Android向けのMAM製品を利用すれば、IT部門はあらかじめ登録されている端末へのアプリケーションの配信を制限し、「どの従業員がどのアプリケーションを使うことができるか」をユーザーの役割や端末に基づいて管理できる。また、認証済みユーザーだけがアクセスできる社内アプリケーションストアを構築することも可能だ。IT部門は、ブラックリストやホワイトリストなどの機能を用いて、アプリケーションのインストールに関するポリシーをMAM経由で端末に適用できる。
さらにMAMは、アプリケーションの追跡も可能だ。未承認アプリケーションをインストールしようとしているユーザーがいれば、IT部門にアラートを送信する機能も持つ。また、管理対象の端末ユーザーやIT部門がインストールしたアプリケーションの確認もできる。さらに、IT部門がモバイルアプリケーションのライフサイクル全体を管理できるというメリットもある。
だがMAMは、IT部門が抱えるモバイルセキュリティに関わる問題を全て解決できる完璧なソリューションというわけではない。例えば、現状のAndroidのMAMは、ブラックリストに掲載されているアプリケーションを自動的に終了させることはできない。またMAMは、自らの管理対象ではない端末がLANへアクセスするのを防ぐのも不可能だ。
●端末アクセス制御
未承認のアプリケーションがLANのデータにアクセスするのを防ぎたいのであれば、端末アクセス制御が最善の選択肢となるだろう。Wi-Fi接続をブロックすれば、Android端末からLANへのアクセスを一斉に遮断することも可能だ。ただし、この方法はあまり現実的ではない。不正アクセスを防止するためのより良い方法は、特定のユーザーだけにWi-Fiへのアクセス権限を持たせるという方法だ。
MACアドレスをベースとしたアクセス制御も有用である。大きな組織の場合、端末のMACアドレスに基づいてユーザー1人ずつに権限を付与するのは大仕事だが、IT部門は、MACアドレスの最初の部分を使ってアクセスを制限できる。通常、端末のMACアドレスには、ベンダーごとに特定の範囲の数字列が割り当てられている。そのため、ネットワークハードウェアが許せば、不要な端末からのアクセスを制限できる。ただし、MACアドレスの数字列は管理が難しいため、未承認の端末がネットワークにアクセスする可能性を完全に排除できるわけではない。
当然ながら、端末のアクセスを制限しても、IT部門が抱えるコンシューマー化の問題を全て解決できるわけではない。IT部門によるアクセス遮断を迂回し、他の方法でLANから情報を引き出すことは、ユーザーにとってそう難しいことではないからだ。例えば、業務データを自分の個人用Gmailアカウントに送信したり、Dropboxなど各種のクラウドストレージサービスに保存するなど、さまざまな抜け道が考えられる。
http://www.mstore.jp/microsoft-office-for-mac-home-and-student-2011-p-45.html
http://www.mstore.jp/microsoft-office-for-mac-home-and-student-2011-ファミリー-パック-p-23.html
http://www.mstore.jp/microsoft-office-for-mac-home-and-business-2011-p-22.html
さらにMAMは、アプリケーションの追跡も可能だ。未承認アプリケーションをインストールしようとしているユーザーがいれば、IT部門にアラートを送信する機能も持つ。また、管理対象の端末ユーザーやIT部門がインストールしたアプリケーションの確認もできる。さらに、IT部門がモバイルアプリケーションのライフサイクル全体を管理できるというメリットもある。
だがMAMは、IT部門が抱えるモバイルセキュリティに関わる問題を全て解決できる完璧なソリューションというわけではない。例えば、現状のAndroidのMAMは、ブラックリストに掲載されているアプリケーションを自動的に終了させることはできない。またMAMは、自らの管理対象ではない端末がLANへアクセスするのを防ぐのも不可能だ。
●端末アクセス制御
未承認のアプリケーションがLANのデータにアクセスするのを防ぎたいのであれば、端末アクセス制御が最善の選択肢となるだろう。Wi-Fi接続をブロックすれば、Android端末からLANへのアクセスを一斉に遮断することも可能だ。ただし、この方法はあまり現実的ではない。不正アクセスを防止するためのより良い方法は、特定のユーザーだけにWi-Fiへのアクセス権限を持たせるという方法だ。
MACアドレスをベースとしたアクセス制御も有用である。大きな組織の場合、端末のMACアドレスに基づいてユーザー1人ずつに権限を付与するのは大仕事だが、IT部門は、MACアドレスの最初の部分を使ってアクセスを制限できる。通常、端末のMACアドレスには、ベンダーごとに特定の範囲の数字列が割り当てられている。そのため、ネットワークハードウェアが許せば、不要な端末からのアクセスを制限できる。ただし、MACアドレスの数字列は管理が難しいため、未承認の端末がネットワークにアクセスする可能性を完全に排除できるわけではない。
当然ながら、端末のアクセスを制限しても、IT部門が抱えるコンシューマー化の問題を全て解決できるわけではない。IT部門によるアクセス遮断を迂回し、他の方法でLANから情報を引き出すことは、ユーザーにとってそう難しいことではないからだ。例えば、業務データを自分の個人用Gmailアカウントに送信したり、Dropboxなど各種のクラウドストレージサービスに保存するなど、さまざまな抜け道が考えられる。