UEM(統合エンドポイント管理)とは

UEMにより、ITチームおよびセキュリティー・チームは、ネットワーク上のエンドユーザーのデバイスを、単一のツールによって一貫性のある方法で、モニター、管理、および保護することができます。

サーバー・ルームでコンピューターを前にする2人の労働者
UEMとは

UEMまたは統合エンドポイント管理は、単一のコンソールから、組織のエンドユーザーの全デバイス(デスクトップやノートPC、スマートフォン、タブレット、ウェアラブルなど)を、オペレーティング・システムまたは場所を問わず、モニター、管理、保護するためのソフトウェアです。 UEMは、エンドポイントの全デバイスを、セキュリティー・チームおよびITチームが一貫した一つの手段で保護することを可能にするため、エンドポイントのセキュリティーを簡素化し、強化します。

比較的新しいテクノロジーであるUEMは、MDM(モバイル・デバイス管理)およびMAM(モバイル・アプリケーション管理)などの既存のモバイル管理ソリューションの機能を、オンプレミスおよびリモートPCの管理に使用されるツールと組み合わせます。 UEMは、BYOD(個人所有デバイスの業務使用)のプログラムおよびハイブリッド(オンプレミスとリモートの混合)のワーカーを管理するために既に人気がありましたが、新型コロナウイルス感染症のパンデミックの出現によって在宅勤務(WFH)が拡大し、その対応に向けてセキュリティ部門およびIT部門が適応した際に、さらにUEMの使用が急増しました。 この傾向は、近い将来も続くと推測されています:OMIDA社の2021年のFuture of Work Survey(ibm.com外部のリンク)では、パンデミックから離れるために、従業員の58%が主に在宅、またはハイブリッド・スタイルで勤務することになると報告されています。


UEMの進化

UEMは、一連のモバイル・セキュリティー管理ツールの最新版です。そのツールは、過去20年間にわたる組織、従業員、モバイル・デバイス、および労働形態の間で変化し続ける関係に応じて登場し、進化したものです。

MDMから...

ワークプレースで導入された最初のモバイル・デバイスは、会社所有のものでした。そしてこれらのデバイスを、IT管理者が管理、保護できるようにするために、 モバイル・デバイス管理(MDM)ツールが開発されました。 MDMツールにより、管理者はデバイスの全機能に対する制御が可能になりました。 それらのツールは、デバイスのプロビジョン、登録、および暗号化、ワイヤレス・アクセスの構成および制御、全社的なアプリのインストールおよび管理、デバイスの位置情報の追跡、そしてデバイスが盗難によって紛失した場合は、デバイスのロックおよびワイプをすることが可能でした。

...MAMへ...

MDMがモバイル管理ソリューションとして許容されたのは、スマートフォンの人気が非常に高くなるまででした。それからは、従業員は、仕事のために自らの個人的なスマートフォンを使用することを(仕事用と個人用のデバイスを両方持ち歩く代わりに)、望むようになりました。 BYODの誕生。 それから間もなく従業員は、自身の個人用の携帯電話と個人データに対するすべての制御を、MDMに委ねることに疑問を抱くようになりました。

そして

新たなソリューションである、モバイル・アプリケーション管理(MAM)が登場しました。 MAMは、モバイル・デバイスの全体に対する管理制御に焦点を当てるのではなく、アプリケーションの管理に重点を置きました。 MAMを使用することにより、管理者は、企業のアプリケーションとそれに関連する企業データのすべてに対して、制御が可能になりました。そして、従業員の個人的なアプリケーションに対しても、管理者が従業員の個人データに触れたり、見ることもしないで、企業データを保護するための十分な制御を行うことができるようになりました。

...EMMへ...

しかし、MAMソリューションの限界も判明しており、それは、従業員が自身のiOSまたはAndroidデバイスに追加する、新しいアプリケーションが急増するペースに、単に付いていくことができないという点にあります。 それに対してベンダーは、MDM、MAMそして関連したツールを組み合わせることにより、全社的なモビリティー管理(EMM)スイートを作成しました。 EMMは、MDMの企業データ・セキュリティー、MAMの上位従業員のエクスペリエンス、そしてスマートフォンに限らずオフサイトのノートPCおよびPCも含めた、社外で使用されるデバイスに対する管理とセキュリティー制御を提供しました。

...UEMへ

EMMには、最終エンドポイント管理のギャップ(そして潜在的なセキュリティーの脆弱性)という問題が一つあります。 EMMには、オンサイトのエンド・ユーザーのデバイスを管理する機能がなかったため、オンサイトとオフサイトのデバイスを管理および保護するためには、管理者が分離したツールとポリシーを使用する必要がありました。 これにより、追加作業や混乱、そしてエラーの機会が生み出されることとなり、それはほぼ同時に、在宅勤務を勧める雇用主、そして勧められる従業員が増加した時に重なりました。

UEMは、この問題に対するソリューションとして登場しました。 それは、EMMの機能性を、従来使用されてきたクライアント管理ツール(CMTs)の機能に組み合わせることにより、オンプレミスのPCとノートPCを管理します。 ほとんどのUEMツールは、ウィルス対策およびマルウェア対策ソフトウェア、ウェブ制御ソフトウェア、ユーザーとエンティティ―の行動分析(UEBA)ソリューション、統合ファイアウォールなどのエンドポイント・セキュリティー・ツールの、組み込み、統合、または操作も行います。


UEMがエンドポイント・セキュリティーを改善する方法

異なる場所で異なるエンドポイント・デバイスを管理および保護するために、複数のエンドポイント管理ツールを使用することは、セキュリティーおよびITチームに対し、手動による多くの反復作業が生じることとなります。それにより、矛盾や構成ミス、およびエラーが発生する機会が増え、エンドポイントおよびネットワークを攻撃に対して脆弱にする可能性があります。 UEMは、IT管理者とセキュリティー・チームが、全社的なネットワークに接続されたエンドポイントのデバイスを表示、管理、および保護することのできる、単一の一元化したダッシュボードを作成することで、作業およびリスクを大幅に削減します。

UEMのツールは、Apple iOSとMacOS、Google ChromeOSとAndroid、Linux、およびMicrosoft Windowsを含む、PCとモバイルのすべてのオペレーティング・システム全体で機能します。 (一部のソリューション、特にBlackberry UEMは、Blackberry OSおよびWindows Phoneモバイル・オペレーティング・システムにも対応します。) 多くのUEMソリューションは、従業員とビジネス・パートナーがネットワークの接続や作業を終了させるために使用する可能性のあるものすべて(プリンターとその他エンドユーザーのIoTデバイス、スマートウォッチとその他ウェアラブル、仮想現実ヘッドセット、仮想アシスタントなど)にも対応します。

UEMは、ネットワーク上の全デバイスを、それらの接続タイプや、接続頻度、および接続元を問わずに認識します。 また、管理者やセキュリティー・チームの認識していない接続されたデバイスでさえも、リアルタイムで認識することができます。

この一元化したダッシュボードの管理者は、あらゆる種類の全デバイスに対して、以下を含めた重要な管理タスクおよびセキュリティー・タスクを、実行または自動化することができます。

  • デバイスの登録とプロビジョニング:UEMソリューションは、BYODの管理上の負担を削減するために、ユーザー自身が、登録および自らのデバイスを自動的にプロビジョンすることのできるポータルを提供します。 UEMは、ネットワークに接続しようとする新規または不明のデバイスに対して、自動的に登録とプロビジョニングの実行も行います。
  • セキュリティー・ポリシーの適用と施行:管理者は、多要素認証や、パスワードの長さと複雑性、パスワードの更新、データ暗号化の方法などを指定することができます。 UEMは、管理者が、すべてのデバイス全体にわたって一貫性のあるポリシーを、単一のツールで提供することを可能にすることにより、IT部門とセキュリティー・スタッフの手作業を大幅に削減します。
  • パッチを当てるおよびアップデートする:UEMはソフトウェア、ファームウェア、およびOS脆弱性に対してエンドポイントをスキャンし、必要な箇所には自動的にパッチを当てることができます。
  • アプリとアプリケーションの制御:雇用主は、特定のアプリまたはアプリケーションを承認または禁止して、無許可のアプリまたはアプリケーションが企業データにアクセスすることを防ぐことができます。 多くのUEMツールは、ユーザーがダウンロード、インストール、および全社的に承認されたアプリとデスクトップ・アプリケーションの定期的なアップデートを行うことのできる、アプリケーション・ストアの作成を可能にします。
  • 企業と個人データの分離:これにより、企業データと個人データを保護し、BYOD向けに最適のユーザー・エクスペリエンスを提供します。
  • 最新のエンドポイント・セキュリティー・ソリューションを維持:管理者は、最新のアンチウィルス定義をデバイスにインストールすることや、ブラックリストまたはホワイトリストに登録されたサイトの最新情報を得るためにウェブ・フィルターをアップデート、そして最新の脅威を阻止するためにファイヤーウォールを微調整することも可能です。
  • 接続の保護:UEMを使用することにより管理者は、WiFi、VPNなどの接続タイプを、デバイス、ユーザー、またはアプリケーションから指定することができます。
  • 脅威の特定と修復:UEBA、エンドポイント検出と対応(EDR)、およびその他セキュリティー・テクノロジーを統合することにより、UEMは、継続するまたは潜在的な脅威を示す、デバイスの異常な動作を特定すること、そして脅威に対して措置を講じるその他のセキュリティー・ツールを起動することにに役立ちます。
  • 紛失、盗難、またはライフサイクル終了のデバイスのワイプおよびロック:防御の最終ラインとして、UEMは、管理者またはセキュリティー・チームが、紛失、盗難、または使用済デバイスに対し、位置指定、ワイプ・クリーン、ロック、およびリセットを行うことを可能にし、ネットワークへの無許可アクセスを防ぎ、デバイスのあらゆる重要データが不適切な相手に渡らないようにします。 UEMは、継続して個人使用するために、廃止されたデバイスをリセとすることもできます。

結論としては、これらやその他のタスクのために、UEMのすべてを網羅するアプローチによって、セキュリティ部門およびIT部門は、オンサイトとオフサイトのデバイス、モバイルとデスクトップのデバイス、Windows、Mac、Chrome、またはLinuxのそれぞれの運用システムの間における違いを無視できるようになり、デバイスおよびセキュリティーの管理のみに焦点を当てることが可能になります。


BYOD、在宅勤務、およびその他UEMのユースケース

前述のように、UEMは、組織のBYODポリシー、増加するハイブリッド・ワーカー、および拡大する在宅勤務プログラムを管理および保護するために、テクノロジーが常に変化して衝突し合うことによって進化しました。 しかし、複数の組織が、UEMを以下のようなその他の戦略的な管理とセキュリティー・イニシアチブをサポートするために採用しています。

簡略化されたコンプライアンス。 ハイブリッド・ワーカーにより、業界およびデータ・プライバシー規制のコンプライアンスについて、実証および実行することの複雑性が増す場合があります。 UEMソリューションは、その複雑性の軽減を支援します。 たとえば、UEMは、組織がすべてのデバイスを、GDPR(一般データ保護規則)、HIPAA(医療保険の積算と責任に関する法律)およびその他のデータ・プライバシー規制で規定される暗号化の条件に対し、確実に準拠させるための、単一のポリシーを設定できるようにします。 UEMのデータ分離およびアプリケーション制御機能は、管理者が、権限のあるアプリケーションまたはモバイル・アプリケーションのみが、厳しく規制されたデータにアクセスできることを確実にするために役立ちます。

ゼロトラスト・セキュリティー。 ゼロトラスト・セキュリティーのアプローチでは、すべてのエンドポイントが、デフォルトで敵対的であると見なされます。 ユーザー、デバイス、アカウントなどのすべてのエンティティーは、仕事または役割に対応するための、必要最低限の特権アクセスが与えられます。そしてアクセスが継続する場合は、すべてのエンティティが継続的にモニターされ、定期的に再認可される必要があります。 UEMは、ゼロトラストの実装を幾つかの方法でサポートすることができます。それは、最低限の特権アクセスのために全デバイスのプロビジョニングを簡素化する方法から、ネットワークに接続されるすべてのデバイスにリアルタイムの可視性を提供する方法まであります。