リモートワークが定着し、社員一人ひとりがPC、スマートフォン、タブレットを業務で使う時代になりました。情シス部門にとって、これらのデバイスを統制することは、セキュリティと生産性の両立に直結する重要課題です。盗難・紛失時の情報漏えい防止、退職者のデバイス回収、セキュリティパッチの一斉適用、シャドーITの抑制など、デバイス管理の論点は多岐にわたります。

しかし、現場では「どこから手を付ければいいかわからない」「Excelで台帳を作ったが半年で陳腐化した」「BYODと会社支給端末でルールが違って混乱している」といった声が後を絶ちません。デバイス管理を体系化するには、目的別のアプローチを理解し、自社の規模と運用体制に合った方法を選ぶ必要があります。

情シス部門が押さえるべきデバイス管理の5つのアプローチ、運用設計の5ステップ、ツール選定のポイント、実務でつまずきやすい論点を解説します。情シスの現場担当者、IT資産管理プロジェクトのリーダー、セキュリティ運用責任者を主な対象とした内容です。

情シス部門にとってデバイス管理が重要な理由

デバイス管理が情シス部門にとって不可欠な理由は、業務端末が企業データへの最初のアクセスポイントとなるためです。1台のPCには社内システムへのアクセス情報、機密ファイル、メール履歴、保存されたパスワードなど、ビジネスの中枢情報が集約されており、適切に統制されないと情報漏えいやランサムウェア感染の入口となります。

リモートワークとモバイル業務の普及により、デバイスはオフィスのネットワーク内に閉じていません。社外Wi-Fiから業務システムに接続する状況、私物デバイスから会社メールを確認する場面、出張先での紛失リスクなど、従来の境界型セキュリティでは対応しきれない課題が日常化しています。

デバイス管理を体系化することで、次の効果が期待できます。

• 情報漏えいリスクの低減：盗難・紛失時のリモートワイプとアクセス遮断が可能になる
• セキュリティパッチの徹底：脆弱性の放置による攻撃被害を防げる
• 棚卸しと監査対応の効率化：年4回の棚卸しが半日〜数時間で完結する
• 退職者の権限管理：デバイスとアカウントの即時無効化を実現できる
• ガバナンス基盤の整備：ISO27001・Pマーク・SOC 2などの監査で求められる台帳・操作履歴・権限履歴の整備に役立つ

特に従業員数100名を超える組織では、人手による管理は現実的でなくなります。情シス部門の人員が増えにくい一方で、社員が複数台のデバイスを管理する状況が一般化しており、ツール導入と運用標準化が経営課題として顕在化しています。

参考：テレワーク・セキュリティガイドライン｜総務省
参考：中小企業の情報セキュリティ対策ガイドライン｜IPA

デバイス管理の5つのアプローチ

デバイス管理は、目的によってアプローチが大きく異なります。情シス部門が混乱しやすいのは、複数のアプローチを同時並行で進めるためです。各アプローチの違いを理解し、自社で必要な範囲を見極めることが、効率的な運用設計につながります。

1. IT資産台帳によるデバイス管理

最も基本的なアプローチで、購入したPC、スマートフォン、周辺機器の情報を一元的に台帳化する方法です。資産番号、機種、シリアル番号、OS、購入日、保証期限、利用者、配置場所などを記録し、所有権と責任の所在を明確にします。リース管理や保守契約の追跡、財務会計部門との連携にも使われます。

2. MDM（Mobile Device Management）による統合管理

スマートフォンやタブレットを中心に、リモートワイプ、アプリ配信、セキュリティポリシー強制、紛失時の遠隔ロックといった機能を統合管理するアプローチです。BYOD環境では、業務領域と私的領域を分離するコンテナ化機能が重要になります。代表的なツールとしてMicrosoft Intune、Jamf、VMware Workspace ONEなどがあります。

3. UEM（Unified Endpoint Management）による統合管理

PC、モバイル、IoT機器を含む全エンドポイントを単一プラットフォームで管理するアプローチです。MDMの管理対象をPCや周辺エンドポイントまで広げた概念としてUEMが普及しており、Windows、macOS、iOS、Androidを横断的に管理できる点が特徴です。デバイス種別ごとにツールを分けない方針の組織に適しています。

4. EDR/EPPによるセキュリティ運用管理

エンドポイント保護プラットフォーム（EPP）と、エンドポイント検知・対応（EDR）の組み合わせで、デバイス上の脅威を検知・対処するアプローチです。マルウェアの実行検知、振る舞い分析、自動隔離といった機能を提供します。代表的なツールとしてCrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOneなどがあります。

5. SaaS管理プラットフォームによるアカウント連携管理

デバイスそのものではなく、デバイスから利用されるSaaSアカウントとライセンスを管理するアプローチです。ジョーシスのようなプラットフォームでは、入退社に応じてアカウントを自動払い出し・削除し、退職者のデバイスから残存アクセスが発生しないよう統制します。デバイス管理ツールと連携させることで、より強固な統制が実現します。

参考：Gartner Magic Quadrant for Unified Endpoint Management

デバイス管理を体系化する5ステップ

デバイス管理の体系化は、いきなりツール導入から始めても定着しません。次の5ステップで現状把握から運用定着までを段階的に進めることで、ツール価値を最大化できます。

ステップ1：現状把握と方針設計

社内のデバイス種別、台数、利用パターンを棚卸しし、現状の課題を整理します。会社支給端末とBYODの比率、リモートワーク利用率、業務SaaSの種類を把握したうえで、「何を統制したいか」の方針を経営層と合意することが起点です。

ステップ2：ポリシー策定とルール明文化

利用規程、パスワードポリシー、暗号化要件、アプリインストールルール、退職時のデータ消去手順などを文書化します。社員に何を求め、何が禁止事項かを明確にする段階で、人事部門と法務部門の関与が必要です。

ステップ3：ツール選定と導入計画

選定したアプローチに合わせて、MDM、UEM、IT資産管理ツール、SaaS管理プラットフォームなどの候補を比較します。PoC期間を30〜60日設定し、実際のデバイス環境で動作確認することがミスマッチ防止に役立ちます。

ステップ4：導入展開と社員教育

部門単位で段階展開し、社員向け説明会・FAQ整備・問い合わせ窓口の設置を並行します。利用者の混乱を最小化するために、なぜ必要かをわかりやすく伝える発信が欠かせません。情シス部門の運用フローも、導入と同時に標準化します。

ステップ5：運用定着とKPIモニタリング

導入後3〜6カ月は集中フォローアップ期間とし、棚卸し工数、紛失デバイス対応時間、退職者デバイス回収率、セキュリティポリシー違反検知数などのKPIを測定します。データに基づいてポリシーや運用フローを継続的に改善することで、ツール価値が最大化されます。

参考：ITサービスマネジメントの実装ガイド｜itSMF Japan

デバイス管理ツールの選定基準

ツール選定で判断ミスを避けるためには、機能比較だけでなく自社の運用前提に合うかを多面的に確認する必要があります。次の基準を参考に、評価軸を事前に設定してください。

対応OSと管理対象範囲

Windows、macOS、iOS、Android、Linux、ChromeOSなどの対応状況、IoT機器の管理可否を確認します。組織が利用するデバイスの過半数をカバーできることが最低条件です。

自動化機能の充実度

入社時のキッティング自動化、退職時のリモートワイプ、ポリシー違反検知の自動アラート、SaaSアカウントとの連動など、自動化範囲を具体的に評価します。手動運用が前提のツールは、運用工数が想定以上に膨らみます。

セキュリティ機能の深さ

リモートロック、ディスク暗号化、紛失時の追跡、条件付きアクセス、ゼロトラスト連携などのセキュリティ機能を確認します。EPP/EDRと連携する設計か、内蔵型かによって運用が大きく変わります。

既存環境との統合性

IDaaS（Microsoft Entra ID、Okta）、人事システム、SaaS管理ツールとのAPI連携実績を見ます。すでに使っているツールに合わせる設計を選ぶことで、運用工数を大幅に削減できます。

価格モデルと総保有コスト

デバイス単価、ユーザー単価、固定価格のどれが採用されているかにより、組織規模との適合性が変わります。導入支援費、トレーニング、サポート費を含めた3年間TCOで比較するのが原則です。

サポート品質と国内対応

国内ベンダーか海外ベンダーか、日本語サポートの有無、SLA、障害時の対応スピードを確認します。重要な業務基盤となるため、サポート体制は決定要因の1つです。

参考：ITreview｜デバイス管理ツール比較

BYODと会社支給端末の併用ルール設計

BYODと会社支給端末を併用する組織では、両者のルールを明確に分けつつ、運用を統一する必要があります。境界が曖昧だとプライバシー問題やセキュリティ事故の引き金になります。

BYOD導入時に押さえる論点

BYODは社員私物のスマートフォンやPCを業務利用する形態で、コスト削減と利便性の利点がある一方で、プライバシーと統制のバランスが課題です。コンテナ型MDMで業務領域と私的領域を分離し、リモートワイプの対象を業務領域に限定する設計が一般的です。利用同意書の取得と教育徹底が前提条件となります。

会社支給端末の標準ルール

会社支給端末では、フルディスク暗号化、強制パスワード変更、自動ロック、不要アプリのインストール禁止、USB接続の制限など、組織のリスク許容度に応じた強い統制を適用できます。退職時には端末回収とリモートワイプの両方を実施し、データの持ち出しを防止します。

利用規程の設計ポイント

社員向けの利用規程では、業務利用の範囲、私的利用の禁止事項、紛失時の連絡フロー、退職時の対応手順を明文化します。法務・人事部門と連携し、就業規則との整合性を取ることが重要です。利用規程は年1回見直し、技術環境と業務実態に合わせて更新します。

参考：BYOD導入指針｜JNSA

デバイス管理の運用でつまずきやすい論点

ツールを導入しても運用が定着しないケースは少なくありません。情シス部門が陥りがちな論点を事前に把握し、対策を講じてください。

棚卸しの自動化と現実のギャップ

ツールが自動収集する情報は、ネットワークに接続中のデバイスに限定されることが多く、長期出張中の端末や倉庫で保管中の端末は反映されません。半年・1年単位で物理的な棚卸しを併用する運用設計が望まれます。

退職者デバイスの回収漏れ

退職時のデバイス回収は、人事部門と情シス部門の連携不足で漏れが発生しやすい領域です。退職プロセスにチェックリストを組み込み、人事システムとデバイス管理ツールを連動させる設計で対処できます。

セキュリティポリシーと現場業務の摩擦

過度に厳格なポリシーは現場の生産性を下げ、シャドーITを誘発します。リスクと業務効率のバランスを取り、現場部門との対話を継続することがポリシー定着の鍵です。

ツールの機能を使いこなせない問題

高機能なツールを導入しても、設定や運用フローが複雑だと一部機能しか使われず、投資対効果が下がります。ベンダーの導入支援、運用代行サービスの活用、社内オペレーション設計の標準化が必要です。

参考：情報セキュリティ運用ガイドライン｜JIPDEC

デバイス管理関連の用語集

選定検討と社内コミュニケーションで頻出する用語を整理しておきます。

• MDM（Mobile Device Management）：モバイル端末を中心としたデバイス統合管理ツール
• UEM（Unified Endpoint Management）：PC・モバイル・IoTを統合管理するエンドポイント基盤
• EMM（Enterprise Mobility Management）：MDMとアプリ管理、コンテンツ管理を含む統合管理
• BYOD（Bring Your Own Device）：社員私物デバイスを業務利用する形態
• COPE（Corporate-Owned, Personally Enabled）：会社支給端末で私的利用も認める形態
• リモートワイプ：紛失・盗難時にデバイスのデータを遠隔消去する機能
• コンテナ化：BYOD端末で業務領域と私的領域を分離する技術
• EPP（Endpoint Protection Platform）：マルウェア対策などの予防型エンドポイント保護
• EDR（Endpoint Detection and Response）：脅威の検知・分析・対応を行うエンドポイント基盤
• IDaaS（Identity as a Service）：シングルサインオンと多要素認証を提供するクラウドサービス
• SCIM（System for Cross-domain Identity Management）：アカウント同期の標準プロトコル
• 条件付きアクセス：デバイスの状態に応じてアクセスを許可・拒否する仕組み
• ゼロトラスト：デバイス・ユーザー・ネットワークすべてを信頼せず常時検証する考え方

参考：IT用語辞典 e-Words

ジョーシスを活用したデバイス管理とアカウント統制

デバイス管理は、デバイス自体の統制だけでなく、デバイスから利用されるSaaSアカウントとアクセス権限まで一貫して管理することで真価を発揮します。ジョーシスは、SaaS、デバイス、アカウントを統合管理するAI駆動型アイデンティティガバナンスプラットフォームで、入退社に伴うアカウント自動払い出し・削除、退職者のSaaS残存アクセス検知、ライセンス利用状況の可視化を実現します。

国内外700社以上の導入実績があり、IT工数を最大50%、ITコストを最大75%削減した事例も報告されています。350以上のSaaSアプリとAPI連携し、人事システム、IDaaS、MDMとの統合運用で、デバイスとアカウントの両面から統制を強化できます。中堅企業から準大企業まで幅広い規模に対応し、SaaSファーストの業務環境を持つ組織には特に高い適合性があります。

ジョーシスでデバイス管理を効率化する

事例によってはIT工数を最大50%・ITコストを最大75%削減したケースがあります。（効果は個社の状況により異なります）

資料ダウンロード（無料）

無料デモを申し込む

よくある質問

デバイス管理の運用設計でよく寄せられる質問にお答えします。

Q1：MDMとUEMはどちらを選ぶべきですか

スマートフォン中心ならMDM、PCも統合管理したいならUEMが第一候補です。中堅企業以上ではUEMが主流で、複数ツールを使い分ける運用負荷を避けやすいメリットがあります。短期的にはMDMから始め、PC管理を含めて拡張する選択も現実的です。

Q2：BYODでプライバシーを守りつつ統制するにはどうすればいいですか

コンテナ型MDMで業務領域と私的領域を分離し、リモートワイプの対象を業務領域に限定する設計が標準解です。利用同意書の取得、社員説明会、ポリシーの公開と更新管理を組み合わせることで、信頼関係を維持できます。

Q3：デバイス管理ツールとIT資産管理ツールは別物ですか

機能領域が重複する部分が多いものの、目的が異なります。デバイス管理ツールはデバイスの統制と保護が主目的、IT資産管理ツールは台帳管理とコスト最適化が主目的です。両者を併用する組織が多く、API連携で情報を統合する構成が一般的です。

Q4：小規模な組織でもデバイス管理ツールを導入すべきですか

50名以上の組織では、紛失・退職対応の負荷とリスクを考えるとツール導入の意義が大きいです。月額数百円〜数千円のSaaS型MDMが選択肢にあり、Microsoft 365に含まれるIntuneを活用する選択もコストメリットが高い方法です。

Q5：デバイス管理の運用ルールはどれくらいの頻度で見直すべきですか

最低でも年1回、技術環境と業務実態の変化に応じて随時見直すことが推奨されます。新たなSaaSの導入、リモートワーク比率の変化、セキュリティインシデントの発生時は、その都度ルールの妥当性を検証してください。

まとめ

デバイス管理は、ツール導入だけでは完結せず、ポリシー、運用フロー、社員教育、KPI監視を一体で進めることで効果を発揮します。ここまで紹介した5つのアプローチと5ステップを起点に、自社のフェーズに合った設計を進めてください。SaaSとデバイス、アカウントを横断して管理したい中堅・準大企業には、ジョーシスが現実的な選択肢となるため、ぜひ資料ダウンロードからご確認ください。

関連記事：IT資産管理とは｜情シス担当者が押さえる基本と運用の全体像

関連記事：MDMとは｜情シス担当者が押さえるモバイルデバイス管理の基本

関連記事：IT資産管理ツールの選び方｜情シス担当者が押さえるべき7つの評価軸と導入ステップ