアには、PC ⽤やモバイルデバイス⽤の Windows アプリ、iOS ア プリ、Android アプリを、ファイルとして、またはベンダーのアプリストアへのリンクの形で 追加することができます。そのため、すべてのアプリについてファイルを⽤意する必要はあり ません。 アプリをソフトウェアパッケージとして、または外部リンクの形で追加できます。ソフトウェ アパッケージとして追加できるアプリは、Windows PC、Android、iOS、Windows Phone、お よび Windows 8 ⽤のアプリです。外部リンクの形で追加できるアプリは、Windows Store、 Windows Phone Store、Apple App Store、および Google Play から提供されているアプリです。 アプリの配備⽅法には、ユーザーへの配備(オプションインストール)とデバイスへの配備 (必須インストール)の 2 種類があります。企業ポータルに表⽰されるのは、前者のアプリだ けです。必須インストールアプリは、ユーザーのデバイスに⾃動的にインストールされます。 ライセンス ユーザーあたりのライセンス制が採⽤されています。ライセンスを持つユーザー1 ⼈につき、 最⼤ 5 台のデバイスを使⽤できます。Windows Intune の現⾏リリースでは、デバイスあたりの ライセンスではなく、複数のデバイスを使⽤しているユーザー⽤の新しいライセンス⽅式が取 り⼊れられました。BYOD 戦略を採⽤しようとしている組織にとって、より柔軟性の⾼い⽅式 です。 ライセンスには次の 3 種類があります。 バージョン 1.2 Windows Intune:5 台までのデバイスを使⽤するユーザー⽤の基本ライセンスです。 Windows Intune と組み合わせて使われる SCCM の利⽤権も含まれています。 September 2013 Page 62/ 103 EMM Smackdown 8.10 Windows Intune with Windows Software Assurance:基本ライセンスと同じですが、 5 台のデバイスのうちの 1 台について SA を適⽤できます。PC の Windows 8 Enterprise へのアップグレードが必要な組織に適しています。 Windows Intune Add-on for SCCM:System Center のボリュームライセンス契約を結 んでいる組織向けです。すでに SCCM で管理されている従来のデバイスと新しいモバ イルデバイスの両⽅を、SCCM の管理コンソールから管理することができます。 MOBILEIRON 概要 MobileIron は 2007 年に設⽴され、本社はカリフォルニア州マウンテンビューにあります。同社 は 2009 年に、最初のバージョンのモバイル管理ソリューション、MobileIron V1 をリリースし ました。モバイルアプリ、モバイル⽂書、モバイルデバイスの保護と管理が⽬的です。モバイ ルはポスト PC 時代の⼈々の働き⽅です。しかしモバイルには、従来の IT 戦略では対処できな いリスク、コスト、ユーザービリティの問題があります。MobileIron には、⼈々の仕事を⽀え る次のような機能があります。 データの保護 アプリと⽂書のモバイル化 ユーザーの使い勝⼿とプライバシーの維持 変化し続けるモバイル OS とデバイスへの対応 グローバルな組織のエンドユーザー全体への⼤規模配備 アーキテクチャ MobileIron のアーキテクチャには、次の 3 つの主要コンポーネントがあります。 バージョン 1.2 エンドユーザーサービス。メール、アプリ、⽂書、Web の保護と管理を⾏います。エ ンドユーザーは⾃分のデバイスから、MobileIron クライアントを使⽤して、これらの サービスを直接利⽤します。MobileIron には、デリバリー、設定、保管データの保護、 そしてこれらのサービスの保護を⾏う機能があります。MobileIron クライアントは、状 態とコンプライアンスの継続的なチェックも⾏います。 o Apps@Work はエンタープライズアプリストアです。 o Docs@Work はモバイルコンテンツの管理機能を提供します。 o Web@Work はモバイル⽤の安全なブラウザを提供します。 o AppConnect は保管データを保護するための、クライアントサイドのコンテナ 化機能(SDK およびラッパー)です。 インテリジェントゲートウェイ。企業全体の保護と管理を⾏います。このゲートウェ イが、Exchange、アプリサーバー、Web サーバー、SharePoint のようなバックエンド エンタープライズリソースへのエンドユーザーサービスからのトラフィックを安全に トンネルさせます。 September 2013 Page 63/ 103 EMM Smackdown o このゲートウェイは MobileIron Sentry と呼ばれ、メール、アプリ、⽂書、Web の転送データを保護します。物理アプライアンスか仮想アプライアンスとして インストールすることができます。 o MobileIron Sentry のうち、アプリの安全なトンネリングを実現するための実装 を AppTunnel と呼びます。 ポリシー&設定エンジン。モバイルアプリ、モバイル⽂書、モバイルデバイスに対す るグローバル規模の総合的な管理を実現します。 o MobileIron VSP はオンプレミス配備⽤のエンジンです。物理アプライアンスか 仮想アプライアンスとしてインストールすることができます。 o MobileIron Connected Cloud はクラウド配備⽤のエンジンです。 MobileIron ソリューションには次の 2 種類の配備⽅式があります。 バージョン 1.2 パブリッククラウド型:MobileIron によって運営されているマルチテナント型のクラウ ドサービス、MobileIron Connected Cloud を利⽤します。 プライベートクラウド型:MobileIron VSP(Virtual Smartphone Platform)を社内に配 備します。MobileIron VSP と MobileIron Sentry のそれぞれを、次のどちらの形式でも 配備できます。 o オンプレミス仮想アプライアンス:VMware または Hyper-V 上の強固な Linux アプライアンス o オンプレミス物理アプライアンス:強固な Linux 物理アプライアンス September 2013 Page 64/ 103 EMM Smackdown アプリデリバリーネットワーク MobileIron のアプリデリバリーネットワークは、極めて安全な外部ネットワークを利⽤してア プリのプロビジョニングを⾏い、負荷や遅延のない、信頼性の⾼いアプリデリバリーを実現す る仕組みです。アプリデリバリーネットワークは MobileIron プラットフォームとシームレスに 統合され、社内ネットワークの負荷低減を実現します。アプリデリバリーネットワークを有効 にすると、このネットワークによってアプリのプロビジョニングが管理されます。エンドユー ザーの使い勝⼿は変わらず、それまでと同じように⾃分のアプリのダウンロードと更新を⾏う ことができます。MobileIron VSP とのワンステップ統合が実現されているため、ファイア ウォールや DNS の設置や、LDAP の変更を⾏う必要はありません。 バージョン 1.2 September 2013 Page 65/ 103 EMM Smackdown ライセンス MobileIron の中核製品はデバイスあたりのライセンス制です。永久ライセンスと⽉額サブスク リプションライセンスモデルのどちらかを選ぶことができます。オプションでユーザーあたり のライセンス制も提供されていますが、費⽤は 20%増になります。サブスクリプションライセ ンスはサポート込みですが、永久ライセンスの場合は、サポートは年間料⾦制です。 MobileIron のオンプレミス配備のライセンスには、永久ライセンスとサブスクリプションライ センスの 2 種類がありますが、MobileIron Connected Cloud にはサブスクリプションライセン スしかありません。この他に、バンドル製品の形で販売されるいくつかのアドオンもあります。 8.11 SYMANTEC MOBILE MANAGEMENT SUITE 概要 脆弱性のないモビリティ 技術は変わり続けています。従業員がプライベートな時間に使いこなしていたモバイルデバイ スが、企業にとっても便利な仕事の道具になりつつあります。しかし、いつでも、どこでも仕 事ができるようになることには、データ漏洩や秘密保持違反が起きやすいというリスクが伴い ます。犯罪⾏為さえ想定しなければなりません。今⽇の企業は、⽣産性もプライバシーも損な わずに、企業のデータと個⼈の情報の両⽅をシームレスに扱える⼿段を提供する必要がありま す。そこで必要になるのが、デバイスの所有者が誰かにかかわらず、そしてユーザーに不便を 強いることなく、IT をしっかりと制御するモバイル⽣産性ソリューションです。Symantec™ Mobile Management Suite は、「プロフェッショナル」と「個⼈」の両⽅の「持ち主」のため の製品であり、企業⽀給品、私物(BOYD)、およびこの 2 つの組み合わせという複数の配備 モデルにおける、モビリティのさまざまな側⾯を網羅したシームレスな使い勝⼿を実現します。 プロフェッショナルとしての活動と個⼈としての活動の「衝突」から「共存」へ。Mobile Management Suite では、ユーザーとアプリのアクセス、アプリとデータの保護、デバイスの管 理、脅威からの保護、安全なファイル共有というモビリティの五本柱に対処した単⼀のソ バージョン 1.2 September 2013 Page 66/ 103 EMM Smackdown リューションを使⽤して、この転換を実現できます。「保護」と「モバイルでの⽣産性」の両 ⽴が可能になります。 Symantec Mobile Management Suite の概要 Mobile Management Suite は、「保護」と「モバイルでの⽣産性」を両⽴させるための機能を 備えた、総合的なモバイルソリューションです。個⼈としての活動とプロフェッショナルとし ての活動の、シームレスで安全な共存を実現します。Mobile Management Suite には、⾰新的 なアプリ管理機能、スケーラブルなデバイス管理機能、脅威からの信頼の置ける保護機能があ り、プロフェッショナルと個⼈の共存が可能になります。主な機能は次のとおりです。 アプリのラッピング 独⾃の技術を使って企業アプリをコンテナ化できます。これにより、ソースコードを変 更しなくても、デバイス上の企業データと個⼈的な情報を明確に分離できます。Mobile Management Suite では、ソースコードの変更や SDK の埋め込みを⾏わずに、あらゆる モバイルアプリをセキュリティ/ポリシー管理層でラッピングすることができます。そ のため、アプリ開発者はセキュリティについての専⾨知識がなくても、安全なアプリを 提供できます。アプリの安全な接続、ユーザー認証、データ暗号化、ローカルストレー ジへのデータ書き込み、⽂書共有、コピー/ペースト、オフライン利⽤などについての 規則を、アプリ保護ポリシーとして定めることができます。アプリ別にラッピングポリ シーを定め、安全な SSL 接続の使⽤を強制したり、アクセスが認められていないサイ トへのアクセスを禁⽌したりすることで、アプリの安全な接続を実現できます。 アプリの配布 Mobile Management Suite には先進のアプリ管理・保護機能があり、モバイルアプリや コンテンツを簡単に配布できます。適切な企業セキュリティ機能とデータ保護機能を 使って、従業員や認定されたその他のユーザーにアプリを配布できます。従業員が退職 したときや、デバイスが使われなくなったときは、アプリとデータを素早く安全に破棄 することができます。 企業電⼦メールへのアクセス モバイルメールにアクセス制御ポリシーを適⽤し、グループ、デバイスのコンプライア ンス状態、デバイスの属性に基づく⾼度な許可/拒否ルールを定めることができます。 Microsoft® Exchange、Office 365、Gmail、Lotus Notes などのメールサーバーに接続す るネイティブメールクライアントや(Nitrodesk TouchDown などの)サードパーティ製 のメールクライアントに対する⾃動設定機能もあります。 認証とシングルサインオン 強 ⼒ な 認 証 ⽅ 式 を 利 ⽤ し た シ ン プ ル で 安 全 な 使 い 勝 ⼿ を 実 現 で き ま す 。 Mobile Management Suite は メ ー ル 、 Wi-Fi 、 VPN ⽤ の 認 証 要 件 に 対 応 し 、 Symantec™ Managed PKI Service や Microsoft Certificate Authorities と統合されます。⾃社製アプリ とサードパーティ製アプリのシングルサインオン機能を統合し、LDAP、SAML、 SiteMinder®などの⼀般的な認証⽅式を利⽤できます。さらに、Symantec O3Web ゲー トウェイとの統合を⾏えば、クラウドアプリにもシングルサインオン機能を適⽤できま す。 バージョン 1.2 September 2013 Page 67/ 103 EMM Smackdown デバイスの管理 Mobile Management Suite には、スマートフォンやタブレットの可視性と制御を実現す る、総合的なモバイルデバイス管理機能があります。メール、カレンダー、業務⽤モバ イルアプリ、⽂書、メディアコンテンツなどの重要な企業資産を、デバイスから利⽤可 能にすることができます。企業のコンプライアンスを保てるように、デバイスに対する ⾼度なセキュリティを設定できます。また、パスワード、遠隔消去、リソースやアプリ の使⽤制限などのあらゆるポリシー機能を、特定のユーザー、デバイス、OS、グルー プを対象に定めることができます。 コンプライアンスとその対処 コンプライアンスに適合しているデバイスだけを許可することができます。モバイルデ バイスを管理するには、デバイスの状態(脱獄デバイスかどうか、暗号化されている か)、ユーザーの状態(どのグループに属しているか)、アプリの状態(必要なアプリ かどうか、ブラックリストに登録されていないか)に基づくコンプライアンスを定義し、 コンプライアンスに違反しているデバイスに対する対策をとる必要があります。デバイ スがどこにあったとしても、特定のアプリやデバイス全体の遠隔消去を⾏うことができ ます。 脅威からの保護 マルウェア対策機能と Web ブラウザ保護機能を利⽤して、悪意のある脅威や、⼤切な 企業情報への不正なアクセスからモバイルデバイスを守ることができます。これにより モバイル資産の保護を実現し、内部的および外部的なセキュリティ条件をコンプライア ンスに取り⼊れることができます。盗難からの保護機能を使うと、デバイスの保護をさ らに強化し、必要に応じてデバイスがある場所を突き⽌めたり、デバイスをロックした り、その内容を消去することができます。アプリのブラックリストとホワイトリストの 定義と適⽤を⾏うと、アプリにも保護機能を適⽤できます。 コンテンツの安全な配布 エンドユーザーのモバイルデバイスにコンテンツを簡単に配布できます。いろいろな ファイル形式の⽂書やマルチメディアコンテンツを配布し、ファイルごとに別々の企業 セキュリティポリシーを適⽤できます。また、コンテンツのシームレスな更新と破棄も ⾏えます。 モバイルアプリ管理の特⻑ BYOD プログラムを導⼊しようとしている組織には、特定のモバイルビジネスアプリを制御す る能⼒が必要です。Mobile Management Suite にはアプリのラッピング機能があり、個⼈とし ての活動とプロフェッショナルとしての活動のシームレスで安全な共存を実現できます。コー ディングをまったく⾏わずに、あらゆるアプリをセキュリティ/ポリシー管理層でラッピングす ることができます。このラッピングを⾏うのに、SDK や API はまったく必要ありません。アプ リごとにポリシーを作成、適⽤することで、あらゆる⾃社製アプリ、サードパーティ製アプリ、 Web アプリを、他のあらゆるモバイルアプリと同様にラッピングすることができます。ポリ シー管理層を持つアプリは、⾃動的にアンパッキング、更新、再パッキングされてから配布さ れます。この管理層によって、デバイス上での実⾏時に、これらのポリシーが⾃動的に適⽤さ れます。 バージョン 1.2 September 2013 Page 68/ 103 EMM Smackdown アプリとコンテンツに対するオブジェクト単位のきめ細かなポリシー ユーザーの認証と再認証 データ暗号化(FIPS で認定された暗号化アルゴリズムの適⽤) アプリによるローカルストレージへのデータ書き込みを許可するかどうかの制御 オフライン利⽤を許可するかどうかの制御 ⽂書共有、コピー/ペースト、その他の API を有効にするかどうかの制御 モバイルデバイス管理の特⻑ 企業所有のデバイスの管理を⾏えるようにするため、Mobile Management Suite には総合的な モバイルデバイス管理機能があり、スケーラブルで、安全で、統⼀的なスマートフォンとタブ レットの配備を実現できます。IT 部⾨は単⼀のソリューションを使って、すべてのモバイルデ バイスの管理を⾏うことができます。管理者はユーザーの介在なしに、ほぼリアルタイムで、 パスワード、遠隔ロック、遠隔消去、アプリ/リソース/コンテンツの使⽤制限などのセキュリ ティの OTA(無線通信)経由による設定、配備、更新を⾏えます。また、ユーザー別、デバイ ス別、ディレクトリシステムのグループ別にポリシーを設定できます。Mobile Management Suite では、特定のメールサーバーに依存しないスケーラブルなアーキテクチャを持つエンター プライズクラスの管理が実現され、ロールベースのアクセス機能を備えた分散型の配備を⾏え ます。標準搭載のダッシュボード、レポート機能、通報機能を利⽤して、企業のモバイル資産 の詳細情報を常に把握できます。カスタムレポートを追加すると、ユーザー、デバイス、アプ リ、プロファイルについての総合的な詳細情報も確認できます。 バージョン 1.2 September 2013 Page 69/ 103 EMM Smackdown 信頼の置けるエコシステム:SYMANTEC™ SEALED PROGRAM App Center は、サードパーティ製アプリの開発者のエコシステムをサポートします。開発者は、 中央で保護できる形式で、⾃分が開発した企業アプリをモバイルデバイスに配信できます。 Symantec™ Sealed Program に参加すると、サードパーティ製アプリの開発者は SDK を使わず に、商⽤アプリのモバイル保護機能を簡単に実現できます。モバイルアプリの開発者は⾃分の アプリをブランド提携させ、その中に暗号化、認証、データ漏洩防⽌ポリシー、アプリポリ シーの配布と廃棄といった、Symantec のセキュリティ/管理機能を統合できます。また、IT 組 織は⾃社製アプリと同じレベルの管理、保護、信頼性で、これらのアプリを安⼼して配備でき ます。 アーキテクチャ Symantec Mobile Management Suite:オンプレミスアーキテクチャ バージョン 1.2 September 2013 Page 70/ 103 EMM Smackdown Symantec Mobile Management Suite:クラウド/SaaS アーキテクチャ ライセンス Symantec Mobile Management Suite は、ユーザーあたりの年間サブスクリプションライセンス で提供されます。12 か⽉間、24 か⽉間、36 か⽉間有効なライセンスを購⼊できます。 8.12 VMWARE HORIZON 概要 VMware Horizon Suite は多数の製品から構成されています。これらの製品は単独の製品として も使⽤できます。Horizon Suite に含まれている製品は次のとおりです。 Horizon Mirage(デスクトップの中央管理、ローカル実⾏) Horizon View(デスクトップの中央管理、中央での実⾏) Horizon Workspace(ワークスペースアグリゲータ、デスクトップ/アプリ/データ へのアクセスの実現) Horizon Workspace には、Horizon Mobile(モバイルアプリの中央管理)がフリーの製品として 含まれています。将来のリリースでは、この製品は Horizon Workspace に統合される予定です。 VMware のエンドユーザーコンピューティング構想のことも Horizon と呼びます。この構想で は、Horizon が、デスクトップ、Windows アプリ、モバイルアプリ、SaaS アプリのプロビジョ ニングを⾏う、そしてすべてのデバイスでのデータ同期機能を提供する中央コンポーネントに なります。 バージョン 1.2 September 2013 Page 71/ 103 EMM Smackdown 本書で取り上げているのはエンタープライズモビリティ管理なので、この節では Horizon Workspace と Horizon Mobile の機能についてのみ説明します。 Horizon Workspace の主な機能は次のとおりです。 単⼀のエンドユーザーワークスペース 企業のデータ、アプリ、サービス、仮想デスクトップへの簡単なアクセス コンテキスト対応型の単⼀のカタログ シングルサインオン ワンクリック型でセルフサービス⽅式のアプリ割り当て IT の中央管理 Active Directory との統合によるアイデンティティ管理の統⼀ 権限の中央管理 プロファイルの⼀元管理 コンテキスト管理ファイル共有 時間、場所を問わないアクセス オンラインとオフラインの両⽅でのデータの利⽤ 忠実性の⾼い⽂書のプレビュー ⽂書のバージョン管理、コメント付け、検査 エンタープライズクラスのセキュリティ バージョン 1.2 エンドポイントの登録と消去 ⽂書サンドボックス September 2013 Page 72/ 103 EMM Smackdown モバイルデバイス上での暗号化 アプリのパスコードポリシー RSA 多段階認証への対応 Horizon View との統合 仮想デスクトップとアプリサービスへの Horizon View からの簡単なアクセス SSO ブローカーリングによる、権限ポリシーに基づくユーザーへのデスクトップの割 り当て リモートプロトコルを使⽤することによる、あらゆる HTML5 ブラウザからの Horizon View の利⽤ 今のところ、Horizon Workspace には、企業で承認されたサードパーティ製のアプリの配 備を⽀援する機能があります。アプリをインストールするための、モバイルアプリストア (Apple ストアや Google Play ストア)へのアプリリンクを貼るだけで済みます。モバイル アプリストアへのアプリリンクをクリックしても、Horizon Workspace ではインストール 済みのアプリは開かれません。 Horizon Mobile の主な機能は次のとおりです。 エンタープライズモバイルワークスペースの制御とカスタマイズ 専⽤のワークスペースを⽤意することによる、従業員のデバイスへのアプリと企業 サービスの簡単なプロビジョニング 企業ワークスペースでネイティブアプリがサポートされているため、社内開発のもの を含む、あらゆる Android アプリのファイルパッケージ(APK)を、変更を加えずに従 業員の企業ワークスペースに配備することが可能 OTA 経由でのアプリの配布と更新 Horizon Mobile Manager でアプリの設定を事前に⾏ってから、従業員にアプリを配布す ることが可能 モバイルデバイス上の企業資産の安全な管理 エンタープライズクラスのセキュリティにより、まったく別の 2 つの OS とファイルシ ステムを使⽤して、企業の資産を個⼈的な資産から完全に分離することで、企業デー タを保護 グループ別のセキュリティポリシーの作成、証明書の管理、デバイスの⽬録の監視、 デバイスの診断情報の収集を⾏える、Web ベースの管理者⽤ツール すべての企業データの完全な暗号化、遠隔ロック、遠隔消去、ルートキットの検出、 パスワードの強制 従業員のモバイル労働の⽀援 バージョン 1.2 プライベートな⽣活と仕事のどちらでも、プライバシーを保ったまま、⾃分が選んだ デバイスを使⽤することが可能 職場の外での企業サービスの完全な利⽤ September 2013 Page 73/ 103 EMM Smackdown デバイスの機種にかかわらず、どのデバイスでも統⼀的で使いやすいネイティブモバ イルの使い勝⼿を提供 アーキテクチャ Horizon Workspace は、OVA(Open Virtualization Archive)ファイルの形式で提供される、マ ルチ仮想マシン型の vApp です。この vApp を vCenter に配備することができます。その中には、 次の仮想アプライアンスが含まれています。 コンフィギュレータ VM o ゲートウェイ VM o Horizon Workspace Manager は、ThinApp パッケージの同期処理を⾏います。 また、ユーザー、グループ、リソースの管理に使⽤する管理者⽤ Web インター フェースへのアクセスを実現します。 コネクタ VM o Horizon Workspace のゲートウェイ仮想アプライアンスは、エンドユーザーの すべての通信の単⼀のエンドポイントになります。ユーザーからの要求は、す べてこのゲートウェイ仮想アプライアンスに渡され、そこから適切な仮想アプ ライアンスに送られます。 サービス VM o まず、この仮想アプライアンスを使って Horizon Workspace の設定を⾏います。 その設定情報が vApp の中の他の仮想アプライアンスに配信されます。 コネクタは、ユーザー認証(アイデンティティプロバイダー)、ディレクトリ の同期、ThinApp カタログのロード、Horizon View のプールの同期の各サービ スを提供します。 データ VM o Horizon Workspace のデータ仮想アプライアンスは、ファイル保管・共有サー ビスの制御、ユーザーのデータ(ファイル)の保管、複数のデバイス間での ユーザーのデータの同期処理を⾏います。 Horizon Workspace vApp の中に同⼀種類の仮想マシンを複数追加すると、冗⻑性とフェイル オーバー性を実現できます。 バージョン 1.2 September 2013 Page 74/ 103 EMM Smackdown Horizon Workspace に必要なインフラは次のとおりです。 vCenter(5.x) ESXi(4.1、5.0、5.1) Active Directory(Windows Server 2008 R2) データベース(Horizon Service) o 内部 DB - postgres o 外部 DB – postgres VMware Horizon Mobile も、OVA ファイルの形式で配布される vApp です。Horizon Mobile を利 ⽤すると、従業員の私的な環境から切り離した形で、安全に、従業員の私物の Android スマー トフォンへの企業モバイルワークスペースのプロビジョニングとその管理を⾏うことができま す。このデュアルペルソナ機能により、企業にとって必要なセキュリティ、コンプライアンス、 管理性を保ったまま、従業員のお気に⼊りのモバイルデバイスを職場に受け⼊れることができ ます。Horizon Mobile には⽣産性を⾼めるいろいろな機能があり、従業員に与えられた職務に 基づいて、専⽤の、そして事前設定済みのネイティブなモバイルワークスペースを、(デバイ スごとではなく)ユーザーごとに構築し、⽣産性を向上させることができます。 バージョン 1.2 September 2013 Page 75/ 103 EMM Smackdown VMware Horizon Mobile 環境の主なコンポーネントは次のとおりです。 VMware Horizon Mobile Manager 仮想アプライアンス VMware Ready モバイルデバイス VMware Switch アプリ ワークスペースの基本イメージ ユーザーが VMware Ready モバイルデバイスに VMware Switch をインストールすると、そのデ バイスにワークスペースの基本イメージとポリシーを配備することが可能になります。これで、 ユーザーのスマートフォンにプライベート⽤と仕事⽤の 2 つの環境が組み込まれます。仕事⽤ の環境は Horizon Mobile Manager によって管理され、必要に応じてロックや遠隔消去を⾏うこ とができます。 ライセンス 次の表に⽰すように、ユーザーのライセンスは、Horizon のどのバンドル製品やスイートを購 ⼊したかに応じて変わります。 バンドル製品または スイート Horizon View Horizon Mirage バージョン 1.2 コンポーネント Horizon View ThinApp Workstation * vSphere Desktop vCenter Desktop Horizon Mirage ThinApp Workstation * Fusion Pro September 2013 ライセンスのタイプ 同時接続ユーザー制 指定ユーザー制 Page 76/ 103 EMM Smackdown バンドル製品または スイート コンポーネント ライセンスのタイプ Horizon Workspace 指定ユーザー制 ThinApp Workstation * Horizon Mobile for Android Horizon Suite 次の 3 つのバンドル製品す 指定ユーザー制 べて含む: Horizon View Horizon Mirage Horizon Workspace * Horizon のすべてのバンドル製品とスイートに、VMware Workstation のライセンスが付属し ています。ただし、その使⽤⽬的は ThinApp のキャプチャ・構築プロセス⽤の仮想マシンの作 成に限られます。ユーザー⽤の仮想マシンの作成には使⽤できません。また、Horizon Mirage に含まれている VMware Fusion Pro は、ユーザー⽤の仮想マシンの作成⽤であり、Horizon Mirage ではこれらの Fusion で作成された仮想マシンの管理を⾏えます。 Horizon Workspace バージョン 1.2 September 2013 Page 77/ 103 EMM Smackdown 9. EMM の機能⽐較 9.1 はじめに 製品の機能⽐較は、MobileIT の意志決定ツリーにおける最終ステップだということを理解する ことが⼤切です。構想、戦略、技術の決定の⽅が先です。それぞれの EMM 製品には、それぞ れ固有の機能があります。さらに、プラットフォームの制限やセキュリティ機能の違いのため、 すべての機能をあらゆるモバイルプラットフォームで使えるわけではありません。⼤切なのは、 ベンダーやソリューションとその機能の概要を把握することです。完全で総合的な機能を提供 しているベンダーもあれば、⽬的に合わせて機能を絞った⼿頃なソリューションを専ら提供し ているベンダーもあります。どちらも間違いではありません。どちらを選べばよいかは、⾃分 にとってどんな機能が欲しいかで決まります。6 章で述べた戦略についての検討項⽬を忘れず に! ここからは、いろいろなベンダーとそのソリューション、そしてそれらのソリューションの機 能をかいつまんで説明します。なるべく事実を正確に、ありのままにお知らせすることを⼼が けて各機能を調査し、この章にまとめましたが、間違いや改善のご提案がありましたらご⼀報 ください。 バージョン 1.2 September 2013 Page 78/ 103 EMM Smackdown 9.2 ⽐較リストの早⾒表 VMware Horizon Symantec MM Suite MobileIron Microsoft Intune Sync Microsoft Exchange Active- MaaS360 by Fiberlink Good Citrix XenMobile Appsense MobileNow カテゴリー AirWatch EMM Suite 「エンタープライズモビリティ管理業界」には、たくさんのベンダーが存在しています。次の 表は、EMM(エンタープライズモビリティ管理)業界のソフトウェアベンダー各社の取り組み をまとめたものです。この表は、各社が提供している機能の善し悪しとはまったく関係があり ません。機能の完全な⼀覧については、エラー! 参照元が⾒つかりません。節「エラー! 参照元 が⾒つかりません。」を参照してください。 モバイルデバイス管理 モバイルアプリケーション管理 モバイル情報管理 モバイル費⽤管理 メールクライアントの保護 データの保護、ファイル同期 Web ブラウザの保護 9.3 今後の改訂と内容増強の予定 今後、本書で取り上げている各ベンダーのソリューションについて、さらに多くの機能の説明 を盛り込むとともに、随時新しいソリューションを追加していく予定です。ご意⾒、間違い、 本書の改善についてのご提案がありましたら、ぜひご⼀報ください。 Peter Sterk([email protected])または Ruben Spruijt([email protected])宛てに電⼦メールでお送りくだ さい。 バージョン 1.2 September 2013 Page 79/ 103 EMM Smackdown 9.4 製品バージョン 詳細版の機能⽐較マトリクスは、次のバージョンの製品に基づいて作成しています。 製品 バージョン AirWatch Enterprise Mobility Management Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise MaaS360 by Fiberlink Microsoft Exchange ActiveSync Microsoft Intune MobileIron Symantec Mobile Management Suite VMware Horizon Workspace VMware Horizon Mobile 9.5 6.3 2.0 8.5 2.4.0 n/a 14.1 4.0 5.6 n/a 1.0 1.3 リリース⽇ 2013/Q1 2013/1 2013/6 2013/6 n/a 2010/8 2013/1 2013/3 2012/10 2013/3 2012/12 機能⽐較マトリクスの凡例 EMM ソリューションと機能 ⽬的: 要件: 結果: 実⾏⽅法: 凡例: 機能に関する詳細な説明 実体験、ベンダーの協⼒ ホワイトペーパー 実際に使ってみる、記事を読む、ベンダーへの聞き取り調 査、同僚との話し合い √=使⽤可、X=使⽤不可、--不要、~=場合による、#=当社による調査中 緑の√や⾚の X は、ソリューションのメリットやデメリットとは何の関係もありません。機能 を使えるかどうかだけを表しています。注:「場合による」についての説明は、本書では⾏い ません。 バージョン 1.2 September 2013 Page 80/ 103 EMM Smackdown AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite 機能⽐較マトリクス AirWatch EMM Suite 9.6 Android 2.2 √ √ √ √ √ √ √ Android 3.x √ √ √ √ √ √ √ Android 4.x √ √ √ √ √ √ √ Android 4.x、Samsung KNOX のサポート # # √ # # # # Android 4.x、Samsung SAFE のサポート # √ √ # # # # Apple iOS 4.x √ √ √ √ √ √ √ Apple iOS 5.x √ √ √ √ √ √ √ Apple iOS 6.x √ √ √ √ √ √ √ Apple MAC OS X √ ~ ~ X X √ X BlackBerry 7.x √ X √ √ X √ √ カテゴリー 注記 サポートされている(モバイル)プラットフォーム バージョン 1.2 September 2013 ~ AppSense:DataNow のみ Page 81/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown BlackBerry 10 √ X √ X X √ X Linux X ~ ~ X X X X Symbian √ X √ √ X √ √ Windows Mobile 6.x √ X √ √ √ √ √ Windows Phone 7.5 √ ~ √ √ √ √ √ ~ AppSense:DataNow のみ Windows Phone 8.x √ ~ √ √ √ √ √ ~ AppSense:DataNow のみ Windows XP SP3 √ ~ √ X √ X X ~ AppSense:DataNow のみ Windows 7 √ ~ X X √ X X ~ AppSense:DataNow のみ Windows 8 √ ~ X X √ √ X ~ AppSense:DataNow のみ Windows RT √ ~ X X √ √ √ ~ AppSense:DataNow のみ iOS - Apple MDM デバイス管理 API のサポート √ √ √ √ √ √ √ WP8 – Exchange Active Sync 管理ポリシーのサポート # # √ # # √ # バージョン 1.2 September 2013 注記 ~ Appsense:DataNow のみ Page 82/ 103 EMM Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite コンプライアンス違反の OS プラットフォームと OS バージョンのブロック √ √ √ √ X √ √ コンプライアンス違反のアプリケーションのブロック √ √ √ √ X √ √ コンプライアンス違反のデバイスからのアクセス制限 √ √ √ √ X √ √ ユーザーあたりの最⼤デバイス台数(5 台など) √ √ √ √ √ X 値の設定が可能 アプリケーションのホワイトリスト登録 √ ~ √ √ X √ √ ~ Android のみ アプリケーションのブラックリスト登録 ~ ~ ~ ~ ~ ~ ~ ~ Android のみ ポリシー違反の通報 √ √ √ √ X √ √ 複雑なパスワードの使⽤の強制 √ √ √ √ √ √ √ パスワードの有効期間の設定 √ √ √ √ √ √ √ パスワードの失効 √ √ √ √ √ √ √ ⼀定期間使われなかったパスワードのロック √ √ √ √ X √ √ カテゴリー AirWatch EMM Suite AppSense EMM Suite Smackdown 注記 モバイルデバイス管理(モバイルプラットフォームによっては使えない機能あり) バージョン 1.2 September 2013 Page 83/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 遠隔ロック √ √ √ √ X √ √ 遠隔消去 - 全消去 √ √ √ √ √ √ √ 遠隔消去 – 選択的消去 √ √ √ √ X √ √ 証明書に基づく認証 √ √ √ √ X √ √ 証明書の配付 √ √ √ √ X √ √ 証明書の破棄 √ √ ~ √ X √ √ デバイス上のファイアウォールの管理(存在する場合) X X √ X √ √ ~ ~ Windows Mobile のみ デバイス上のウイルス対策の管理(存在する場合) ~ X X X √ √ ~ ~ Windows Mobile および Android のみ デバイス上の VPN の管理(存在する場合) √ √ √ √ X √ ~ ~ iOS のみ メッセージフローの監視、監査、レポート √ √ √ √ X √ X アプリケーション⽬録 √ √ √ √ √ √ √ 企業アプリケーションストアからのアプリケーションの配布 √ √ √ √ √ √ √ Apple Volume Purchase Program との統合 √ √ √ √ X √ √ バージョン 1.2 September 2013 注記 Page 84/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 注記 Google Playstore ボリュームライセンスとの統合 X X X X X X X 現時点では利⽤不可、Google 側が対応していない OTA(無線通信)経由のアプリケーションのアップデート √ √ √ √ √ √ √ OTA(無線通信)経由のモバイル OS のアップデート ~ √ ~ X X X ~ ~ Windows Mobile のみ モバイルデバイスのバックアップとリストア √ √ ~ √ X √ X ~ 企業データについてのみバックアップとリストア が可能 ロールベースのアクセス制御 √ √ √ √ √ √ √ 管理コンソールでの監査ログ処理 √ √ √ X # √ √ モバイルデバイスの外付けメモリのブロック(存在する場合) √ √ √ √ X √ √ デバイス上のワイヤレスネットワークの設定 ~ √ ~ ~ # ~ ~ ~ iOS および Windows Mobile のみ デバイス上のワイヤレスネットワークの制限 ~ ~ ~ ~ X ~ ~ Android のみ 特定のアプリケーションやデータの画⾯キャプチャの禁⽌ √ √ √ X X √ X デバイスがある場所の特定 √ √ √ X # √ √ デバイスへの配備のスケジューリング √ X √ X √ √ ~ バージョン 1.2 September 2013 ~ Windows Mobile のみ Page 85/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown デバイスへの配備条件の指定 √ √ √ √ √ √ √ 通信事業者ネットワークの⽬録 √ √ √ √ ~ √ √ ~ iOS のみ モバイル国別コードの⽬録 √ √ √ √ ~ √ √ ~ iOS のみ ネットワークコードの⽬録 √ √ √ √ ~ √ √ ~ iOS のみ Android – ルート化デバイスの検知 √ √ √ √ X √ √ デバイスの⼀括登録 √ √ √ √ X √ X ユーザーによるデバイスの登録 √ √ √ √ √ √ √ 電⼦メールによるデバイスの登録 √ √ √ √ √ √ √ ネイティブアプリケーションによるデバイスの登録 √ √ √ X X √ √ 注記 モバイルアプリケーション管理(プラットフォームによっては使えない機能あり) Android アプリケーションの配備 √ √ √ √ √ √ √ Android Google Playstore アプリケーションの配備 √ √ √ √ √ √ √ バージョン 1.2 September 2013 Page 86/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown Apple アプリケーションの配備 √ √ √ √ √ √ √ Apple App Store アプリケーションの配備 √ √ √ √ √ √ √ MAC OS X アプリケーションの配備 ~ X √ X X ~ X Windows アプリケーションの配備 √ X √ X √ X X Windows Store アプリケーションの配備 √ X √ X √ √ X Windows アプリケーションのデリバリー √ X √ X √ X X Windows Phone Store アプリケーションのデリバリー √ X √ X √ √ X 必須アプリケーションのデバイスへの送り込み √ √ √ √ √ √ √ アプリケーションカタログの作成 √ √ √ X √ √ √ 推奨アプリケーションリストの作成 √ √ √ √ √ √ √ サードパーティ製アプリケーションストアのサポート √ √ √ √ √ √ √ アプリケーションのラッピング √ √ √ √ X √ √ サードパーティ製のソリューションによるアプリケーションのラッピング ~ X ~ X X X √ バージョン 1.2 September 2013 注記 Page 87/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 1 つのコンテナへの管理対象アプリケーションの配備 ~ X √ X X X X 別々のコンテナへの管理対象アプリケーションの配備 √ √ √ √ X √ √ コンテナの暗号化 √ √ √ √ X √ √ 野良アプリケーションへのデータ漏洩の防⽌ √ √ √ √ X √ √ 管理対象アプリケーション間のデータ交換の制御 √ √ √ √ X √ √ アプリケーションの出⾃の確認 √ √ √ X X √ √ 管理対象アプリケーションへのシングルサインオン √ √ √ √ X √ √ アプリケーションポリシー √ √ √ √ X √ √ - アプリ⽤のモバイル OS プラットフォームの最⼩バージョン番号の設定 √ √ √ √ X √ √ - アプリ⽤のモバイル OS プラットフォームの最⼤バージョン番号の設定 √ √ √ √ X √ X - 特定のアプリケーションからのデバイスの除外 √ √ √ X X √ X - アプリケーション起動時のログオンの強制 √ √ √ √ X √ √ - アプリケーション起動時の明⽰的ログオンの強制 √ √ √ √ X √ √ バージョン 1.2 September 2013 注記 モバイル OS にこの機能がある場合のみ有効 Page 88/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown - アプリケーション起動時の WiFi 接続の使⽤の強制 √ X √ X X X X - アプリケーション起動時のネットワーク接続の使⽤の強制 √ √ √ X X X √ - デバイスのパスコードの⼊⼒の強制 √ √ √ X X √ √ - 脱獄デバイスやルート化デバイスのブロック √ √ √ √ X √ √ Android - アプリケーションのホワイトリスト登録 √ √ √ √ X √ √ Android - アプリケーションのブラックリスト登録 √ √ √ √ X √ √ iOS - アプリケーションのホワイトリスト登録 √ X √ √ X √ √ iOS - アプリケーションのブラックリスト登録 √ √ √ √ X √ √ WP8 - アプリケーションのホワイトリスト登録 X X X X X X X WP8 - アプリケーションのブラックリスト登録 X X X X X X X √ √ X √ X √ X 注記 モバイル情報管理(プラットフォームによっては使えない機能あり) 企業所有のデバイス上の個⼈的データの管理 バージョン 1.2 September 2013 Page 89/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 私物のデバイス上の企業データの管理 √ √ √ √ X √ √ 企業所有のデバイスからの個⼈的データの消去 √ √ √ √ X √ √ 私物のデバイスからの企業データの消去 √ √ √ √ X √ √ 野良アプリケーションへのデータ漏洩の防⽌ √ √ √ √ X √ √ 管理対象アプリケーション間のデータ交換の制御 √ √ √ √ X √ √ ローカルデータの暗号化 √ √ √ √ √ √ √ 場所に応じた情報へのアクセス √ √ √ X X √ X モバイルデバイスへのコンテンツの配布 √ √ √ X √ √ √ エンタープライズファイル同期ソリューションの使 ⽤を検討すること サードパーティ製のアプリを使ったモバイルデバイスへのコンテンツの配布 √ √ X √ X √ √ Accellion など 暗号化を使ったモバイルデバイスへのコンテンツの配布 √ √ √ X √ √ √ サードパーティ製のアプリと暗号化を使ったモバイルデバイスへのコンテン ツの配布 √ √ X √ X √ √ ポリシー違反の通報 √ √ √ √ X √ √ バージョン 1.2 September 2013 注記 デバイスの全消去を使⽤ モバイル OS にこの機能がある場合のみ有効 Page 90/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 私物のアプリと企業のアプリとの間のカット/コピー/ペーストのブロック √ √ √ √ X √ √ 社内 Web サーバーへの安全なアクセス √ √ √ √ X √ √ 社内 Microsoft Sharepoint への安全なアクセス √ √ √ √ X √ √ 社内ネットワークシェアへの安全なアクセス # # √ # X # # Android – メディアの暗号化 √ √ √ √ X √ √ デバイスへの Adobe PDF ファイルの配布 √ √ √ X X √ √ デバイスへの画像ファイル(PNG、BMP、JPEG)の配布 √ √ √ X X √ √ デバイスへの Microsoft Office ファイルの配布 √ √ √ X X √ √ ファイルが存在するかどうかをチェックし、存在しない場合のみファイルを コピー √ √ ~ X X √ X ファイル属性(読み取り専⽤、隠しファイル)の設定 √ √ ~ X X X X ファイルの説明⽂の提供 √ √ ~ X X X √ ファイルの配布先の指定 ~ √ ~ X X X √ バージョン 1.2 September 2013 注記 ~ Android および Windows Mobile のみ Page 91/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 注記 クラウドサービス(iCloud など)のブロック √ √ √ √ ~ √ √ ~ Apple iOS のみ ローミングの監視 √ X X √ X √ X ローミングの制限 √ X √ √ X √ X モバイル OS にこの機能がある場合のみ有効 ローミングの禁⽌ √ X ~ √ X √ ~ モバイル OS にこの機能がある場合のみ有効 ポリシー違反の通報 √ X √ √ X √ X ネイティブアプリケーションの保護 √ √ √ X √ √ √ サードパーティ製アプリケーションの付属 √ √ √ √ X √ √ 添付ファイルの暗号化 √ √ √ √ X √ X 特定の添付ファイルのブロック √ √ √ √ X √ X Exchange Active Sync のデバイスアクセスルールのサポート √ √ √ √ √ √ √ モバイル費⽤管理(プラットフォームによっては使えない機能あり) 電⼦メールの保護(プラットフォームによっては使えない機能あり) バージョン 1.2 September 2013 Page 92/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown ネイティブメールクライアントによる電⼦メールプロファイルのコンテナ化 √ √ √ X X √ √ サードパーティ製のメールクライアントによる電⼦メールプロファイルのコ ンテナ化 √ √ √ √ X √ √ メール転送の禁⽌ √ √ √ X X √ √ 内容や添付ファイルに応じたメール転送の禁⽌ √ X √ X X X X X X √ # ユーザーごとやユーザーグループごとのメール転送の禁⽌ X デバイスごとやデバイスグループごとのメール転送の禁⽌ # X # X X √ # デバイス上の電⼦メールプロファイルの設定 √ √ √ √ √ √ √ Microsoft Exchange Server のサポート √ √ √ √ √ √ √ Microsoft Office 365 のサポート √ √ √ √ √ √ √ Google Gmail のサポート √ √ √ X X √ √ IBM Lotus Notes/Domino のサポート √ √ √ √ X √ √ IMAP のサポート √ X √ √ √ √ √ バージョン 1.2 September 2013 注記 Page 93/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 企業の連絡先の(特定の)情報を個⼈的な連絡先との間で共有 ~ X X √ X X X Cloud(SaaS)サービスの利⽤ √ √ √ X √ √ √ オンプレミス型のソリューション、インバウンド⽅向のファイアウォール ルールは不要 X X X √ X X X Microsoft System Center 2012 との統合 √ X X X √ √ √ ⾼可⽤性配備が可能 √ √ √ √ X √ √ 災害復旧⼿法の利⽤が可能 √ √ √ √ X √ √ 5,000 台超のデバイスのサポート √ √ √ √ √ √ √ ~ Microsoft の場合はデバイス台数ではなく「ユー ザー数」 10,000 台超のデバイスのサポート √ √ √ √ ~ √ √ ~ Microsoft の場合はデバイス台数ではなく「ユー ザー数」 20,000 台超のデバイスのサポート √ √ √ √ ~ √ √ ~ Microsoft の場合はデバイス台数ではなく「ユー ザー数」 注記 プラットフォーム/インフラ バージョン 1.2 September 2013 Page 94/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown Active Directory のサポート √ √ √ √ √ √ √ LDAP のサポート √ √ √ √ √ √ √ Windows Server 2003 のサポート X X √ √ ~ ~ X ~ オンプレミスサーバーは不要 Windows Server 2008 のサポート √ X √ √ ~ ~ √ ~ オンプレミスサーバーは不要 Windows Server 2008 R2 のサポート √ √ √ √ ~ ~ √ ~ オンプレミスサーバーは不要 Windows Server 2012 のサポート X X √ √ ~ ~ √ ~ オンプレミスサーバーは不要 2 段階認証のサポート √ √ X √ X √ X 多段階認証のサポート X √ X √ X √ X ユーザーあたりのライセンス X √ √ X √ √ √ デバイスあたりのライセンス √ √ √ √ X √ ~ サブスクリプションライセンス √ √ √ ~ # √ √ 注記 ライセンス バージョン 1.2 September 2013 Page 95/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown 永久ライセンス √ √ √ ~ # √ X 1 年⽬のサポートと保守がライセンスに含まれている √ √ X √ # √ √ 最初の 1 年間はソフトウェア保守契約が強制される ~ √ √ √ # √ √ 24 時間、365 ⽇のサポートがライセンスに含まれている ~ √ ~ X # ~ √ 猶予期間 √ √ √ √ # X √ 個⼈使⽤は無料(FFPU) X X X X X ~ X 無料試⽤期間 √ √ √ # √ √ # 教育機関の学⽣は無料 # X # # # √ # OMA-DM(Open Mobile Alliance - Device Management)v1.2 のサポート √ X ~ X X X ~ Cisco ISE 1.2 との統合によるきめ細かなネットワークアクセス制御 # # √ # # √ # 注記 ~ オプション その他 ~ Windows Mobile のみ サポートとコミュニティ バージョン 1.2 September 2013 Page 96/ 103 EMM カテゴリー AirWatch EMM Suite AppSense EMM Suite Citrix XenMobile Good for Enterprise Microsoft Intune MobileIron Symantec MM Suite Smackdown ISV ⽤認定プログラム X √ √ X X √ √ 誰でも参加できる活発なコミュニティフォーラム X √ X X X √ √ 公式のトレーニング講座 √ √ √ X X √ √ 公式認定プログラム(VUE または Prometric) X X X X X √ √ EMM 技術スタックの実績がある(エンドポイント数が 1 万を超える企業の さまざまな配備⽅式の本番環境で、1 年間以上の利⽤実績がある) X X √ X X √ √ EMM 技術スタックを利⽤しているヨーロッパの企業(CCU が 1 万)からの 推薦状が 10 件以上公開されている X X X X X √ X EMM 技術スタックを利⽤しているアメリカの企業(CCU が 1 万)からの推 薦状が 10 件以上公開されている X X X X X √ X ベンダーによるエンタープライズアーキテクチャのリファレンスデザインの 公開 SMB 向けのリファレンスアーキテクチャの公開 バージョン 1.2 ~ 注記 √ ~ ~ MobileIron:顧客のみ ~ AppSense:顧客およびパートナー √ ~ ~ MobileIron:顧客のみ ~ AppSense:顧客およびパートナー September 2013 Page 97/ 103 EMM Smackdown as 10. 改版履歴 Date September 2013; Document version 1.2 Added note about IOS7 in chapter 7.3. Added feature ‘Android 4.x, support for Samsung KNOX’, in table in chapter 9.5. Added feature ‘Android 4.x, support for Samsung SAFE’, in table in chapter 9.5. Added feature ‘Secure access to on-premises network shares’, in table in chapter 9.5. Added feature ‘Granular network access control by intregating Cisco ISE 1.2’, in table in chapter 9.5. Change mobile client platform support “Windows XP Sp3”, “Windows 7” for AirWatch Enterprise Mobility Management Suite Change mobile client platform support “Windows 7”, “Windows 8” for Citrix XenMobile Added / changed description of Microsoft Exchange Active Sync Next release Windows Intune announced(Wave E) Architecture “Cloud-based and Unified Device Management” Date June 2013; Document version 1.1 バージョン 1.2 Removed Gartner Hypecycles(chapter 6.1, 6.2 and 6.3) Changed “EMM technology stack is proven, the solution is being used for 1+ year in enterprise production environments. 10K+ endpoint, various deployment scenarios” for Symantec Mobile Management Suite Change mobile client platform support “MAC OS X”, “Windows 8” and “Windows RT” for AirWatch Enterprise Mobility Management Suite Changed “Support for two-factor authentication” for AirWatch Enterprise Mobility Management Suite Changed “Official training classes available” for AirWatch Enterprise Mobility Management Suite Added “MaaS360 by Fiberlink” to chapter 8 Added “MaaS360 by Fiberlink” to table in chapter 4.15 Added “MaaS360 by Fiberlink” to table in chapter 9.2 Added “MaaS360 by Fiberlink” to table in chapter 9.4 Changed “AppSense DataNow” to “AppSense EMM Suite” September 2013 Page 98/ 103 EMM Smackdown as Changes various features for AppSense EMM Suite Removed references to “Microsoft System Center Configuration Manager required” for some “Windows Intune” features; if additional software is required this feature is valued “X=Not applicable” Added Cor Reinhard to the A-Team(PQR)members Date May 2013; Document version 1.0 バージョン 1.2 Awesome, the initial version; feedback? [email protected] or [email protected] September 2013 Page 99/ 103 EMM Smackdown as 11. 付録:PQR のチームメンバー Henk Hoogendoorn は、約 15 年間の ICT 分野の経験があり、PQR でコンサルタント兼マイク ロソフト認定トレーナーとして働いています。主にデバイス管理とユーザー環境管理(サー バー、デスクトップ、モバイルデバイス、アプリケーションの管理)を専⾨とし、シンプルで 効率的な管理の実現に⼒を注いでいます。いくつかのブログサイトで Microsoft System Center ソリューションについてのライターとして活動し、Microsoft TechNet フォーラムで知識を披露 しています。メール([email protected])や twitter で連絡をとることができます。 Marcel van Klaveren(1978 ⽣まれ)は、システムエンジニアとしてキャリアをスタートさせ、 IT ビジネスの分野で 15 年以上の経験があります。その間、複数の分野で経験を重ね、MCITPEA Exchange 2010(マイクロソフト認定 IT プロフェッショナル - エンタープライズメッセー ジングアドミニストレータ 2010)、Enterprise Vault に関する STS(Symantec テクニカルスペ シャリスト)、VCP(VMware 認定プロフェッショナル)といった資格を取得しています。現 在は PQR のメッセージングコンサルタントとして、IT インフラのアドバイス、設計、移⾏を ⾏っています。 Anton van Pelt(1984 年⽣まれ)は、PQR の技術コンサルタントです。専⾨はアプリケーショ ン&デスクトップデリバリーソリューションですが、それよりはるかに広い範囲に興味を持ち、 複雑な IT 環境についての広範な知識を備えています。現在は、先進の ICT インフラのアドバイ ス、設計、実装、移⾏を担当しています。最も重要なベンダーの最⾼レベルの認定資格を持ち、 CCIA(Citrix 認定インテグレーションアーキテクト)、MSCE(Microsoft 認定システムエンジ ニア)、RCP(RES 認定プロフェッショナル)として活躍しています。RSVP(RES ソフト ウェア価値プロフェッショナル)受賞者でもあります。twitter でフォローしたり、メールで連 絡をとることができます。 Sven Huisman(1977 ⽣まれ)は、ユトレヒトで情報管理を学びました。システムエンジニア としてキャリアをスタートさせ、IT ビジネスの分野で 10 年以上の経験があります。PQR の技 術コンサルタントの⼀⼈であり、アプリケーション&デスクトップデリバリーとハードウェア &ソフトウェア仮想化を専⾨とし、先進の ICT インフラのアドバイス、設計、実装、移⾏を ⾏っています。最も重要なベンダーの最⾼レベルの認定資格を持ち、CCEA(Citrix 認定エン タープライズアドミニストレータ)、MCSE(Microsoft 認定システムエンジニア)、VCP (VMware 認定プロフェッショナル)として活躍しています。VMware vExpert 受賞者でもあり ます。メール([email protected])や twitter で連絡をとることができます。 Erik van Veenendaal, Erik(1982 年⽣まれ)は PQR の技術コンサルタントです。Erik はシス テムエンジニアとして IT キャリアをスタートさせ、その後 10 年以上にわたり複雑な ICT イン フラ分野において経験を積みました。彼はユーザー環境管理を含む、アプリケーションおよび デスクトップデリバリーソリューションを担っています。Erik は分析的で幅広い知識を持ち、 それを先進的な ICT インフラ分野における助⾔、設計、実装、移⾏などに活かしています。 Erik は、Citrix Certified Integration Architect(CCIA)、Microsoft Certified Solutions Associate (MCSA):Windows Server 2012、RES Workspace manager Certified Professional(RPFCP) などを持っています。Erik の連絡先:[email protected] または twitter で連絡をとることができます。 バージョン 1.2 September 2013 Page 100/ 103 EMM Smackdown as Cor Reinhard は、IT プロフェッショナルであり、Microsoft 認定トレーナーでもあります。IT 分野のコンサルタントやアーキテクトとして 12 年以上の経験があり、それを活かした広範な IT スキルを提供しています。Microsoft の技術についての深い知識があることに定評があり、会 議、セミナー、⾃分のブログ、トレーニング講座など、いろいろな場で⾒識を披露していま す。主な専⾨は統合コミュニケーション、メッセージング、パブリッククラウド、Active Directory サービスです。 バージョン 1.2 September 2013 Page 101/ 103 as PQR B.V. Rijnzathe 7 3454 PV De Meern The Netherlands Tel: +31(0)30 6629729 Fax: +31(0)30 6665905 E-mail: [email protected] www.PQR.com
© Copyright 2024 Paperzz
