会社端末をセキュアに管理しよう

ブログ

会社端末をセキュアに管理しよう

 

緊急事態宣言が解除となり、週末は久しぶりにお出かけをしたという方もいるのではないのでしょうか。

月曜日には東京の感染者数は久しぶりに100人以下となり、収束の光が見えてきているような気がしています。

しかし、ここで油断せず、しっかりと手洗いうがいアルコール消毒、三密を回避する等の感染予防対策を行いながら過ごしていきましょう!

さて、今回のテーマは「会社端末をセキュアに管理しよう」になります。

会社端末の管理にお困りの方は、是非、最後までお付き合いいただけると幸いです。

 

1. MDM とは?

 

MDM という単語を聞いたことはありますか?あまり聞き馴染みのない方もいると思います。

MDM の正式名称は、Mobile device management で、モバイル端末を管理することを表します。

 

企業でモバイル端末を支給しているところは多いかと思いますが、その端末を私用で利用したり、セキュリティが緩かったり等、情報漏洩やセキュリティ事故に繋がるリスクが潜んでいます。

そんなモバイル端末に必要になってくるのが、MDM になります。

 

コロナ禍になる前は、会社支給の端末を利用するのは、営業担当者や役職者クラスのユーザーが多く見られましたが、テレワークが浸透し、一般社員にも端末を支給する企業が増えているのではないのでしょうか。

このように、管理する端末が多くなるとよりルールを設けて運用を行うことが必要とされます。

 

では、MDM を導入することでどのようなことができるのでしょうか。

一般的に MDM でできることは以下となります。

 

・デバイスの紛失や盗難時に情報漏洩を防ぐ 

・端末情報の収集や各種設定の一元管理

・不正利用を制限する

 

次章では、Google の MDM でできることを紹介いたします。

 

2. Google の MDM でできること

 

Google の MDM といえば、エンドポイント管理が挙げられます。

 

・データのセキュリティを確保

 

スマートフォンの紛失やダブレットの盗難といった事態に備えて、エンドポイント管理で企業データを保護することができます。

画面のロックや安全なパスワード設定を必須にしたり、デバイスまたは特定のアカウントのワイプで端末上のデータを消去したりできます。

Windows、Chrome OS、Linux、macOS の特定セッションへのアクセスをブロックすることも可能です。

 

・エンドポイントを一元管理

 

Google Workspace では、組織のエンドポイント管理をシンプルに管理できます。

エージェントレスのエンドポイント管理により、ユーザーの Android や iOS 端末にソフトウェアをインストールすることなく、パスコード設定を必須化にしたり、特定のアカウントをワイプしたりすることが可能です。

 

・ユーザーに必要なアプリを今すぐ提供する

 

管理コンソールから Google Play または、App Store 経由でビジネスアプリケーションを配布します。

内部限定の Android アプリを Google Play プライベートチャンネルでホストします。

 

3. MDMの設定方法

 

前章で Google の MDM でできることについてざっとご紹介いたしましたが、

端末管理と言えども、実は非常に多くの端末管理に関わる設定、管理ができます。

 

本章ではその膨大な設定、管理の中から厳選して、パソコンの管理ができるエンドポイントの設定をご紹介いたします。

 

パソコン管理の概要

 

組織のデバイスを管理ができる、Google の MDM は、ユーザーのパソコンを管理する上で、パソコンの管理設定をする必要があります。組織のデータへのアクセスを許可するパソコンなどを指定して、デバイスの詳細情報を取得することができます。また、ユーザーが管理者アカウントにログインした日時やパソコンの詳細情報も確認できます。

 

基本の管理対象としては、以下のとおりです。

・Microsoft Windows 、Apple Mac 、Linux、Chrome OS 

 

エンドポイントの確認

 

エンドポイントの確認機能を使用することで、組織のデータにアクセスしている Chrome OS デバイスと Chrome ブラウザの詳細を確認できます。

 

例えば、ユーザー個人のデバイス、組織が所有するデバイスについて、OS、デバイス、ユーザーに関する情報などがあります。

 

エンドポイントを確認することができる対象OS、ブラウザは、以下のとおりです。

 

・Chrome OS 、 Chrome ブラウザ

 

対象のパソコンは以下のとおりで、設定インストール前に事前にシステムの要件を確認してみましょう。

 

・Apple Mac OS X EI Caption (10.11)以降

・Chrome OSデバイス

・Linux Debian および Ubuntu ※ CPU が AED の命令をサポートしている必要があります

・Microsoft Windows 7 および 10 

 

それでは、ここまで確認できたところで、実際にエンドポイント管理の準備をしていきましょう。

 

Endpoint Verification を設定する

 

Endpoint Verification を使うと、組織の管理者はデバイスによる組織のデータへのアクセスを制御して、それらのデバイスの詳細情報を取得することができます。

 

Endpoint Verification を最初にインストールする必要がありますので、管理者にて行う設定、ユーザー自身で行う設定とオプションが選べますが、今回は「ユーザー自身で行う」設定でご紹介いたします。

 

※ 事前に、Chrome ブラウザと Endpoint Verification 拡張機能をインストールします

 

①【Endpoint Verification 拡張機能をインストールする】

 

1. Chrome OS デバイスの場合、Endpoint Verification の設定用に使用する企業アカウントでデバイス にログインします。

2. Chrome ブラウザを開きます。

3. 画面右上の [拡張機能] アイコンを開き、[拡張機能の管理] をクリックします。

 

5. 左下画面の [Chrome ウェブストアを開きます] より、「Endpoint Verification」 を検索し、Chrome  の拡張機能に追加します。

 

②【管理コンソールでエンドポイントの確認を有効にする】

 

1. 管理コンソールのホームページから、[デバイス] にアクセスします。

 

 

2. 左の項目で、[モバイルとエンドポイント] > [設定] > [一般設定] をクリックします。

 

 

3. データアクセスの [エンドポイントの確認] をクリックし、[組織のデータにアクセスするデバイス

 を確認する] チェックボックスをオンにします。

 

 

4. [保存] をクリックします。

 

デバイスの仕事用データの同期を終了させて、デバイスを削除したい場合

 

例えば、登録していたデバイスと同期させていた仕事用データを消す必要がある場合は、

登録したデバイスを削除することができます。

 

1. 管理コンソールを開き、[デバイス] にアクセスします。

2. 左の項目で、[モバイルとエンドポイント] > [デバイス] をクリックします

3. 削除するデバイスを選択して、左の項目で [その他] をクリックします。

4. [デバイスを削除] をクリックします。

※デバイス内の情報は削除されません

 

4. MDM利用においての注意点

 

今月の 10月26日までに 管理対象の Android デバイスは、 Android Device Policy にアップグレードする必要があります。

 

現在、従来の Google Apps Device Policy( Android Device Policy の旧名称 )を利用されている場合は、サポートが終了する前にアップグレードの対応をお願いします。

 

期日になっても Google Device Policy をご使用の場合は、デバイスを同期したり、データにアクセスできなくなります。

期日までにアップグレードしていただくことで、詳細管理が設定されている登録デバイスで、引き続きデバイスを同期したりデータにアクセスしたりできます。

 

Android Device Policy に移行するには、デバイスに Android 6.0(Marshmallow)以降が搭載されており、仕事用プロファイルに対応している必要があります。

ご利用されている端末が上述の条件を満たしているか、ご確認をお願いします。

 

5. Cloudstep コネクトでデバイスの利用を制限する

 

最後に、弊社が提供している Cloudstep コネクトのサービスを紹介します。

 

Cloudstep コネクトでは IP 制限、デバイス制限機能を使用して、クラウドサービスを利用できるデバイスを制限することができます。

 

IP 制限:会社内の IP だけ許可することで、外からのアクセスを制限する

デバイス制限:特定の PC やモバイルなどアクセスできるデバイスを制限する

 

また、上記の制限を組み合わせることで、会社内の IP 以外からのアクセスは、

特定のデバイスのみ許可するなど、柔軟に設定可能です。

 

他にも承認できるデバイス数を制限したり、特定グループのみ制限をかけるなどの設定も容易に可能です。

 

デバイス制限などは、管理者側の作業が多く、負担になりがちですが、Cloudstep コネクトでは、

使用デバイスを識別し、個別に許可することも、不要になり削除することもボタン 1 つで設定可能なため、管理者の負担もありません。

 

Cloudstep コネクトの製品情報を知りたい人は、こちらをご確認ください。

 

弊社では、 Google Workspace や Cloudstep サービスの運用をサポートしている
カスタマーサクセスチームがございます。

運用にあたり、ご不明な点や、プランアップグレードへの検討など、

お悩みのご相談等ございましたら、以下のページよりお気軽にお問い合わせください。

皆様のお力添えができるよう、精一杯サポートいたします。

 

お問い合わせはこちら!