研鑽、交流、そして共育。全国に拡がるIBMユーザーのネットワーク line IBMユーザー研究会
fream01 ようこそ ゲスト さま separate fream2
 
  logomark IBMユーザー研究会TOP

midashiID登録がまだの方はこちらからblankup

ID登録のススメ
IBMユーザー研究会
入会申し込み
お問い合わせ
 
   
 
 
Security
Analytics
Commerce
Cloud
Social
Systems
Watson
Topics
 <業種別>
金 融
保 険
製 造
流 通
公共・通信
 
 <IBMユーザー研究会主催>
Webセミナー blankup
 <IBM主催>
IBM Webセミナー blankup
OnDemandセミナー blankup
IBM YouTubeチャネルblankup
日本IBMホームページ
Easy Web Browsingヘルプ 拡大読み上げ
当サイトのURLは予告なく変更・削除されることがございますことを予めご了承ください。
7
 
Social
モバイル・ファーストの基盤デザイン
2015年05月01日掲載
日本アイ・ビー・エム システムズ・エンジニアリング株式会社
インテグレーション・サービス IBM Certified IT Specialist 板場 幹夫
はじめに
モバイル・ファーストとは機能の名称ではなく、「アプリケーション・システムにおけるエンドポイントの対象機器はPCではなくタブレットやスマートフォーンといったモバイル機器を前提に開発する。」という考え方を指しているものと考えられます。モバイル・ファーストは単に使う機器の種類の違い以上に様々な検討課題があるようです。さらに考えを進めていくと、これからのITの使い方に関する変革につながる部分もあると考えています。今回はIBMが2014年に社内向けに開催した「モバイル設計セミナー」の中からエッセンスを抽出してモバイル・ファーストのインフラをデザイン(設計)するには、どんなことを考えていくべきなのか記載していきたいと思います。また、過去の事例経験から、モバイル・ファーストの先進企業はどこまで進んでいるのかということも踏まえ、今後の方向性について述べていきたいと思います。
 
モバイルはなにが違うのか
モバイル機器は進化を続けており、広帯域ネットワーク接続、高性能なカメラ、音声入力、近距離無線によるさまざまなデバイスとの接続、センサーやGPSと連動した位置情報。一般消費者のみならず企業にとっても業務の効率性を上げ、サービスの品質を向上させるさまざまな可能性を秘めています。基盤面や運用管理面からみるとモバイルはラップトップ型のPCとどのように異なるのでしょうか?じつは本質的な差異はあまりないようです。持ち運びするPCと同様なリスクはモバイル機器にも存在します。主要なデータ通信プロトコルはTCP/IPであることも同じです。したがってモバイルを活用する場合、PCと同様にウィルス、マルウェア、情報漏えいのリスクが存在します。ただしモバイルの場合は基本的に常に身につけて持ち歩くこと、常にネットワークに接続されていることを前提にする必要があります。もうひとつ、個人所有の機器へ企業が接続サービスを提供するB.Y.O.D ( Bring Your Own Device)という利用方法が注目されている点が挙げられるでしょう。
 
モバイルの導入への課題認識
公開されている各種の統計からは、モバイル機器の導入に関する懸念として、盗難・紛失、ウィルスやマルウェアなどへの感染、データ流出などのセキュリティ課題が上位のリスクとして挙げられています。モバイルの基盤を考えるとき、モバイル機器(エンドポイント機器)と企業のデータセンター内のバック・エンドポイント環境の安全な(セキュア)な利用基盤の確立が高い優先順位になっていると言えます。
 
エンドポイント機器のセキュリティ
エンドポイント環境の管理の仕方を整理してみると、表―1のような形になります。
image
表―1 利用シナリオとモバイル管理
表―1のようなルールを規定してモバイル機器を管理するためには、ポリシーを強制的に設定する方法をとります。また、ポリシーの変更の際にはネットワーク越しに各モバイル機器に対して「再設定」する機能も必要となってきています。そこで登場したのがMDM(Mobile Device Management)というソリューションです。モバイル機器の管理ポリシーを集中管理するものです。管理ポリシーとは例えば、パスワードポリシーの強制設定などが具体例となります。機能のうち主要なものは以下のものがあげられます。

1.プロビジョニング:ネットワーク越しに利用を制限する管理ポリシーを配布・適用
2.アプリケーション管理:導入可能なアプリケーション、禁止アプリケーションの検出
3.紛失時のロックおよびワイプ:強制的に操作をロック、あるいはデータを削除
4.インベントリ管理

MDM機能は数年前から登場していますが、モバイル機器が提供している機能を超えることはできないため、いくつかある製品はほぼ同じ機能となっています。これにヘルプデスクなどのサービスを付加していくというビジネス・モデルは、すでにコモディティ化した市場となっています。
 
MDMの限界とMAMの登場
MDMを導入して、これでよしと考えがちですが、MDMには課題が指摘されています。主には下記のような限界・制約が指摘されています。

1.不正アプリの制御は完全にはできない
市場には多くのアプリケーションが日々公開されており、許可・禁止リストの維持が追い付かず、
不正アプリケーションの混入を完全に防げるわけではない。

2.モバイル機器に格納されるデータの保護が不完全
モバイル機器内の社内機密に関わるデータが不正なアプリに利用され流出する危険性と、
自動的に検知・防止する仕組みがない。

3.使い方を厳しく管理してしまうため、私用と共有するBYODに適用しづらい
image
図-1 MDMの限界
さらに、企業内システムをモバイルで利用するために、一般的にはVPN接続をしますが、デバイス全体が企業内ネットワークへつながることになり不正アプリケーションを易々と社内ネットワークへ誘導してしまいます。そこで最近のモバイル機器管理は、こうした限界を踏まえ、デバイス全体ではなく、特定のアプリケーション群を分離して、境界を管理する手法をとります。これを一般的にはコンテナ機能と呼び、この機能を有するモバイル機器ソリューションをMDMと区別する意味も含めてMAM ( Mobile Application Management)と呼びます。
image
図-2 MAM
図―2のようにモバイル機器内を論理的に分離し、その中に保護すべきデータやアプリケーション、あるいは社内にアクセスするためのメールやブラウザーなどが包含されます。
主要な機能として以下に整理してみます。

1.アプリケーション毎に保存データを暗号化
2.コンテナ内外におけるデータのやり取りの制限や、コピー&ペーストの禁止
3.コンテナ内アプリアクセスへのパスワード設定によるアクセス制御
4.企業内アプリ・カタログと配布機能
5.マルウェアの影響を受けにくいセキュアなアプリケーション(ブラウザなど)の提供

さきほどVPN接続が不正アプリケーションへ企業ネットワークへの入り口を提供してしまう危険性について述べましたが、図―3に示すようにMAM機能のアプリケーション毎VPN機能を用いることで、コンテナ内の指定したアプリケーションのみが暗号化トンネルを用いて企業ネットワークへアクセスできるという仕組みを作ることができます。技術的にはコンテナが企業内に設置したゲートウェイと暗号化トンネルを確立し、その中に指定されたアプリケーションのみが通信を行う方式です。利用者はVPNを接続する手間がなくいつでも、安全な経路で企業ネットワークに接続したアプリケーションを使うことができます。不正なアプリケーションはVPN経路から企業ネットワークに入ることができないようになっています。
image
図―3 コンテナ内アプリからのアプリケーション毎VPN
 
モバイル・コンテンツ・マネージメントとは
モバイル機器において保護するべきなのは、アプリケーションのみならず、データもあります。たとえば写真、音声、ドキュメントがあたりますが、モバイル機器の活用が進むにつれ、こうしたデータの保全も必須機能となります。もちろん、前出のMAMで用いているコンテナと呼ばれる論理分割機能を用いるのですが、これら保護すべきデータをコンテンツとよびこれらの管理機能をMCM ( Mobile Contents Management )機能と呼称しています。図―4がMCMの動作イメージになります。
image
図―4 MCM
認証認可によるアクセス制御のみではなく、セキュアに配信、バックアップを実施、またコンテンツの有効期限を設定することも可能となっています。

以上、MDMの限界から進化したMAM、MCMという機能の概要に触れてきましたが、MDMも当然必要な機能であることにかわりありません。現在は企業におけるモバイル管理ソリューションでは「MDM+MAM+MCM」という機能統合を有するものが登場してきました。これらをEMM (Enterprise Mobile Management)と呼称する場合があります。EMMでは機能が豊富になるにつれ設定項目も多岐におよんでおり、利便性と安全性の観点からどのような設定を行っていくかがモバイル機器をうまく活用するポイントであると言えるでしょう。
 
バック・エンドを含めた基盤設計の勘所
いままではモバイル機器内部、すなわちエンドポイントのセキュリティ対策に焦点をあてて解説してきましたが、企業内のデータセンターなどのバック・エンド側の仕組みはどうすべきでしょうか。バック・エンド側にもさまざまなソリューションがあり、なにを、いつ、どう選択すべきか悩ましいところです。一つの整理の仕方にモバイルの利用形態(ユースケース)から必要な基盤と準備するステップを考えるというやり方です。
 
利用形態
概要
1
メールとカレンダー利用
コミュニケーション用に限定した機能のみ提供
2
イントラWebアクセスとファイル共有
企業内業務利用を開放
3
独自モバイルアプリの利用
モバイル独自のソリューション(社内向け)
4
一般向けモバイルアプリの利用
モバイル独自のソリューション(社内・社外)
表―2 モバイル利用形態
難易度は利用形態の番号が上がるほど(1から4)高くなると考えられます。モバイルアプリケーションを主要業務とする企業以外では、最終的には利用形態の3番目ぐらいをターゲットにおいていくことが理想的ではないでしょうか。PCでも同様ですが、数千台の機器を配布した後に基盤のアーキテクチャを変えていくのは、配布の回収・再配布などの工数が膨大となってしまうため、なるべく少し先を見据えて準備いくことが重要となります。
たとえば利用形態の2番である、「イントラWebアクセスとファイル共有」について考えてみましょう。図―5のようなリスクに対応する基盤が求められます。
image
図―5 企業Webアクセスとファイル共有におけるリスク
Webアクセスにおける対策を取り上げて説明します。企業の内部ネットへアクセス可能で、かつ外部のマルウェアなどの影響を受けにくい「セキュアブラウザ」がEMMソリューションに含まれているため、コンテナ内から実行することで、マルウェア感染とその影響を企業ネットワーク内部に持ち込むことを防ぎます。図―6にソリューションの全体像を記載します。図―6に記載されているMobile Gatewayはモバイル機器と企業ネットワークとの中継をしながら、認証機能や暗号化機能を提供します。通常EMMソリューションにソフトウェアとして包含されています。
image
図―6 セキュアなウェブアクセスの基盤
ファイルサーバーへのアクセスもほぼ同様の基盤を構成していきますが、安全かどうか定かではない、外部ストレージ・サービス(クラウド型ストレージなど)へのアップロードを制限する点などが追加の重要なポイントとなるでしょう。

では独自のアプリケーションを開発する場合を考えてみます。独自とは企業がモバイル向けに開発するアプリケーションを意味します。デバイス側にプログラムがあるので使いやすいインターフェースやモバイル固有の機能を活用するアプリケーションが開発可能ですが、その一方でアプリケーション自体の安全性も確保してあげる必要が生じます。今回はインフラ基盤に焦点を当てているため、アプリケーション開発についての詳細な説明は別の機会に譲りますが、概要としては、モバイル専用の開発プラットフォームを活用し開発することで、SDKなどを用いて容易に認証認可を組み込み、また、脆弱性を生じないようなコードを開発するための支援機能を有しているものもあります。
image
図―7 独自モバイル開発の基盤
開発アプリケーションではアプリケーションがモバイル機器側にあるため、導入したアプリケーションが個別でユーザーIDを定義してしまうと使い勝手が大変悪化してしまいます。認証・認可の機能を整備し、一元的なシングル・サインオン環境をインフラ側で提供する必要があるでしょう。モバイル機器は最近では生体認証をうまく使えるようになってきました。生体認証を開発したアプリケーションで取り込み、さらにバック・エンドのシングル・サインオン環境に連動することも、それほどの作りこみを必要とせずに実装できるようです。
いくつかのパターンを挙げながら基盤について述べてきましたが、モバイルを活用するとき、インフラ基盤はなるべくさまざまな利用の仕方を視野にいれて環境を整備するという考え方が勘所となるのではないでしょうか。アプリケーションのニーズが見えないから実装しないという受託型のスタンスではなく、なるべくアプリケーションを開発・展開しやすくするにはどうすべきか、という観点からインフラを考えていただきたいと思います。
 
IBMのモバイル・ファースト・ポートフォリオ
IBMは2014年の末にモバイル関連の製品群の名称を統一しています。いままで知られてきた名前をモバイル・ファースト Platform (旧WorkLight)、モバイル・ファースト Protect( 旧MaaS360) 、モバイル・ファースト Experience One の3つの体系に整理しました。モバイル・ファースト Experience Oneについてはコマース関連の製品・機能群となっていますが、また日本ではマーケティングは準備中というところです。
image
図―8 IBM Mobile First Portfolio
今回取り上げた機能は主にモバイル・ファースト Protectの中に含まれている機能です。
各製品は互いにAPIあるいはSDKを公開することで相互に機能を補完し、モバイル活用にむけたトータルなポートフォリオを実現できるようにしていくロードマップになっています。
 
進んでいる企業からみた活用のヒント
筆者自身の経験はまだ浅いのですが、これまでいくつかお客様のお話、プロジェクトの経験やコンサルティングへの参加を通して現在の日本企業のモバイル活用の現状について述べてみます。お聞きしている範疇では、モバイルについては以下のような取組レベルに整理できます。

1.導入しない
セキュリティリスク、投資優先順位などから利用を禁止している
2.コミュニケーションツール プラスアルファ
メール・カレンダーのみ。加えて商品カタログPDFなど
3.業務変革・はたらき方変革を目指す
写真・動画を用いた迅速な意思共有、決断の高速化

先進企業では数年前より3の変革を目指してロードマップを立てて着実に実施している状況です。すでに基本的なMDMは卒業してより高機能なEMMへ変換し、いざこれから企業業務のモバイル活用による活性化を推進していこうとされています。現在こうした先進企業が解こうとしている課題は、2つあります。1つ目はモバイルの効果をいかに定量的に把握し、きめ細かなPDCAを回していけるか、2つ目は関連していますが、アプリケーションの開発と展開速度をいかに早めていくことができるかという点です。実はこの課題を解くことは企業のITシステム全体への変革につながっていくことになります。IBMのモバイル・ファーストの真の狙いは、モバイル・ファーストを突き詰めると、単なるモバイル機器へのソリューションのビジネスではなく、お客様のITシステムの変革につながる起爆剤になると言いたいのではないかと、個人的には思いますが、すこし考えすぎでしょうか。
 
モバイル・ファーストの本当のねらい
業務を改革していくITツールとしてモバイル活用を進めるには、より現場に密接した意見や展開したアプリケーションのフィードバックを取り入れながら改善していくことが必要です。その開発手法として現在もっとも有効な手法がDevOpsと呼ばれるものです。そしてDevOps を支えるのは、高速にアプリを開発そして展開できるIT環境につながります。それらはBlue MIXのようなPaaSかもしれません。あるいは既存の基盤システムの機能をAPIとして公開し、活用していく形態かもしれません。すばやくシステムインフラ環境を整えるクラウド環境かもしれません。いずれにしろ、長期間の経済環境によって萎縮してしまった日本企業のITシステムで変化を起こすことができるきっかけとなるのがモバイル・ファーストの狙いなのではないでしょうか。
image
図―9 モバイル・ファースト基盤の全体像の案
 


 
 
 
サイトマップ関連リンクプライバシーポリシーblankupご利用にあたってblankup
ページのトップへ