企業クライアントのこれまでとこれから――Windows 10とEMSが実現する“モダン・エンタープライズ”の世界とはクラウド/モバイルがより使いやすく、より安全になる

クラウドとモバイルは、企業システムとワークスタイルを大きく変えた。しかし、クラウド/モバイル時代のクライアント環境には、新しい管理の仕組みとセキュリティ対策が必要だ。マイクロソフトのシニアテクノロジースペシャリストである橘浩平氏に、企業クライアントの“これまで”と“これから”について伺った。

» 2015年11月20日 11時00分 公開
[廣瀬治郎@IT]

課題はモバイル環境での安全性の担保

 旧来のクライアント環境といえばデスクトップPCが中心で、デスクと会議室で持ち運びしたい場合には、ディスプレーの大きなA4型のノートブックPCを選択することが大半だった。つまり、社内環境で社内のリソースのみにアクセスするのが一般的であった。個人のPCを持ち込むなど言語道断で、全てのデバイスは会社から貸与されていた。

 ところがここ数年、クラウドの登場とモバイルデバイス利用の拡大により、企業システムは大きく様変わりした。社外でインターネットに接続し、クラウドサービスを積極的に利用するため、小型のノートブックPCやモバイルデバイスを持ち出すのは当たり前になった。個人所有のデバイスを積極的に利用させるBYOD(Bring Your Own Device)を採用する企業も珍しくなくなっている。

 こうしたモビリティの追求は、社外での時間を有効に活用したり、自宅勤務を推奨したりするなど、従業員のワークスタイルを変革し、業務効率やモチベーションの向上にも大きく寄与する。

 しかし、ここで問題となるのは、モバイル環境の安全性である。従来のユーザー管理の仕組みや認証基盤を含めたセキュリティ対策は、デバイスが社内の閉じた環境にあることを前提に設計されている。これをそのままクラウド/インターネット上のデバイスやユーザーに適用することは難しい。一方で、オンプレミスのITガバナンスをモバイルやクラウドまで伸長し、社内と同等の安全性を確保することも求められるようになっている。

 新しいクライアント環境、ワークスタイルの変革を支えていくには、新しいユーザー/デバイス管理の仕組みやセキュリティ対策を整える必要があるということだ。それを実現するソリューションがマイクロソフトの「Enterprise Mobility Suite(EMS)」である。

デバイスからクラウドまで「パスワードのない世界」を実現

 EMSは、以下の4製品で構成されている。一般的に安全にモバイルを活用するためには、「ID管理」「モバイルデバイス管理(Mobile Device Management:MDM)」「モバイルアプリケーション管理(Mobile Application Management:MAM)」「モバイルコンテンツ管理(Mobile Contents Management:MCM)」という4つの機能が必要とされるが、EMSにはその全てが含まれている(図1)。

【※】2015年9月より、EMSに含まれるのは「Azure Rights Management Premium」になっている。



図1 図1 Enterprise Mobility Suite(EMS)に含まれる4製品で、オンプレミスのITガバナンスをクラウド/モバイルに適用できるようになる(出典:日本マイクロソフト)《クリックで拡大します》

 「Azure Active Directory Premium(Azure AD Premium)」(以下、Azure ADと表記)は、オンプレミスのActive Directoryドメインにデバイスを参加させる(Domain join)場合と同じように、クラウドサービスのAzure ADにデバイスを参加させる「Azure AD Join」という仕組みが用いられる(図2)。

図2 図2 Windows 10で利用可能な「Azure AD Join」。社内、社外を問わず、サインイン時にAzure ADで認証されることで、Azure ADに登録されたクラウドサービスへのSSOなどが実現できる(出典:日本マイクロソフト)《クリックで拡大します》
ALT 日本マイクロソフト クラウド&ソリューションビジネス統括本部 デバイス&モビリティ営業本部 テクニカル営業部 シニアテクノロジースペシャリスト 橘浩平氏

 日本マイクロソフトのシニアテクノロジースペシャリストである橘浩平氏(クラウド&ソリューションビジネス統括本部 デバイス&モビリティ営業本部 テクニカル営業部)は、「Azure AD JoinとWindows 10に搭載されたWindows Hello、Microsoft Passportといった最新の認証技術を組み合わせることで、『パスワードのない世界』を実現できます」と説明する。

 「Windows Hello」は、顔や虹彩、指紋などのバイオメトリクス認証によって個人を認識する技術であり、新しい認証基盤であるMicrosoft Passportを通じて、Azure ADへのログオンを可能にしている(画面1)。

画面1 画面1 Windows 10に搭載された「Windows Hello」は、顔や虹彩、指紋などのバイオメトリクス認証によって個人を認識し、パスワードなしのログイン環境を実現する

 Azure ADでは、ユーザー企業が利用しているクラウドサービスやオンプレミスのWebサービスを登録しておくことで、シングルサインオン(SSO)も実現される。「Office 365 Exchange」や「Office 365 SharePoint」といったマイクロソフトのクラウドサービスだけでなく、国内外で利用されているメジャーなクラウドサービスの多くが「Azure Active Directoryアプリケーション」として登録されており、2015年11月現在で2500以上がAzure ADに対応済みとなっている(図3)。

図3 図3 Azure Active Directoryはシングルサインオンの対象として、2500以上のSaaSアプリケーションをサポートしている(出典:日本マイクロソフト)《クリックで拡大します》

 さらに、Azure ADで提供されている「アプリケーションプロキシ(Azure AD Application Proxy)」を用いれば、オンプレミスのExchange Outlook Web AccessやSharePointなど、社内のWebシステムも容易に公開し、SSOや生体認証の恩恵を受けることができる。

 「ユーザーは、モバイルデバイスの指紋センサーに指をなぞらせたり、対応するカメラを搭載したデバイスの前に座ったりするだけで、アプリケーションやクラウドサービスをSSOで利用できるようになります。システムを使うたびにログインしたり、いくつもの複雑なパスワードを入力、管理したりする必要はありません。Office 365のポータルに統合して、利便性の向上を図ることも可能です」(橘氏)

新規のデバイスも自動で登録して、Intuneで管理

 Azure AD Joinでは、Azure ADへのログインと同時にデバイスが「Microsoft Intune」にも登録され、自動的に企業の管理下に置かれることになる。ユーザーが利用するデバイスを限定したり、管理システムに手動で登録したりするという煩雑な作業は不要だ。

 Azure AD Premiumを介したMicrosoft Intuneによる管理には、二通りの手法が用意されている。数年前までは「Intune Agent」をインストールできるWindows PCに限られていたが、Open Mobile Allianceが策定した業界標準の管理機能「OMA-DM(Open Mobile Alliance-Device Management)」がサポートされたことで、iOSやAndroid、Windows Phoneなどのモバイルデバイスも管理できるようになった(図4)。いずれも、Webベースの統合管理コンソールから一元的に管理することが可能だ。Windows 10はどちらの方法もサポートしているので、用途や環境に合わせて選択することができる。

図4 図4 Microsoft IntuneはWindows PC、iOS/Android/Windows PhoneデバイスをWebベースの管理コンソールで一元管理することができる(出典:日本マイクロソフト)《クリックで拡大します》

 「Microsoft Intuneには企業ネットワークへの登録から解除、アプリケーション管理、データワイプ機能など、一般的なMDM/MAMに必要とされる管理機能が全て搭載されています。Intune Agentをインストールしなくても、OMA-DMによってきめ細かい管理が可能になるので、会社支給のデバイスの遠隔からの管理や安全なBYOD環境を実現できます。例えば、Microsoft Intuneを通じてOffice 365にアクセスするデバイスを検疫することで、さらに安全性を高めることができます」(橘氏)

ローカルデバイス上でも安全にデータを利用可能に

 特にBYOD環境の場合は、デバイス上に個人データと企業データ、個人アプリと企業アプリが混在することになる。そこで、今後Windows 10に実装予定の強力なセキュリティ機能として注目したいのが、Microsoft Intuneと情報保護ソリューション「Azure Rights Management Premium」が連携する「Enterprise Data Protection(EDP)」になる。

 EDPでは、Windows 10クライアントに対して、ネットワークやアプリケーションなどの“企業の領域”を明確に定義することで、安全な業務環境を提供することができるようになる。

 なお、本稿で紹介するEDPの概要や機能などは、開発段階時のものになる。EDPの正式リリースおよびWindows 10への実装時には、変更される可能性があることをお断りしておく。

 利用はこれまでと同様、Azure AD Joinを通じてWindows 10デバイスを登録することで、自動的にEDPポリシーが適用される。EDPポリシーでは、保護対象とする企業データを扱う「特権アプリ」を決め、そのアプリで作成されるファイルの操作に対する「許可/ブロック/監査」などが設定される(図5)。

図5 図5 Windows 10と「Enterprise Data Protection(EDP)」によって、企業の情報漏えいに対する保護がさらに強化される(今後Windows 10に実装予定)(出典:日本マイクロソフト)《クリックで拡大します》

 EDPポリシーで定義された企業ネットワーク上にあるファイルを社外から取得するときには、自動的に暗号化されて、デバイス上に保存することが可能となる。また、EDPポリシーで指定された企業アプリケーションでも、自動的にデータが暗号化され、他のアプリや個人用のストレージにデータを保存したり、コピー&ペーストしたりすることができなくなる。例えば、Outlookで作成したメッセージをテキストエディターにコピーしようとしても、警告画面が表示されて防止されるといった具合だ(画面2)。

画面2 画面2 Outlook上のメール内容を「メモ帳」にコピー&ペーストしようとしても、EDPによって警告画面が表示される(画面は開発中のもので、Windows 10 Insider Previewのビルド「10565」を使用。最新のビルドではEDPは削除されているので注意)

 「EDPは、ローカルデバイスにデータを置きつつも、安全にオフライン環境で利用できるようになるという点が大きなメリットになります。シンクライアントのように、常にネットワーク接続を必要とはしません。例えば、新幹線がトンネルに入っても、仕事に支障が出ることはないのです」(橘氏)

 万が一、デバイスを紛失したり、盗難されたりしたとしても、Microsoft IntuneのMDM/MAM機能(リモートワイプ/セレクティブワイプなど)によってデータの安全性は守られる。「ファットクライアントとシンクライアントの中庸」(橘氏)が、Windows 10とEDPによって実現される世界というわけだ。

 さらに、Azure Rights Management Premiumでコンテンツが保護されることによって、iOSやAndroidなどのプラットフォームからでも安全にファイルを閲覧できる。また、取引先や関連会社などの社外のユーザーに対しても、「RMS Sharing App」を通じて安全にファイルを共有可能となる。

 「Document Tracking(使用の追跡)」機能を利用すれば、Azure Rights Management Premiumで保護したドキュメント、または保護して共有(メール送信)したドキュメントの使用状況を、そのドキュメント作成者が専用ポータルでリアルタイムに追跡することができる(※Office 365のE3プランに含まれているのは「Azure Rights Management Premium」ではないため、Document Trackingの機能は利用できないことに注意)。


 クラウドやモバイル環境は、業務効率やモチベーションを向上させるために利用するものである。しかし、安全性の確保を優先し過ぎるが故に、その利便性が損なわれるケースも多い。その結果、業務の効率が低下したり、不平を漏らしたりする社員も少なくないだろう。それでは本末転倒である。「安全であるからこそ、利便性を向上させることができる」というのが正しい考え方であるはず。今後、企業は「より使いやすく、より安全な」クラウド/モバイル環境を実現できるソリューションを本格的に検討しなければならないだろう。



Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。