リモートワークとBYOD（Bring Your Own Device）の定着により、社外で利用される業務デバイスが急増しています。スマートフォンやノートPCを誰がどう使っているかを把握できず、紛失時の対応や情報漏洩リスクが情シスの悩みになっているケースは少なくありません。

この課題を構造的に解決する仕組みがMDM（Mobile Device Management）です。デバイスの一元管理・遠隔操作・セキュリティ統制を実現し、ゼロトラストセキュリティの土台にもなります。

本記事ではMDMの仕組みと機能、EMM／UEMとの違い、導入手順、製品選定の観点、SaaS管理プラットフォームとの連携までを情シスがそのまま実装に落とし込める形で整理します。

MDM導入や見直しを検討する情報システム部門・セキュリティ責任者を主な読者として想定しています。

MDMとは

MDM（Mobile Device Management、モバイルデバイス管理）は、企業が従業員に貸与するスマートフォン・タブレット・ノートPCなどのデバイスを一元管理する仕組みです。OSの設定・アプリ配布・セキュリティポリシー適用・遠隔ロック／ワイプといった機能を提供します。

MDMで実現できること

紛失時の遠隔ワイプ、パスコード強制、暗号化必須化、業務アプリの一括配布、未承認アプリのブロックといった統制を、情シスの管理コンソールから一括で適用できます。デバイス台数が増えるほど効果が拡大します。

MDMが必要になる背景

リモートワーク・BYOD・社外持出デバイスが増えると、社内ネットワーク前提の境界防御モデルが機能しなくなります。デバイス自体に統制をかける必要が生まれ、ゼロトラスト設計の中核として位置づけられます。

参考：MDMとは - 総務省

MDMの主な機能

MDM製品は基本機能として6カテゴリの機能を提供します。組織のリスクや業務に合わせて、必要な機能を組み合わせて運用します。

構成管理（Configuration）

Wi-Fi、VPN、メール、証明書などのデバイス設定をリモートで一括配布できます。新規デバイスのキッティング工数を大幅に削減し、設定ミスによるセキュリティホールも防げます。

アプリケーション管理

業務アプリの一括配布、アンインストール、未承認アプリのブラックリスト化を実施できます。Microsoft Intuneのアプリ保護ポリシーのように、業務アプリ内のデータだけを保護する高度な制御も可能です。

セキュリティ管理

パスコード強制、ストレージ暗号化、画面ロック時間、カメラ／Bluetooth利用制限、ジェイルブレイク／root化検知といったセキュリティポリシーを一元適用します。

遠隔操作

紛失・盗難時の遠隔ロック、パスコードリセット、ワイプ（初期化）が可能です。退職者デバイスからの即時データ削除も同じ仕組みで実現できます。

モニタリングとインベントリ

OSバージョン、インストール済みアプリ、ハードウェア情報、最終接続日時、位置情報を可視化できます。資産管理台帳との突き合わせやセキュリティパッチ適用率の追跡に使えます。

条件付きアクセス連携

IDaaSと連携し、「MDM管理下のデバイスからのみ社内SaaSへアクセスを許可」といったゼロトラスト的な制御を実現します。Microsoft Entra IDとIntuneの組み合わせが代表例です。

参考：MDMの基本機能 - IT Leaders

MDM・EMM・UEMの違い

MDM周辺には類似カテゴリが複数あり、製品検討時に混乱しがちです。3つの違いを表で整理します。

近年はUEMが主流で、PC（Windows／Mac）とスマホ（iOS／Android）を1つのコンソールで統合管理できます。「MDM」という言葉はEMM／UEMの旧称または狭義として使われることが多いです。

EMM（Enterprise Mobility Management）

MDMにアプリ管理（MAM）、コンテンツ管理（MCM）、ID管理（IAM）を統合した進化形カテゴリ。スマホ・タブレット中心の管理が主軸です。

UEM（Unified Endpoint Management）

EMMにPC（Windows・macOS）統合管理を追加した最新カテゴリ。スマホ・PC・IoTデバイスをすべて1つのコンソールで管理できます。

ジョーシスのプラットフォームを使えば、MDM／UEMと連動したSaaSアカウント管理を一元化できます。資料ダウンロードは5分でわかるJosysからどうぞ。

MDM導入のメリット

MDMはセキュリティ強化と運用効率化の両軸で効果を発揮します。情シス・セキュリティ・経営の各視点でメリットを整理しました。

セキュリティの構造的強化

紛失・盗難時の遠隔ワイプ、退職者デバイスからのデータ削除、未承認アプリのブロックが標準化され、デバイス起点の情報漏洩リスクが大幅に低減します。条件付きアクセスと組み合わせれば、未管理デバイスからの社内SaaSアクセスをブロックできます。

キッティング・運用工数の削減

新規デバイスのキッティングをゼロタッチ化（Apple Business Manager、Windows Autopilot連携）でき、現地での設定作業が不要になります。台数が多いほど工数削減効果が大きく、年間数百〜数千時間単位の削減が現実的です。

コンプライアンス対応の効率化

ISMS、SOC2、PCI DSS、改正電帳法といった監査要件で、デバイス暗号化・パスコード強制・パッチ適用率の証跡が標準化されます。監査対応の資料作成工数も大幅に削減できます。

MDM導入の注意点

メリットの大きさに反して、設計を誤ると現場の反発や業務影響を招きます。情シスが事前に押さえるべきポイントを3つ紹介します。

BYODと会社支給の使い分け

会社支給デバイスは全領域を統制できますが、BYODは私物領域とのプライバシー境界を慎重に設計する必要があります。Android Enterprise Work Profile、iOS User Enrollmentなど、BYOD向けの仕組みを使い分けます。

OSアップデートとMDM対応の追従

iOS／AndroidのメジャーOSアップデートでMDM側の対応が遅れることがあります。リリース直後にユーザーが自動更新するとMDM管理が一時的に不安定になる可能性があるため、更新延期ポリシーを設定しておきます。

退職時の確実なワイプ

会社支給デバイスは退職時に確実にワイプする必要があります。BYODの場合は業務領域だけを選択的にワイプ（Selective Wipe）する設計が必要で、最初から運用ルールに組み込みます。

MDM代表製品の比較

国内外で利用される主要MDM／UEM製品を、情シスの選定観点で整理しました。価格や機能は2026年5月時点の公開情報に基づきます。

Microsoft Intune

Microsoft 365契約企業の標準解です。Entra IDとの連携が深く、条件付きアクセスとの組み合わせでゼロトラスト設計の中核を担えます。Microsoft 365 E3／E5に付属するため、追加コストを抑えやすい特徴があります。詳細はMicrosoft Intune 公式で確認できます。

Jamf

macOS／iOS専門のMDM／UEMで、Apple環境では業界標準。Apple Business Managerとの統合・キッティング自動化・教育機関向け機能で評価が高いです。詳細はJamf 公式で確認できます。

VMware Workspace ONE

クロスプラットフォーム対応のUEMで、Windows・macOS・iOS・Android・ChromeOSを統合管理できます。エンタープライズの大規模導入に強みがあります。詳細はWorkspace ONE 公式で確認できます。

Kandji

macOS／iOS特化の新世代UEM。Jamfの対抗馬として急成長中で、モダンUIと自動化機能、即日適用ポリシーが特徴です。詳細はKandji 公式で確認できます。

MOTEX LANSCOPE

国産MDM／IT資産管理の代表格。日本企業向けの操作ログ取得・PC操作監視機能が手厚く、内部統制重視の組織に選ばれています。詳細はLANSCOPE 公式で確認できます。

Optimal Biz

国内シェア上位の国産MDM。スマホ・タブレット・PCの統合管理に対応し、日本語サポートと国産プロダクトの安心感が評価されています。詳細はOptimal Biz 公式で確認できます。

MDM導入の進め方

「現状把握 → ポリシー設計 → 製品選定 → パイロット → 全社展開」の5ステップで進めます。最初から100%カバーを目指さず、優先度の高いデバイスから段階導入します。

ステップ1：現状把握とリスク評価

会社支給／BYOD／併用の現状、デバイス種別ごとの台数、紛失・退職時の対応フロー、機密データ保管状況を棚卸しします。リスクの大きい領域からMDM対象として優先度を付けます。

ステップ2：ポリシー設計

パスコード要件、暗号化、画面ロック時間、許可アプリ、Wi-Fi制限、ワイプ条件などのセキュリティポリシーを定義します。BYODはプライバシー保護を最優先にします。

ステップ3：製品選定とPoC

Microsoft 365利用企業ならIntune、Apple中心ならJamf、クロスプラットフォーム重視ならWorkspace ONEといった軸で2〜3社をPoCします。実機での動作・管理コンソール操作性・コスト総額を比較します。

ステップ4：パイロット導入

情シス部門と1部署で先行導入し、ユーザーへの影響・問い合わせ傾向・障害時のリカバリ手順を検証します。マニュアルとFAQを整備したうえで全社展開に進みます。

ステップ5：全社展開と継続運用

部署単位で段階的に展開し、四半期ごとにポリシー見直しと棚卸しを実施します。新規デバイスはAutopilot／Apple Business Managerでゼロタッチ登録に切り替え、運用工数を継続的に削減します。

MDM用語集

MDM関連で頻出する用語を簡潔にまとめました。検討資料の作成や社内説明にもそのまま使えます。

MAM（Mobile Application Management）

業務アプリ単位で管理する手法。BYOD環境で「私物デバイスの業務アプリ内データだけを保護する」設計に使います。

MCM（Mobile Content Management）

業務コンテンツ（ファイル）の配布・閲覧制御を担う仕組み。MDMとは独立して運用される場合もあります。

Apple Business Manager（ABM）

AppleのデバイスをゼロタッチでMDM登録できる仕組み。新規購入したiPhone／iPadを開封即業務利用可能にできます。

Windows Autopilot

WindowsデバイスのゼロタッチMDM登録機能。Microsoft Intuneと組み合わせて、新規PCを開封即セットアップできます。

ワイプ（Wipe）

デバイスのデータを完全消去する操作。フルワイプ（全消去）と選択ワイプ（業務領域のみ消去）の2種類があります。

ジェイルブレイク／root化

iOSやAndroidの制限を解除する不正改造。MDMで検知し、社内SaaSアクセスをブロックする運用が一般的です。

MDMだけでは解決しないSaaS管理の課題

MDMはデバイス起点のセキュリティを担保しますが、SaaSのライセンス管理、シャドーIT検知、契約・更新管理までは守備範囲外です。SaaS数が30を超える組織では、MDMとSaaS管理プラットフォーム（SMP）の組み合わせが現実解になります。

ライセンス利用率の可視化

MDMはアプリのインストール状況は把握しますが、SaaS有償ライセンスの利用率や過剰契約までは追跡しません。年間SaaSコスト最適化には別の仕組みが必要です。

SaaSアカウントとデバイスの紐付け

退職時にデバイスをワイプしても、SaaS側のアカウントが残ったままだと不正アクセスリスクが残ります。SaaS横断でのアカウント削除プロセスとしてはSCIM自動化＋管理プラットフォームでの監査が必要です。

シャドーITの検知

部署が情シス無断で契約したSaaSはMDM管理対象外です。クレジットカード明細やSaaS購買データを横断的に取得する仕組みでなければ、こうした抜け穴は塞げません。

SaaS管理プラットフォームが補う領域

ジョーシスのプラットフォームは350以上のSaaS連携と31カテゴリの管理機能を備え、MDM／UEMがカバーしないSaaSライフサイクル全体を統合管理できる設計です。国内外700社以上の導入実績があり、IT工数を最大50%、ITコストを最大75%削減した事例も報告されています。

無料デモはJosys デモ予約から日程を選べます。

MDMについてよくある質問

検討フェーズで担当者から多く寄せられる質問を整理しました。

MDMはBYODでも使えますか

使えますが、私物領域とのプライバシー境界を尊重する設計が必須です。Android Enterprise Work Profile、iOS User Enrollmentなど、業務領域だけを管理対象とする仕組みを使います。

MDMは中小企業にも必要ですか

リモートワーク・社外持出・退職者対応がある組織であれば規模に関係なく必要です。Microsoft 365 Business Premiumに付属するIntuneやGoogle Workspace付属のEndpoint Managementから始められるため、初期コストは抑えられます。

MDMはPCにも使えますか

UEM対応製品（Intune、Jamf、Workspace ONE）であれば、Windows・macOS・iOS・Androidを統合管理できます。スマホ専用の旧来型MDMから乗り換える企業が増えています。

MDMでプライベート利用は監視されますか

会社支給デバイスは原則として業務利用前提のため、業務領域での操作は監視対象です。BYODの場合は業務アプリ内のデータだけを保護する設計が標準で、私物領域への監視は行われません。

まとめ

MDMはデバイス管理の中核機能で、近年はEMM／UEMへ進化してPC・スマホ・IoTを統合管理できるようになっています。ゼロトラスト設計の柱として、IDaaSの条件付きアクセスと組み合わせて使うのが現代的な標準構成です。

ただしMDM単体ではSaaSのライセンス管理やシャドーIT可視化までは届かないため、SaaS管理プラットフォームとの組み合わせ運用が現実解になります。自社のSaaS環境を統合的に整備したい場合は、5分でわかるJosysから検討を始めるのが近道です。