統合エンドポイント管理(UEM)とは?

UEMとは

統合エンドポイント管理(UEM)は、ITチームとセキュリティーチームがデスクトップやノートPC、スマートフォン、タブレット、ウェアラブルなど、組織のすべてのエンドユーザー・デバイスを一貫した方法で監視、管理、セキュリティー保護できるようにするソフトウェアです。オペレーティング・システムや場所にかかわらず、単一のツールを使用できます。

UEMはエンドポイント・セキュリティーを簡素化することで強化し、セキュリティーチームとITチームが1つのツールで、一貫した方法ですべてのエンドポイント・デバイスを保護できるようにします。

比較的新しいテクノロジーであるUEMは、モバイル・デバイス管理(MDM)やモバイル・アプリケーション管理(MAM)などの従来のモバイル管理ソリューションの機能と、オンプレミスおよびリモートPCの管理に使用されるツールの機能を組み合わせたものです。

統合エンドポイント管理(UEM)は、BYOD(個人所有デバイスの業務使用)プログラムや、オンプレミスとリモートのセットアップを組み合わせた労働力の処理にすでに広く使用されていました。新型コロナウイルス感染症のパンデミックが始まった後、セキュリティー部門とIT部門が在宅勤務のサポートを拡大するにあたって、その導入が急増しました。

UEMの進化

UEMは、最新のモバイル・セキュリティー管理ツールです。これらのツールは、過去20年の間に、組織、従業員、モバイル・デバイス、勤務スタイルの関係の変化に応じて登場し、進化してきました。

MDMから...

職場に導入された最初のモバイル・デバイスは会社所有のものであり、IT管理者がこれらのデバイスを管理および保護できるようにするモバイル・デバイス管理(MDM)ツールが開発されました。MDMツールにより、管理者はデバイスのすべての機能を完全に制御できるようになりました。例えば、デバイスのプロビジョニング、登録、暗号化、ワイヤレス・アクセスの構成と制御、企業向けアプリのインストールと管理、デバイスの位置情報の追跡、デバイスの紛失や盗難時のデバイスのロックと消去などがあります。

...MAMへ...

MDMは、スマートフォンが広く普及し、従業員が(仕事用デバイスと個人用デバイスの両方を持ち歩くのではなく)私用のスマートフォンを仕事用に使用することを望むようになるまでは、モバイル管理ソリューションとして採用されていました。BYODが登場すると、従業員はすぐに、個人用のスマートフォンと個人データの完全な制御をMDMに委ねることに反発しました。

そこで登場したのが、モバイル・アプリケーション管理(MAM)という新しいソリューションです。モバイル・アプリケーション管理(MAM)は、モバイル・デバイス全体を管理するのではなく、特にアプリの監視と制御に重点を置いています。MAMを導入することで、管理者は企業向けアプリとそれらに関連付けられた企業のデータを完全に制御できます。また、従業員の個人データに触れたり、閲覧することなく、企業のデータを保護するために、従業員の個人用アプリを十分に制御することができます。

...EMMへ...

しかし、MAMソリューションには限界も見つかりました。そのほとんどは、従業員がiOSまたはAndroidデバイスに次々と追加する新しいアプリに追いつけていないことに起因していました。

これに応じて、各ベンダーはMDM、MAM、およびいくつかの関連ツールを組み合わせて、エンタープライズ・モビリティー管理(EMM)スイートを構築しました。EMMは、MDMのエンタープライズ・データ・セキュリティー、MAMの優れた従業員エクスペリエンスに加えて、スマートフォンだけでなく、オフサイトのノートPCやパソコンなど、オフィス外で使用されるすべてのデバイスの管理とセキュリティー・コントロールを提供しました。

...UEMへ

EMMには、エンドポイント管理における最後の欠点(および潜在的なセキュリティー脆弱性)がありました。オンサイトのエンドユーザー・デバイスを管理する機能がなかったため、管理者はオンサイトとオフサイトのデバイス管理とセキュリティーに別々のツールとポリシーを適用する必要がありました。これにより、より多くの従業員に在宅勤務を許可しようとする雇用主が増えたのとほぼ同じ時期に、仕事が増え、混乱が生じ、ミスにつながる確率も増えました。

この問題を解決するために、UEMが登場しました。UEMは、EMMの機能と、オンプレミスのパソコンおよびノートPCの管理に従来使用されていたクライアント管理ツール(CMT)の機能を組み合わせたものです。ほとんどのUEMツールには、ウイルス対策ソフトウェアやマルウェア対策ソフトウェア、Web制御ソフトウェア、ユーザーおよびエンティティーの行動分析(UEBA)ソリューション、統合ファイアウォールなどのエンドポイント・セキュリティー・ツールも含まれており、統合またはやり取りを行います。

あなたのチームは時間内に次のゼロデイを受け入れますか?

AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。

UEMでエンドポイント・セキュリティーを強化する

複数のエンドポイント管理ツールを使用して、さまざまな場所にあるさまざまなエンドポイント・デバイスを管理および保護すると、多くのマニュアルが必要になり、セキュリティーチームやITチームが繰り返し作業をすることになります。また、一貫性の欠如、構成ミス、エラーが発生して、エンドポイントとネットワークが攻撃を受けやすくなる可能性が高くなります。

UEMは、IT管理者とセキュリティーチームが企業ネットワークに接続されたすべてのエンドポイント・デバイスを表示、管理、保護できる単一の中央ダッシュボードを構築することで、作業とリスクを大幅に削減します。

UEMツールは、Apple iOSとMacOS、Google ChromeOSとAndroid、Linux、Microsoft Windowsを含むすべてのPCおよびモバイル・オペレーティング・システムで使用できます。(ソリューションによっては、BlackBerry OSおよびWindows Phoneのモバイル・オペレーティング・システムもサポートしています。)多くのUEMソリューションは、プリンター、エンドユーザーのIoT(モノのインターネット)デバイス、スマートウォッチ、ウェアラブル、VRヘッドセット、バーチャル・アシスタントもサポートしています。これらのツールは、従業員やビジネス・パートナーがネットワークに接続し、作業を効率的に完了するのに役立ちます。

UEMは、接続の種類、接続の頻度、接続元の場所にかかわらず、ネットワーク上のすべてのデバイスを認識します。管理者やセキュリティーチームが気付いていない、接続されているデバイスをリアルタイムで検出することもできます。

これにより、中央ダッシュボード管理者は、任意またはすべてのデバイスに対して次のような重要な管理タスク、およびセキュリティー・タスクを実行または自動化できます。

  • デバイスの登録とプロビジョニング:UEMソリューションには、BYODの管理負担を軽減するために、ユーザーが自分で登録してデバイスを自動的にプロビジョニングできるポータルが備わっています。また、UEMは、ネットワークに接続しようとする新しいデバイスや不明なデバイスの登録とプロビジョニングを自動的に実行します。

  • セキュリティー・ポリシーの適用と実施:管理者は、多要素認証、パスワードの長さと複雑さ、パスワードの更新、データの暗号化方法などを指定できます。管理者が1つのツールですべてのデバイスに一貫したポリシーを適用できるようにすることで、UEMはIT部門やセキュリティー担当者の手動での作業を大幅に削減します。

  • パッチとアップデートのプッシュ:UEMは、エンドポイントをスキャンしてソフトウェア、ファームウェア、OSの脆弱性を検出し、必要に応じてパッチを自動的にプッシュできます。

  • アプリとアプリケーションの管理:雇用主は、特定のアプリやアプリケーションの使用を承認または禁止し、許可されていないアプリやアプリケーションが企業データにアクセスするのを防ぐことができます。多くのUEMツールでは、企業が承認したアプリやデスクトップ・アプリケーションをユーザーがダウンロード、インストール、定期的に更新できるアプリ・ストアを作成できます。

  • 企業データと個人データの分離:企業データと個人データを保護し、BYODに最適なユーザー・エクスペリエンスを提供します。

  • エンドポイント・セキュリティー・ソリューションを最新の状態に保つ:管理者は、デバイスに最新のウイルス対策定義をインストールしたり、制限または承認された最新のWebサイトをWebフィルターに追加したり、最新の脅威を撃退するためにファイアウォールを調整したりすることもできます。

  • 接続の保護:UEMでは、管理者は接続の種類を指定できます(Wi-Fi、VPN、デバイス別、ユーザー別、またはアプリケーション別など)。

  • 脅威の特定と緩和:UEMをUEBA、エンドポイントの検知と対応(EDR)、その他のセキュリティー・テクノロジーと統合することで、進行中または潜在的な脅威を示す異常なデバイスの動作を特定し、他のセキュリティー・ツールが脅威に対応するようにトリガーできます。

  • 紛失した、盗まれた、またはライフサイクルが終了したデバイスの消去とロック: 統合エンドポイント管理(UEM)により、管理者やセキュリティー・チームは、紛失、盗難、廃止されたデバイスの位置情報の特定、データ消去、ロック、またはリセットを行うことができます。この統合エンドポイント管理(UEM)機能は、ネットワークへの不正アクセスを防止し、デバイス上の機密データが悪人の手に渡らないようにします。また、使用を廃止したデバイスをリセットして、引き続き個人で使用することもできます。

肝心なのは、統合エンドポイント管理(UEM)の包括的なアプローチにより、セキュリティー部門とIT部門は、オンサイトとオフサイトのデバイス、モバイル・デバイスとデスクトップ・デバイス、Windows、Mac、Chrome、Linuxなどのさまざまなオペレーティング・システムの違いを無視できるということです。デバイスとセキュリティーの効率的な管理のみに集中することができます。

BYOD、在宅勤務、その他のUEMのユースケース

前述したように、UEMは、組織のBYODポリシーの管理と保護のためのテクノロジーの変化、ハイブリッド勤務の増加、在宅勤務プログラムの拡大から進化しました。しかし、組織は、次のような他の戦略的な管理およびセキュリティー・イニシアチブをサポートするためにUEMを採用しています。

規制コンプライアンスの簡素化:ハイブリッド勤務の従業員により、業界の規制やデータ・プライバシー規制へのコンプライアンスを実証・実施する上で複雑さが増す可能性があります。UEMソリューションは、こういった複雑さを解消するのに役立ちます。

たとえば、組織は単一のポリシーを設定して、すべてのデバイスが GDPR(一般データ保護規則)、HIPAA(医療保険の相互運用性と説明責任に関する法律)、およびその他のデータ・プライバシー規制で要求されている暗号化要件に準拠することができます。管理者は、UEMのデータ分離機能とアプリケーション制御機能により、承認されたアプリケーションまたはモバイル・アプリのみが高度に規制されたデータにアクセスできるようにすることができます。

ゼロトラスト・セキュリティー:ゼロトラスト・セキュリティーのアプローチでは、すべてのエンドポイントは、デフォルトで敵対的であると見なします。すべてのエンティティー(ユーザー、デバイス、アカウント)には、そのジョブや機能をサポートするために必要な最小限のアクセス権が付与され、すべてのエンティティーは継続的に監視され、アクセスが継続されるたびに定期的に再認証する必要があります。UEMは、最小限のアクセス権を付与するためのすべてのデバイスのプロビジョニングの簡素化から、ネットワークに接続されているすべてのデバイスのリアルタイムでの可視化まで、さまざまな方法でゼロトラストの実装をサポートできます。
関連ソリューション
IBM MaaS360

AI駆動型の統合エンドポイント管理(UEM)でモバイルワーカーを管理、保護します。

 MaaS360の詳細はこちら
モバイル・セキュリティー・ソリューション

IBM MaaS360のモバイル・セキュリティー・ソリューションで、さまざまな場所から働く環境でも、保護された状態を保つことができます。

 モバイル・セキュリティー・ソリューションの詳細はこちら
サイバーセキュリティー・コンサルティング・サービス

サイバーセキュリティー・コンサルティングやクラウド、マネージド・セキュリティー・サービスでビジネスを変革し、リスクを管理しましょう。

 サイバーセキュリティー・サービスはこちら
次のステップ

エンタープライズ・モバイル・セキュリティー・ソリューションを使用してモバイル・セキュリティーの脅威を阻止し、さまざまなデバイスにアプリ、コンテンツ、リソースを柔軟に配信可能にする方法をご覧ください。

 モバイル・セキュリティー・ソリューションの詳細はこちら デモを予約