モバイル・IoT セキュリティ

MDM (モバイルデバイス管理)

約 4 分で読めます

最終更新: 2026-02-28

MDM とは

MDM (Mobile Device Management / モバイルデバイス管理) とは、企業や組織が従業員のスマートフォン、タブレット、ノート PC などのモバイルデバイスを一元的に管理・制御するためのソリューションです。

リモートワークの普及により、従業員が社外から業務データにアクセスする機会が増加しました。MDM を導入することで、IT 管理者はデバイスのセキュリティポリシーの適用、アプリの配布・制限、紛失時のリモートワイプ (遠隔データ消去) などを管理コンソールから一括で実行できます。

MDM はIAM (アイデンティティ・アクセス管理) と連携して「誰が」「どのデバイスから」「何にアクセスできるか」を制御し、ゼロトラストアーキテクチャの重要な構成要素として機能します。

MDM の主要機能

  • デバイスの登録と構成: 新しいデバイスを MDM に登録し、Wi-Fi 設定、VPN 設定、メールアカウント、セキュリティポリシーを自動的に配布する。Apple の DEP (Device Enrollment Program) や Android の Zero-Touch Enrollment を使えば、箱から出した時点で自動的に MDM に登録される。
  • セキュリティポリシーの強制: パスコードの最低桁数、デバイス暗号化の有効化、画面ロックまでの時間、OS の最低バージョンなどのポリシーを強制適用する。ポリシーに準拠していないデバイスからの業務データへのアクセスをブロックできる。
  • アプリ管理 (MAM): 業務に必要なアプリの配布、不要なアプリのインストール制限、アプリ内データの暗号化を管理する。アプリ権限の制御も MDM 経由で設定可能。
  • リモートワイプ: デバイスの紛失・盗難時に、管理コンソールからデバイスのデータを遠隔消去する。「フルワイプ」(デバイス全体の初期化) と「セレクティブワイプ」(業務データのみ消去) を選択できる。
  • 位置追跡と紛失モード: 紛失したデバイスの位置を追跡し、画面にメッセージを表示する「紛失モード」を有効化できる。プライバシーへの配慮から、常時追跡ではなく紛失時のみ有効化する運用が一般的。

BYOD と MDM の課題

BYOD (Bring Your Own Device / 私物端末の業務利用) 環境では、MDM の導入に特有の課題があります。

  • プライバシーの懸念: 従業員は私物デバイスに MDM プロファイルをインストールすることに抵抗を感じることが多い。「会社に個人の写真やメッセージを見られるのではないか」という不安がある。実際には MDM が個人データにアクセスする範囲は限定的だが、透明性のある説明が不可欠。
  • コンテナ化による分離: BYOD の課題を解決するアプローチとして、デバイス上に業務用の暗号化されたコンテナ (仮想領域) を作成し、個人データと業務データを完全に分離する方式がある。コンテナ内のデータだけを MDM で管理し、個人領域には一切触れない。
  • MAM (Mobile Application Management) への移行: デバイス全体を管理する MDM ではなく、業務アプリだけを管理する MAM に移行する企業も増えている。Microsoft Intune の「アプリ保護ポリシー」は、MDM 登録なしでも業務アプリ内のデータを保護できる。

BYOD ポリシーの策定では、セキュリティ要件と従業員のプライバシーのバランスが重要です。過度に制限的なポリシーは従業員の反発を招き、シャドー IT (IT 部門が把握していないデバイスやサービスの利用) を助長する結果になりかねません。

MDM とゼロトラストの統合

現代のセキュリティアーキテクチャでは、MDM はゼロトラストモデルの重要な構成要素です。

  • デバイスの信頼性評価: ゼロトラストでは、アクセスを許可する前にデバイスの状態を検証します。MDM が提供するデバイス情報 (OS バージョン、暗号化の有無、ジェイルブレイクの検知、最終パッチ適用日) を条件付きアクセスポリシーに組み込むことで、セキュリティ基準を満たさないデバイスからのアクセスを自動的にブロックできます。
  • 継続的な検証: 初回認証時だけでなく、セッション中もデバイスのコンプライアンス状態を継続的に監視する。デバイスがポリシー違反の状態になった場合 (例: OS アップデートを適用していない)、リアルタイムでアクセスを制限する。
  • IAM との連携: ユーザー認証 (IAM) とデバイス認証 (MDM) を組み合わせることで、「正しいユーザーが、信頼できるデバイスから、許可されたリソースにアクセスしている」ことを多角的に検証する。

代表的な MDM / UEM (Unified Endpoint Management) 製品には、Microsoft Intune、VMware Workspace ONE、Jamf (Apple デバイス特化)、Google Endpoint Management などがあります。

よくある誤解

MDM を導入すると会社が従業員の個人データをすべて監視できる
MDM が取得できる情報はデバイスの種類、OS バージョン、インストール済みアプリの一覧、暗号化の状態などに限定されます。個人の写真、メッセージ、ブラウザ履歴にはアクセスできません。BYOD 環境ではコンテナ化により業務データと個人データを完全に分離できます。
MDM は大企業だけが必要なソリューション
従業員が 1 人でもモバイルデバイスで業務データにアクセスするなら、MDM の検討は必要です。クラウドベースの MDM は中小企業でも導入しやすい価格帯で提供されており、デバイスの紛失・盗難時のリモートワイプだけでも導入価値があります。

関連用語

モバイルアプリ権限管理 スマートフォンアプリがカメラ、マイク、位置情報、連絡先などのデバイスリソースにアクセスする際に必要な許可の管理。iOS と Android はともに細粒度の権限… デバイス暗号化 スマートフォンや PC のストレージ全体を暗号化し、紛失・盗難時にデータへの不正アクセスを防止する技術。iOS は標準で有効、Android も Android… IAM (Identity and Access Management) クラウド環境やシステムにおいて、ユーザーやサービスの認証・認可を一元管理する仕組み。最小権限の原則に基づき、必要最小限のアクセス権のみを付与する。IAM ポリシ… ゼロトラストセキュリティ ネットワークの内外を問わず、すべてのアクセスを信頼せず検証するセキュリティモデル。従来の境界型防御が内部ネットワークを暗黙的に信頼していたのに対し、ゼロトラスト… コンテナセキュリティ Docker や Kubernetes などのコンテナ技術を安全に運用するためのセキュリティ対策。コンテナイメージの脆弱性スキャン、最小権限での実行、ネットワー…

関連記事

スマートフォンのプライバシー設定:見落としがちな 8 つの項目 スマートフォンから漏れる個人情報のリスクと、iOS・Android それぞれで確認すべきプライバシー設定を解説します。… デバイス暗号化の基礎:PC・スマートフォンのデータを守る デバイスの暗号化が必要な理由と、Windows・macOS・iOS・Android それぞれの暗号化設定方法を解説します。…
← 用語集