MDM MoDeM セキュアブラウザ機能(Android)

 セキュアブラウザとは
一般的にセキュアブラウザはウェブブラウジングする時の情報漏えい防止や不正アクセス防止対策のための機能です。
セキュアブラウザは大きく分けて「データ保存禁止」と「フィルタリング」の2種類に分けられます。「データ保存禁止」は端末にデータを残すことなく業務アプリケーションを利用ができ、「フィルタリング」はアプリケーションへの接続を業務に必要なもののみに限定することができます。
セキュアブラウザ製品によってはこれら2つの機能を持っているものや、いずれか一方のみ利用できるものがあります。

セキュアブラウザを搭載した理由

最近では、モバイルデバイスの普及が高まりブラウジングを通して簡単に情報を取得したり手軽に商品を購入できるようになりました。
簡単で便利なモバイルデバイスですが、インターネットにアクセスする時間も同様に増えてきています。
MDMを取り扱う弊社では、モバイルデバイスを業務利用する上で業務に不必要な私的利用に対する不安の高まりを感じ、それらの不安を解決すべきだと考えました。そこで、弊社のMDMにセキュアブラウザを標準機能として搭載することとなりました。次に、MoDeMに搭載されたAndroid向けセキュアブラウザをご紹介します。


※MoDeMアプリブラウザ画面

MoDeMのセキュアブラウザ

MoDeMのセキュアブラウザは閲覧することができるWebサイトを制限することで、危険なコンテンツをあらかじめ禁止し外部脅威からの不正アクセスを防止することができます。MoDeMではAndroid用ポリシーでセキュアブラウザを設定することができます。

MoDeMのセキュアブラウザでは制限方法が3つあります。

1つ目は、「制限しない」です。利用者は制限なくウェブブラウジングを行うことができます。業務にモバイルデバイスをフル活用したい場合にはこの設定を行うべきでしょう。2つ目は、「シングルURL」です。指定したサイトのみを固定し、閲覧することができます。3つ目は、「ホワイトURL」です。複数のURLを一括配信し、閲覧できます。モバイルデバイスを安全かつ有効に活用することができます。

 

 

 

 

※ブックマーク設定したURL

セキュアブラウザの中にブックマークを自動追加!

ブックマーク設定を行うことで複数のURLへアクセスを可能にします。
業務に活用してほしいウェブサイトのURLをブックマークとして一括配信することで、私的な目的でのウェブアクセスの心配をなくした上で業務のためのブラウザ管理を行えます。

セキュアブラウザ搭載によって、さらに強固なセキュリティーとモバイルデバイスの活用が可能なりました。

MoDeMのセキュアブラウザは業務に不必要なブラウジングを制限できます。今回のセキュアブラウザ搭載によって、より安全で便利なモバイルデバイスの活用が可能になります。セキュアブラウザについて詳しく知りたい方はぜひお気軽にお問い合わせください。

MoDeM Android 機能

アセントネットワークス、MDMサービス「MoDeM(モデム)」に業務支援機能を強化した最新バージョンをリリース

2014.7.29 18:08

MoDeM業務支援機能の拡充

株式会社アセントネットワークス(所在地:東京都千代田区)は、モバイル端末の管理や、モバイル環境での業務を支援する機能を統合したオールインワンMDM(モバイルデバイス管理)サービス「MoDeM(モデム)」の最新バージョンとなるVer2.6を7月29日より提供開始します。

今回のバージョンアップでは、端末の使用者(ユーザ)情報やデバイス状態をモニタリングしながら、より業務に活用しやすいように「業務支援機能」を強化しました。さらに、アップル社の「Volume Purchase Program(以下、VPP)*1」の管理・配布に対応し、VPPアカウントで購入したアプリの配布およびライセンス管理が可能となりました。

■ 業務支援機能の拡充

チーム毎に業務支援担当を管理者に設定することで、効率よくグループを管理および支援することができます。さらに、チーム全員の現在位置をリアルタイムで確認するのはもちろん、社員と顧客社を地図上に表示して顧客社からもっとも近い人を割り出すことができます。

MoDeMTeamManager

  • チーム員の現在地と顧客社の位置確認
  • 緊急指示やショートメッセージの送信
  • 大容量の資料をデバイスにダイレクト転送
  • アプリケーションのOTA配布 など

■ VPPの管理・配布に対応

アップル社が提供するVPPの管理・配布に対応することで、法人・教育機関向けのアプリ管理機能が強化されました。この機能を使えば、無料/有料のiOSアプリを企業や学校側でまとめて購入し、従業員や学生にアプリの配布を遠隔で行うことが可能になります。また配布したアプリのライセンスは、回収して別の従業員に新たに割り当てることもできます。

*1:アップル社が企業および教育向けに提供するプログラムです。アップル社が提供する、App Storeで提供中のアプリを一括購入できるプログラムです。

オールインワンMDMサービス「MoDeM」の主な特徴

オールインワンMDMサービス「MoDeM」は、モバイル端末の管理・セキュリティ機能に加え、ビジネスの現場で業務をサポートするための機能を利用できるMDMサービスです。

■ MAM, MCM機能
モバイル端末の管理(iPhoneやAndroid対応)はもちろんのこと、iOS、Android用の商用アプリの配布と管理が可能です。また、WordやPowerPoint、Excel、PDFなどのドキュメントファイルや写真、動画などもモバイルデバイスで簡単に配信することが可能です。

■ MDMプロファイル削除防止機能
既存のMDMサービスの多くは、MDMプロファイルの削除や、クライアントアプリの削除によって、端末をMDMの管理が届かない状態にできてしまいますが、MoDeMでは、独自の技術でMDMプロファイルの完全削除、クライアントアプリの削除を防止します。

■ 5台まで無料で利用が可能なスマートプラン
会社毎に5台まで無料で利用が可能なスマートプランを提供します。少数端末のみを利用する中小企業や、検討前に十分なテストを行いたい場合のために、MoDeMでは充実した機能を無料で利用できます。

■ 共有アドレス帳
業務で頻繁に利用する電話番号などの企業や部署のアドレス帳データを、管理者がWebから各モバイル端末のアドレス帳へ一括共有し、登録することができます。

■ 位置追跡
モバイル端末の位置情報を地図に表示し、モバイル端末の移動経路のログを確認できますので、紛失時の端末位置の確認から、営業担当者の現在位置と移動経路の把握をひと目で確認できます。

サービスプランと料金

  • スマートプラン:初期費用無料、月額料金無料で5台まで管理可能
  • ベーシックプラン:セキュリティ機能に特化、年間19,800円で100台まで
  • エンタープライズプラン:初期費用20,000円、月額料金1台300円(端末数制限なし)

サービスプランと料金、機能の詳細については、下記URLよりご確認いただけます。
( http://ascentnet.co.jp/mdm-modem/mdm価格/ )

株式会社アセントネットワークスについて

株式会社アセントネットワークスは、2006年1月に設立。利便性の高い企業向けのモバイルソリューションの発展に貢献していくテクノロジー・ベンチャーとして、インターネットテクノロジーを活用して企業や人々をモバイルでつなぐ技術の研究に努めています。現在は国内のみならず海外にも拠点を持ち、「モバイルアプリケーション」と「MDM」に特化し、開発研究を行っています。

MoDeMを使用してiOSデバイスにVPPアプリを配布

MoDeMのVolume Purchase Program(以下、VPP)の管理配布機能を使うことで、企業内でまとめて購入したiOSのアプリを従業員や生徒にライセンスを与え、配布することが可能です。また、配布したアプリ(ライセンス)は、従業員が退職した際等に回収し、別の従業員に新たに割り当てることもできます。ここでは、MoDeMの管理者を介してVPPアプリを配布するまでの操作を簡単にご紹介します。

まず、VPPのアプリ配布を利用するには以下の必要条件があります。

  • VPPアカウントの取得
  • VPPの管理配布にはiOS7以上のiPhone・iPadが必要です。
  • 各端末の持ち主(ユーザー)は、配布されるVPPアプリのライセンスを取得(受信)するために、各個人のApple IDを持っている必要があります。このApple IDで、その後iOSデバイス上でサインインする必要があります。

apple VPP site

1. VPPアカウントの取得

VPPを利用するためには、まず、Apple Deployment Programsのアカウントを作る必要があります。このアカウントをVPPに登録して専用のApple IDを作成します。このApple IDでVPPストア(VPP専用のWebサイト)にログインすると、あらゆるビジネスツールを購入することができます。

【VPPアカウントの取得に必要なもの】
1. メールアドレスの準備。VPPアカウント用の専用Apple IDになりますので、別途メールが必要です。
2. D-U-N-Sナンバーが必要です。

2. MoDeM管理画面にVPPアカウントを追加

VPP(Volume Purchase Program)アカウントをMDMとリンクするためにトークンを登録します。
VPPウェブサイト(https://vpp.itunes.apple.com/)へ移動、サインインをクリックしてログイン画面に移動し、VPPアカウントでログインします。

vppblog_02

アカウントボタンをクリックし、「アカウント概要」画面に移動し、「トークンをダウンロード」をクリックします。

vppblog_03

MoDeMの管理画面に移動し、左のメインメニューから「VPPアプリ」メニューを選択、VPPサービストークンのアップロードにトークンファイル(拡張子.vpptoken)をアップロード

vppblog_04

【注意】一度MDMに登録したVPPアカウントを別のアカウントに変更または取り消すことはできません。

3. VPPアプリの購入

VPPウェブサイト(https://vpp.itunes.apple.com/)へ移動しサインインし、Search欄からアプリ名を検索し、必要なアプリを選択します。

vppblog_05

購入するライセンス数(数量)を入力。「注文を確認」ボタンをクリックし、決済を行います。

vppblog_06

【注意】 購入したアプリがMoDeM管理画面のVPPアプリのリストに反映され、ライセンスが利用できるようになるまで10分以上時間が掛かります。しばらくお待ちください。

4. VPPユーザー管理

VPPライセンスを配布するためには、MoDeM管理画面のVPPユーザー管理画面で、対象ユーザーをVPPユーザーにします。

vppblog_07

VPPユーザーに追加すると、MoDeMからVPPアプリを受け取るようユーザーを招待するメールが送信されます。
ユーザーは招待を承諾するため、メールのリンクをクリックし、個人のApple IDを使ってデバイスにサインインします。
ユーザーが承認を行うと認証待ちから認証完了リストに移動します。

vppblog_08

5. MoDeMからのVPP招待を受け入れるためのユーザーの操作

VPPユーザーに追加すると、MoDeMシステムから自動メール(no-reply@modem.jp)が届きます。VPPに参加するためにメールのリンクをクリックしてください。ユーザーご自身のAppleIDアカウントにアクセスを許可するためにAppStoreにサインインし、AppleのVPP利用規約に同意してください。

vppblog_09

【注意】 ユーザーのApple ID情報がMoDeMサーバーや管理者側に通知されることはありません。

6. VPPアプリの配布

MoDeM管理画面のVPPアプリメニューをクリックすると、VPPライセンスで購入したアプリが表示されます。配布するアプリをクリックし、右上のアプリ配布ボタンをクリック、VPP認証済みユーザーにアプリを配布します。

vppblog_10

配布先のユーザーの端末には場合により、端末認証のアラート[Appとブックの割り当てを許可しますか?]が表示されます。その場合には”続ける”を選択してください。
MoDeMからユーザーの端末に割り当てられたアプリをインストールするようメッセージが通知されます。[Appのインストール]が表示され、インストールが開始されます。 (端末の設定で自動ダウンロードを許可しているとアラートは表示されず、そのまま自動ダウンロードが開始されます。)

vppblog_11

また、インストールを拒否してしまった場合、ユーザーはiOSデバイスのApp Storeから直接ダウンロードすることもできます。
MoDeM管理画面のVPPアプリのアプリの詳細画面で「配布されたユーザー確認」をクリックすると配布済みユーザーとライセンス数を確認できます。
【注意】 VPPライセンスはユーザー単位でカウントします。1ユーザーが2端末以上を所持していてもApple ID基準で配布されますので、ライセンスは1となります。

7. ライセンスの回収

割り当てたアプリをユーザーから取り上げる場合、ライセンスを回収し、別のユーザーに割り当て直すことができます。
MoDeM管理画面のVPPアプリのアプリの詳細画面で「配布されたユーザー確認」をクリックし、配布済みユーザーからライセンスを回収するユーザーをチェックし、選択して回収をクリックします。

vppblog_12

【注意】 アプリを無効にしてもユーザーは30日間の猶予期間は引き続きアプリを使用して、データを保存できます。また、MoDeMから端末を削除することで、配布したVPPアプリを直ちに削除することができます。

アップル社のVPP関連情報を参考にしてください。

MDM/MAM/MCM 統合ソリューション MoDeM、製品企画の意図

多くの企業や社員たちは所持しやすくComputingパワーが強いスマートデバイスを使って業務生産性をあげると共に会社でも安全に管理できるソリューションが必要になってきた。

2012年10月、アセントネットワークスでMDM MoDeM Ver1.0をリリースした。
MoDeMのキャッチフレーズは、「MDM MAM MCM 統合ソリューション」にした。統合型に作った理由、そして製品に込められた企画意図を共有できればと思いながら投稿する。

なぜ、MDM/MAM/MCM 統合ソリューションなのか?

企業でMDMを導入する理由が単純にセキュリティ対策だけに留まらず、エンタープライズモビリティー(Enterprise Mobility)にあると考える。つまり、高速インターネットとスマートデバイスの合体で業務処理がスピディーになり、業務生産性のアップに直結することで社員の満足度も上がるというのは、まさに時代の流れであり新しいワークスタイルとも言える。

MoDeMは企画当初、セキュリティはもちろん「エンタープライズモビリティーを実現するための構成」についてたくさんの意見交換をした。これを通じて5つの要素が繋がる構造になり、各領域は次のようだ。

em

MEM : Mobile Expense Management

MEMは、TEM (Telephone Expense Management) がスマートデバイスに進化(対応)されたものだ。法人携携帯は、通信会社が通信・通話料金を分けて請求してくれていたように、スマートデバイスにおいても通話・ネットワーク・アプリケーション等の料金を精算しなければいけないが、これがMEMだ。

BYOD (Bring Your Own Device)の場合、MEMはもっと複雑になる。個人の端末を業務で使用するため公私分けての料金精算や内訳はなかなか難しいものだ。

BYODでの現実的なアプローチは 050番号を導入することだと思う。個人に業務専用の電話番号を別途付与し、その使用料金を会社が支払う形態だ。このブログを投稿するタイミングにMDMとMEMが統合されたソリューションはまだ出ていない。しかしBYODが拡大する思われる2014年~2017年には、MDMのなかでも050が合体されたソリューションが出てくると思う。

MDM : Mobile Device Management

MDMは、端末情報と使用者(ユーザ) 情報やデバイス状態をモニタリングしながら、会社の運営ルール(ポリシー)をリモートで反映させる管理ソリューションだ。

MDMに関する詳細はこちら、「モバイルデバイス管理 (MDM)基礎講座」を参照していただきたい。

MAM : Mobile Application Management

スマートデバイスというハードウェアを利用する理由はソフトウェアにある。初期のアプリはまだ未熟で業務活用に物足りないものも多くあったが、最近ではEvernoteのようにPC用ソフトよりも遥かにユーザビリティの高いアプリがたくさんリリースされている。また、自社専用のアプリ開発も活発に行われている。

ここで頭悩まされるのが、まず、1) このようなアプリをどうやって社員(提供先)に配信するのか。 2) 有償アプリの購入はどうするのかという課題だ。これを解消するためにMDMとMAMを1つの管理ソリューションとして統合されるべきものだと考えた。

1)の場合、多数の社員対して指定アプリをインストールするよう告知しても、入れない人も多くある。このとき、OTA (Over The Air) を使用してアプリを遠隔配布・削除することができる。

2)の場合、Appleで提供する VPP(Volume Purchase Program)で、会社のIDで複数のアプリを一括購入することができ、購入したアプリを複数の端末に向けてOTA配布が可能となる。これをMDMで対応しなければならない。VPPに関する詳細はこちら。

MCM : Mobile Contents Management

スマートフォンやタブレットでDropboxやSkydrive、Google driveなどを使ってPCと同期化する人たちも多くいる。自分の端末なら同期化して映画をみたり、本を読んだりするのは勝手だ。ところが、会社支給の業務用端末なら話は違う。例えば、新商品の設計図は入った端末で流出でもされるとしたら!?

MCMは、概ねファイル共有と同じだが、特定ビューアー(ソフトウェア)でしか閲覧できるように制限したり、データに暗号をかけることによって紛失のときにもデータの流出を防ぐ機能もが含まれる。

今後もMCMに因んだたくさんのソフトウェアが出回ると思うが、モバイル端末へのファイル配布および削除、データの暗号化等をMDM管理コンソールで出来るのであればエンタープライズモビリティー に近接するという考えで MoDeM はMDMでありながらMCMを統合することに至った。

Business App

MEM – MAM – MDM – MCMがエンタープライズモビリティー の基であれば、ユーザたちが実際使用する領域はビジネスアプリだ。MS Officeがアプリとしてリリースされれば、タブレットでの業務は確実に捗れる。これに同期化するEvernote、メッセージアプリ、メールアプリケーションを結合して仕事する人をよく見かけるようになるだろう。

MoDeMは、ビジネスアプリ自体を今は提供していないが、今後は開発会社との連携をとって管理コンソールで制御・モニタリングできるビジネスアプリを提供していきたい。

現場の業務効率を高めるMDM

MoDeMの企画方向が業務に活用されるモバイル基礎ソリューションであるがために、今回Ver2.6 ではチーム管理者機能が追加された。全体管理者がMDMの導入、運営ポリシーの設定および配布、端末の紛失・セキュリティ管理をすることが役割とすれば、実際の業務はチーム単位で行われるのが現実的だ。

このアップデート版ではチーム管理者はメンバーたちにショートメッセージやファイル、アプリを転送することができる。さらに、チームメンバー全員の現在位置をリアルタイムで確認し、顧客社の近所にいる人を割り出すことができる。ただ、プライバシー設定が無効になっているメンバーの位置情報は取得することができない。

MoDeMTeamManager

終わりに…

MDMは OSに依存するものだ。つまり、iOSとAndroidで提供しているAPI をもとに作らるしかないので、開発する側としてはユニークな機能を加えたくてもできない。しかし、「企業版エンタープライズモビリティーのサポート」が我々の役割だと思えば、まだやることがたくさんあることを感じる。

MDM MoDeMは、国内初のMDMソリューションではないが、企業のエンタープライズモビリティーに因んだ製品として位置付けて、今後ウェアラブル機器を含んだ統合ソリューションに成長できればと考えている。

そして、モバイルを活用する人たちが自由に、どこでも仕事ができて、結果、業務効率を上げられる、そのよ日が来ることを望みながら終わりにする。

iOS監視モード(Supervised Mode)とは

Apple Configurator (アップルコンフィギュレータ)は、iOSデバイスを企業などで大量に導入する際に、iOSデバイスの設定(キッティング作業)を行うためのアップル社から提供される無料のツールです。

iOS 5 以降のデバイスでは、Apple Configurator を利用してデバイスを監視モードに設定することができます。また、iOS 7 以降のデバイスであれば、デバイス・エンロールメント・プログラムで初期導入時に一括して監視モードを指定することができます。

監視モード(Supervised Mode)に設定することで利用できるMDM機能

Webサイト制限デバイスが表示できるWebサイトを選択します。アダルトコンテンツを自動的に除外してから、特定のサイトへのアクセスを許可または拒否できます。特定のWebサイトのみを表示できるようにデバイスを設定してから、それらのWebサイトのブックマークを作成することもできます。
機能制限AirDrop機能の使用を制御
AppleのiMessage、iBooks Store、Game Centerアプリを削除
ユーザがiOS端末のアプリを削除することを制御
プッシュメッセージを送信
デバイスの画面ロック

デバイスを監視モードに設定する

Apple Configuratorでデバイスを監視モードに設定できます。

1. Apple Configuratorを起動すると、下記のような画面が表示されます。

supervised

2. 「準備(Prepare)」、「監視(Supervise)」、「割り当て(Assign)」の3つの大項目がありますので「準備」を選択します。

3. 「準備」の下に「設定(Settings)」がありますので「監視モード」を「On」にします。

4. iOSを 「最新(Latest)」 を選択した上で、「準備(prepare)」 ボタンを押します。

5. 進捗状況が表示されます。このステップが終了するとデバイスが監視モードに入ります。 (※上記設定で監視モード(Supervised Mode)を行うとデバイスは自動的に初期化されますので注意してください。)

デバイスを監視モードに設定する デバイスを監視モード(Supervised Mode)にすると、より多くの企業向けMDMの機能を利用できるようになります。 Apple iOS MDM機能を見る

関連トピック

Androidデバイスの保存データを暗号化

MDM MoDeMのポリシーのアンドロイドの設定にある「データ暗号化を使用」オプションをチェックすると、該当するAndroidデバイスは、データを暗号化するようにアラートが表示されます。

Androidデバイスには、[設定] > [ユーザー設定] > [セキュリティ] > [暗号化]で保存データを暗号化するオプションがあります。このAndroidデバイスの「暗号化」というセキュリティ設定は、アカウント、アプリのデータ、音楽や動画、ダウンロードファイルなどのデバイス内にあるすべてのデータを暗号化することで、Androidデバイスを紛失や盗難から守り、より安全に利用することができます。

暗号化の手順は各デバイスの製作メーカーにより少し違う場合があります。

まず暗号化はデバイスを十分に充電した状態で、ACアダプターを繋げた状況で暗号化開始してください。またロック画面設定でパスワードを予め設定しておきます。(一般的には暗号化のパスワードは画面ロック用のパスワードと共通のものです。)

[設定] > [セキュリティ] > [暗号化] > [タブレットを暗号化] or [携帯端末を暗号化] をクリック

Android-data-encryption

(※電池を充電していない場合や端末を電源に接続していない場合は、クリックできません。)

暗号化処理のために長い場合は1時間程度の時間がかかります。その間デバイスを利用できなくなりますので、暗号化は余裕がある時間に行ってください。

Androidデバイスの暗号アルゴリズムは、(標準的なAndroidの場合)AES128bit CBCモードを使用してます。国際暗号学会(IACR)が主催した2011年度の学会CRYPTOでの発表によれば、AESアルゴリズムの安全性について、”直ちに現実的な脅威につながる問題はない”とその安全性が確認されています。

Androidデバイスをビジネスで使う場合、そのデバイスに保存したデータを暗号化して利用することでより安全な利用にスマートデバイスを活用できます。しかし、Androidデバイスの標準暗号化機能には注意すべき点がいくつかあります。

1. 暗号化するとデバイスの電源を入れるたびにパスワードを入力しなければなりません。

複雑なパスコードを設定することに越した事はないです。しかし、現実問題として常に使うスマートデバイスを毎回起動する度に英数字の組み合わせの複雑なパスワードを入力する行為はスマートデバイスの利用効率をかなり妨げるものになってしまうので現実的ではありません。ですので、本来複雑なパスワードですが、保護すべきデバイスの暗号化時のパスコードは入力しやすいパスコードを検討せざるをえません。

2. 暗号化中に何かしらの理由で失敗した場合、すべてのデータが消滅することがあるようです。そのため、導入時に自己責任で実行する必要があります。

また、殆どのデバイスでは、暗号化した時のパスワードがあれば暗号化したままでもOSのバージョンアップが可能ですが、一部の機種ではバージョンアップの最中にデータが壊れるリスクを避けるために、暗号化している状態ではバージョンアップができないようにしている端末もあります。(詳しくはメーカーさんにお問い合わせください。)

3. 暗号化に使用するパスワード(PIN)が、普段のロック解除パスワードと共通のものになります。

多くの機種では一度暗号化を行うと解除する方法がありません。暗号化を止めるには端末を初期化するしか方法がありません。暗号化のパスワードはデバイスの利用者が設定した画面ロック用のパスワードと共通のため、会社の持ち物としてデバイスを管理する場合、管理者であってもデバイスにアクセスができなくなります。

4. 古い機種では暗号化後、若干動作が重くなります。

Android2.3などの機種の場合、特に著しく動作が重くなる場合があります。以上のように、Androidの暗号化はとても有効的なセキュリティ強化方法の1つではありますが、管理面からも懸念点があります。暗号化の設定をポリシーに取り入れる際には、導入前に十分な検証が必要だと思います。

関連トピック