クラウド／モバイル時代のITガバナンスは、いかにして担保すべきか：マイクロソフトカンファレンス2014 セッションレポート

オンプレミスのITガバナンスをクラウド／モバイルのセキュリティ境界に拡大

　モバイルデバイスやクラウドサービスを活用したワークスタイル変革やBYOD（Bring Your Own Device：個人所有端末の業務利用）は、社員の生産性向上や組織の活性化など、ビジネスに大きな成果をもたらすと期待されている。

　ただし、企業においてはITガバナンスを効かせていく観点から、セキュリティリスクを最小限にするための管理性や安全性を担保することも忘れてはならない。『オンプレミスのITガバナンスをクラウドへ〜クラウド・モバイル活用を視野に入れた最新ソリューション〜』と題したセッションでは、マイクロソフトが考えるクラウド・モバイル時代に備えるべき管理ソリューションが紹介された。

　クラウド／モバイルの時代を迎え、現在のワークスタイルは「Anytime（いつでも）」「Anywhere（どこでも）」「Anydevice（どんなデバイス）」へと変化している。そうした時代の流れの中で顕在化してきているのが、「IDの乱立・乱用によるガバナンスの利かないID基盤」「IT管理外でのクラウド／モバイル利用」「ポリシーが適用されない煩雑な管理」「デバイス基盤管理されていないアプリケーションからの情報漏えい」といった課題になる（図1）。これらの課題はいずれも、オンプレミス時代のセキュリティ境界から“はみ出した”領域で起こっている。

図1　クラウド／モバイル時代に顕在化してきている課題（クリックで拡大します）

　日本マイクロソフトの中村知義氏（ビジネスプラットフォーム統括本部 ソリューションスペシャリスト）は、「オンプレミスのITガバナンスをクラウド／モバイルのセキュリティ境界にまで拡大していく、新たな管理の仕組みが必要です」と示唆した。

　こうした新しい管理ニーズに応えるべく、マイクロソフトが提供を開始したのが、統合デバイス管理の「Windows Intune」（次期アップデートでは「Microsoft Intune」に名称を変更予定、以下、Microsoft Intuneと表記）、データ保護の「Microsoft Azure Rights Management Service」（以下、Azure RMS）、セキュアな認証基盤の「Microsoft Azure Active Directory Premium」（以下、Azure Active Directory）の三つのクラウドソリューションを統合した「Enterprise Mobility Suite」（以下、EMS）である（図2）。

図2　「Enterprise Mobility Suite」は、クラウド・モバイル時代に適した新たな管理ソリューション（クリックで拡大します）

多様化するデバイスとクラウド利用に対応した三つの管理ソリューションを統合

　中村氏によるとMicrosoft Intuneは「もともとPCの管理を行ってきたWindows Intuneに、MDM（モバイルデバイス管理）機能を拡充したクラウドベースのマルチデバイス管理ソリューション」であり、従来からのWindows Vista、Windows 7、Windows 8、Windows 8.1に加え、iOSやAndroid、Windows RTといったモバイルOSも管理対象としてカバーすることが最大の特長である（図3）。

図3　Microsoft Intuneは、Windows、iOS、Androidといったデバイスを対象とするクラウドベースの管理サービス（クリックで拡大します）

　マイクロソフト製品ならではの強みは、「System Center Configuration Manager」との連携が可能なこと。Configuration Managerとの連携により、Windows、iOS、Androidだけでなく、Windows Embedded、Windows to Go、Mac OS X、UNIX、Linuxも含めた一元管理が可能になるだけでなく、Microsoft Intune単体よりもきめ細かなポリシーを設定した、高度なPC／モバイルデバイス管理が実現できる（図4）。

図4　Microsoft IntuneはConfiguration Managerと連携することで、より細かく、高度なPC／モバイルデバイス管理が可能になる（クリックで拡大します）

　また、2014年第4四半期の強化ポイントとして、1台のスマートデバイスを会社領域と個人領域に完全に分離し、領域をまたぐアプリ間でのデータコピーなどを防止する、いわゆる「セキュアコンテナ」の機能を搭載予定であることを示した。

　Azure RMSは、WordやExcel、PDFなどのドキュメントを暗号化し、情報漏えいを防止するソリューションだ。中村氏は「ユーザー手動による権限設定はもちろん、ExchangeやSharePointとの連携により、特定の条件に応じて自動的に暗号化を行えます」と説明（図5）。さらに、「Azure RMSでは有効期限を設定した上で、保護されたコンテンツを社外ユーザーと共有することも可能です」と強調した（図6）。

図5　Azure RMSは、WordやExcel、PDFなどのドキュメントを暗号化し、情報漏えいを防止するクラウドベースのソリューション（クリックで拡大します）

図6　コンテンツに有効期限を設定して、社外のユーザーと共有することも可能（クリックで拡大します）

　Azure Active Directoryは、Office 365などマイクロソフトのクラウドサービスから他社のSaaS（Software as a Service）アプリケーションまで、乱立するクラウドサービスのIDを統合するIDaaS（Identity as a Service）になる（図7）。

図7　Azure Active Directoryは、Office 365だけでなく、他社SaaSアプリケーションのIDも含めて統合的な管理を実現できる（クリックで拡大します）

　日本マイクロソフトの前河徳祥氏（ビジネスプラットフォーム統括本部 ソリューションスペシャリスト）は、「ユーザーは単一のIDとパスワードを使って、複数のアプリケーションをシングルサインオンで利用できるようになります」とそのメリットを説いた。Azure Active Directoryは、すでに2400以上のサードパーティSaaSアプリケーションに対応するとともに、現在もその範囲を拡大しているという。

　以上のようなクラウドサービス／モバイルデバイスのID管理が求められる背景にあるのが、ユーザー部門や社員個人が勝手な判断でモバイルデバイスの使用やSaaSアプリケーションの導入を進める「シャドーIT」のまん延である。もはやこの流れに歯止めがかからないにせよ、「社内外で利用されているモバイルデバイス／SaaSアプリケーションの実態をIT部門として正確に把握し、適切なID管理を行っていくことが、ITガバナンスを維持する上で重要です」と前河氏は訴えた。