Android*デバイスでネイティブの電子メール、 スケジュール管理、連絡先

IT@Intel ホワイトペーパー
インテル IT 部門
IT ベスト・プラクティス
ネイティブ電子メール・ソリューション
2014 年 2 月
Android* デバイスでネイティブの電子メール、
スケジュール管理、連絡先情報を利用可能に
概要
ネイティブ電子メール・
ソリューションは、従業員が
Android* デバイスの
ネイティブ・アプリケーションを
使用して電子メール、
スケジュール管理、
連絡先情報にアクセスすることを
可能にします。
インテルの BYOD（従業員が個人所有するデバイスの利用）プログラムは拡大しており、
Android* デバイスの使用も増えています。インテル IT 部門では、企業としてのセキュリティー
を確保しながらも、こうしたデバイスを使用する従業員にとっての障壁を取り除きたいと考えて
います。この目標を達成するために、ネイティブ電子メール・ソリューションを提供して、従業員が
Android* デバイスのネイティブ・アプリケーションから電子メール、スケジュール管理、連絡先情
報にアクセスできるようにしました。このソリューションでは、従業員が会社のデータへのアクセス
権を必要とする基幹業務アプリケーションに適用できるほどに高レベルな基準に沿って、これらの
デバイスを保護しています。
ネイティブ Android* アプリケーションへのサ
ポートを追加するには、主に次の 3 つの課題
に取り組む必要があります。
• セキュリティー：2011 年後半にリリースさ
れたバージョン 4.0 よりも前のバージョンの
Android* には、インテル社内へのアクセス
に必要な暗号化または二要素認証の機能
がありませんでした。
Paul Donohue
インテル IT 部門
モビリティー・エンジニア
Rob Evered
インテル IT 部門
シニア情報セキュリティー・スペシャリスト
Derek Harkin
インテル IT 部門
モビリティー・エンジニア
Aideen Prendergast
インテル IT 部門
プロジェクト・マネージャー
Emer Roche
インテル IT 部門
モビリティー・エンジニア
• 細分化：デバイスメーカーは独自に Android*
OS をカスタマイズできるため、数百のバリ
エーションが存在しています。
• 拡張性：セキュリティーのリスクや細分化の
影響に加えて、Android* OS とデバイスの
組み合わせの種類が増えたことで、デバイス
の登録および構成のサポートを拡大するこ
とが困難になっていました。
インテルのネイティブ電子メール・ソリューション
（電子メール、スケジュール管理、連絡先情
報を含む）は、次の方法によってこの 3 つの課
題を乗り越えました。
• セキュリティー・リスクの軽減：Android*
4.0 以降についてさまざまな脅威、脆弱性、
およびその影響を評価し、可能な限りリスク
を抑える対策を開発しました。また、モバイ
ルデバイス管理（MDM）ソリューションのサ
プライヤーに依頼して、リスク軽減に役立つ
証明書配信機能を含めることも必要でした。
• さまざまなメーカーの複数デバイスへの対
応：従業員はソリューションを 2 段階で読み
込みます。最初に、デバイスを MDM ソリュー
ションに登録します。次に、手動で電子メー
ルアカウントを構成します。従業員が手動で
行う手順の数は、使用するデバイスの種類に
よって異なります。これは Android* OS の
細分化の影響によるものです。
• イン テ ル で 使 用 され て い る 大 部 分 の
Android* デバイスを利用可能にする：従
業員が使用する Android* デバイスの大部
分は、インテル® アーキテクチャー搭載のデ
バイス、Android* Open Source Project
（AOSP）のデバイス、特 定 のサードパー
ティー・サプライヤーのデバイスという 3 種類
のうちのいずれかです。
• 従業員によるセットアップを支援する：デバ
イス登録と電子メールのアカウント構成プロ
セスをガイドする自動化された標準手順に
関して、補足説明を行う文書マニュアルを用
意しました。これによって、IT ヘルプデスク
への問い合わせ件数が減少しました。
2013 年 半 ばに実 施され た、ネイティブ 電
子メール・ソリューションを使 用する最 初 の
IT@Intel ホワイトペーパー Android* デバイスでネイティブの電子メール、スケジュール管理、連絡先情報を利用可能に
目 次
概 要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
背 景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Android* デバイスの安全性を 保護することのメリット. . . . . . . . . . . . 2
6,000 人の従業員を対象とした調査では、
90% は受け入れ可能だと回答し、81% は、
2005 年以降インテルで使用されていたセ
キュアコンテナーでの作業より、ネイティブ・ア
プリケーションでの作業の方が好ましいと回答
しました。従業員の満足度と生産性の向上に
加えて、MDM ライセンスはセキュアコンテナー
のライセンスより安いため、コスト削減も実現
されます。
課 題............................. 3
Android* ネイティブの 電子メール・ソリューションを 実現する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1. セキュリティー・リスクの評価 . . 4
2. ソリューションの設定 . . . . . . . . . . 5
3. ソリューションに適切な Android* デバイスの選択 . . . 5
4. ユーザーのトレーニング . . . . . . . 6
結 果................................ 6
まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
詳細情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
略 語. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
IT@Intel
IT@Intel は IT プロフェッショナル、マネー
ジャー、エグゼクティブが、インテル IT 部
門のスタッフや数多くの業界 IT リーダー
を通じ、今日の困難な IT 課題に対して成
果を発揮してきたツール、手法、戦略、ベ
スト・プラクティスについて詳しく知るため
の情報源です。詳細については、http://
www.intel.co.jp/itatintel / を参照し
てください。あるいはインテルまでお問い
合わせください。
2
www.intel.co.jp/itatintel
背景
2011 年末時点で、インテル IT 部門の管理
下にある約 6,000 台の Google* Android*
OS 搭載デバイスが、電子メール、スケジュー
ル管理、連絡先情報のためだけにセキュア
コンテナーを使用していました。2 年後、この
台数は 4 倍近くになりました。その結果、最
適なユーザー体験を従業員に提供するという
インテルの継続的な目標の一環として、こうし
た従業員が、Android* デバイスのネイティ
ブ・アプリケーションを使用して電子メール、
スケジュール管理、連絡先情報にアクセスでき
るようにすること、つまり情報セキュリティーと
IT 効率性を最大限に高めつつ、従業員が望
む方法で情報にアクセスできるようにすること
が検討されました。この施策は、電子メール、
スケジュール管理、連絡先情報以外のビジネ
ス・アプリケーションにとってもセキュリティー
の基準となるものでした。
Android* ネイティブの電子メール・ソリュー
ションを提供することは、IT のコンシューマー
化における選択の自由をサポートする重要
な施策の 1 つでした。インテル IT 部門では、
インテルのリスクを増やすことなく、従業員の選
択の自由をサポートしたいと考えていました。
従業員は、Android* デバイスなどの各自が
選んだデバイスから、素早くメールを送信し、会
議のスケジュールを設定し、電話会議に参加
することを望んでいました。これを可能にした
のがネイティブ電子メール・ソリューションです。
電子メール以外のビジネス・アプリケーションに
ついても、これがデバイスに対するエンタープラ
イズ・セキュリティーの基準となりました。この
ソリューションは、異なる OS を実行するデバイ
スに提供されるソリューションと同等のソリュー
ションであると同時に、Android* デバイスの
IT 管理コストの削減も実現しました。
Android* デバイスの安全性を
保護することのメリット
徹底的な分析の結果、Android* デバイスの
安全性を保護することには次のように多くのメ
リットがあることが分かりました。
• ネイティブ・アプリケーションで作業できるよ
うにすることにより、セキュア・コンテナー・ソ
リューションにかかるライセンス費用を大きく
減らすことができます。あるいは、同じ費用
をかけるにしても、ライセンスの使用対象を
より安全性の低い、または未成熟な別のプ
ラットフォームに変更できます。
• Android* デバイスでセキュア・コンテナー・
ソリューションを使用した場合、従業員は、
電子メール、スケジュール管理、連絡先情
報向けのエンタープライズ・サービスを十
分に活用することができませんでした。この
制限は、生産性、効率性、仕事の満足度に
マイナスの影響を与えていました。しかし、
Android* デバイスでネイティブ・アプリケー
ションを使用して個人と会社のスケジュー
ルを確認できるようになれば、従業員のワー
クライフ・バランスの向上を図ることができ
ます。例えば、同僚の空き状況を確認した
上で、スケジュールを設定するといったこと
をより手軽にできるようになります。これは、
従業員が複数のタイムゾーンで働くグローバ
ル企業に時間短縮のメリットをもたらします。
• 社内では、インテル ® アーキテクチャー搭載
の Android* デバイスの使用が、他のデバ
イスと OS の組み合わせよりも急速に拡大し
ていました。ライセンス費用削減の効果を大
きくするため、ユーザー数が増加しているこ
うしたデバイスを BYOD プログラムに登録
する従業員向けに、できるだけ広い範囲の
エンタープライズ・サービスを提供することを
考えました。
• アプリケーション開発チームでは、インテル ®
アーキテクチャー搭載 Android* デバイス
でテストできることが必要でした。ネイティブ
環境でアプリケーションをテストする機能を
制限することになるセキュア・コンテナー・ソ
リューションは望まれていませんでした。
• 従 業 員 がオープンソースの Android* プ
ラットフォームを好む一番の理由は、自身
の革新力や創造力を発揮できるからです。
サードパーティーの セキュアコンテナーで
Android* の機能を制限することは、従業
Android* デバイスでネイティブの電子メール、スケジュール管理、連絡先情報を利用可能に IT@Intel ホワイトペーパー
員が最適と判断したプラットフォームである
にもかかわらず、彼らの革新力や創造力を
発揮する妨げになっていました。
• ウェアラブル・コンピューティング・デバイスを
使用する多くの従業員は、Android* プラッ
トフォームでの操作を好みます。例えば、従
業員はスマートウォッチで新着メールや予定
の通知を受信したいと考えますが、そのため
には、そのウォッチのネイティブ・アプリケー
ションで電子メールにアクセスする必要があ
ります。
課題
拡張性に優れたサポート可能なエンタープラ
イズ・レベルのソリューションを作成するには、
複雑な Android* エコシステムとそこに存在
する課題を完全に理解しておく必要がありまし
た。インテル IT 部門では、セキュリティー、細
分化、拡張性という 3 つの観点から課題を調
査しました。
セキュリティー
2011 年、インテル内のほとんどの Android*
デバイスではバージョン 2.3 が使われていまし
た。インテル IT 部門では、この OS をインテル
の環境にとって安全なプラットフォームである
とは認めていませんでした。ネイティブの電子
メール、スケジュール管理、連絡先情報を利
用可能にするための最低要件も満たしていな
かったからです。特にこのバージョンでは、保
管されているデータを（暗号化を使用して）保
護することができず、インテル内のエンタープ
ライズ・サービスへのアクセスに必要な二要素
認証もサポートしていませんでした。
従業員に Android* デバイスの使用を許可す
るためには、暗号化されたセキュアコンテナー
を介して電子メール、スケジュール管理、連絡
先情報をデバイスに提供するしかありませんで
した。リスクとメリットのバランスを取るには、こ
れが唯一の妥協策でした。このソリューション
は従業員の希望を部分的にかなえましたが、
次のような多くの理由で理想的とは言えま
せんでした。
• サードパーティーのセキュアコンテナーのラ
イセンス費用が高額である。
• 安全なコンテナーを安全ではないプラット
フォーム上で使用していたので、一部のリス
クは依然として残った。
• デバイス上のセキュアコンテナーでは、企業
データへのアクセスを必要とするすべてのアプ
リケーションを実行できるわけではなかった。
このため、セキュアコンテナーを必要としない
別の OS を搭載したモバイルデバイスに比べ
ると、従業員ができることは限られていた。
• ジェスチャー・コントロールや音声入力など、
デバイスのセンサーに依存するテクノロジー
はセキュアコンテナーでは機能しなかった。
• 一部のセキュアコンテナーでは社内の電話
帳との同期が可能だったが、多くのデータ
が安全ではない Android* プラットフォーム
に提供されることになり、
リスクが増大した。
• さまざまなビジネス・アプリケーションをセ
キュアコンテナーで管理することは、高コスト
で難しい作業であり、規模を広げることがで
きなかった。
2011 年後半にリリースされた Android* 4.0
では、企業向けのセキュリティー機能が追加さ
れました。これにより、従業員が望んでいた、
電子メール、スケジュール管理、連絡先の情報
にネイティブ・アプリケーションを使用するため
に必要な、安全でコスト効率良く Android*
デバイスを管理するための機能が提供されま
した。この新しい機能は、管理対象のデバイス
で他の Android* ビジネス・アプリケーション
の安全な使用も可能にする基盤となりました。
デバイス全体を管理することは、複数のアプリ
ケーション用に個別にコンテナーを提供するよ
りも効率的であり、コスト面でも優れた方法で
した。
細分化
Android* OS の細分化は、4.0 より前のバー
ジョンでインテルがネイティブ・アプリケーション
をサポートすることを避けていた要因の 1 つで
す。新しい Android* OS バージョンがリリー
スされるたびに、各デバイスメーカーは OS を
変更できます。このため、管理する必要のある
Android* OS バージョンとデバイスの組み合
わせは 1,000 種類以上も存在することになり
ました。このような細分化は、サポートに多大
な時間と人手がかかる事態を招いていました。
インテルでは、IT ヘルプデスクによる介入が最
小限となるように、拡張性に優れた管理しやす
いソリューションを作成する必要がありました。
ネイティブ電子メールを実現するソリューション
を開発する際、インテルが考慮した細分化によ
• Android* 4.1.1 と Android* 4.4.0 では、
インストールおよび電子メール同期の中断
に関する証明書の問題がいくつか発生して
いた。
• OS の更新のリリース日がデバイスモデル、
国、キャリアごとに異なるため、OS レベルで
のみテストすることが不可能であった。
• ネイティブ電子メール・ソリューションを構成
する手順が、OS とデバイスの組み合わせご
とに異なった。
• ネイティブ電子メール・ソリューションのデバ
イス・パフォーマンスは、モデル、経過年数、
インストールされているアプリケーション、お
よびデータの使用状況によって異なった。
拡張性
セキュリティーと細 分 化の複 雑さに加えて、
Android* OS とデバイスの組み合わせの数
の増加は、効率的な管理が可能なソリュー
ションを作成することを困難にしていました。こ
の点については、主に次の 3 つの問題点が挙
げられます。
• デバイスの適格性：各 Android* デバイス
の適格性を判断することが困難でした。満
たすべき最低限のセキュリティー要件と技術
要件を判断するには、モデルと OS の各組
み合わせを評価する必要がありました。これ
とは対照的に、他の OS を搭載するモバイル
デバイスでは、単純に OS レベルのみによっ
て適格性を判断することができ、デバイス提
供プロセスを完全に自動化することもできま
した。
• 手動プロセスに対するユーザー向けマニュ
アル：登録プロセスには従業員が手動で行
う手順が含まれるため、具体的な手順を明
確にし、それをサポートするトレーニング資料
を用意する必要がありました。
• サポートの拡張性：OS とデバイスの組み
合わせの種 類に応じて 1,000 種 類 以 上
のマニュアルを作成し、それらを管理するこ
とは現実的ではありませんでした。ソリュー
ションはできるだけ汎用的にする必要があり
ました。一方で、IT ヘルプデスクへの負荷を
軽減するため、従業員自身でデバイスの構
成を行えるように、マニュアルは十分にきめ
細かく作る必要がありました。
る弊害の例を以下に挙げます。
www.intel.co.jp/itatintel
3
IT@Intel ホワイトペーパー Android* デバイスでネイティブの電子メール、スケジュール管理、連絡先情報を利用可能に
表 1. Android* デバイスの適格性要件。ネイティブ
電子メール・ソリューションのセキュリティー・リスク評
価部分の一環として、従業員の Android* デバイスが
以下の最低条件を満たしているかどうかを確認します。
機能
適格性要件
オペレーティング・
システム
Android* 4.0またはこれ以降であり、
強制的なネイティブ暗号化を含むこと
デバイスの管理
インテルのMDMソリューションを
サポートすること
プッシュ
電子メール
二要素認証をサポートすること
（ユーザー名/パスワードと証明書）
暗号化
電子メール
アクセス可能であること
悪意のある
プログラムコード
の防御
追加のマルウェア制御が導入され、
利用可能であること
Android* ネイティブの
電子メール・ソリューションを
実現する
ネイティブの電子メール、スケジュール管理、
ます。Android* 4.0 以 降のバージョンを、
ハードウェアの盗難、法的リスク、リモートで
削除する機能など、さまざまな脅威、脆弱性、
およびその影響について評価します。中程度
部門では包括的なエンタープライズ・レベル
りその存在するリスクを軽減する対策を開発
するという課題に取り組むため、インテル IT
のソリューションを作成しました。
このソリュー
ションは、拡張性に優れコスト的に現実的で
あることはもちろん、Android* デバイスの
社内での普及の早さを考慮し、何よりも安全
以上のリスクが見つかった場合は、可能な限
します。
モバイルデバイス管理（MDM）サプライヤー
との協力
であることが求められました。
インテルは、MDM サプライヤーからの支援
ネイティブ 電 子メール・ソリューションには、
リスクをさらに軽減することに努めています。
は、Android* デバイスの 包 括 的なセキュ
可能にします。
対 応 す べき 4 つ の 要 素 が あります。1 つ
ブロックされること
開発者モード
ブロックされること
リティー・リスク評価、2 つ目は、メーカーの
オペレーティング・
システム
Android* 4.0またはこれ以降であり、
強制的なネイティブ暗号化を含むこと
ション・アーキテクチャー、3 つ目は、このソ
デバイスの管理
インテルのMDMソリューションを
サポートすること
異なる複数のデバイスに対応できるソリュー
リューションに適切なデバイスを判断するた
めの Android* エコシステムの詳細な分析、
そして最 後は、きめ細かいユーザー・トレー
ニングです。
1. セキュリティー・リスクの評価
ネイティブ 電 子 メール・ソリューション 用 に
を受け、Android* 4.0 以降に残存している
サプライヤーとの協力によって、以下のことを
• 従業員が電子メールを構成するときに各デ
バイスに証明書を配信する。
• サービスの中断を避けるため、年 2 回の証
明書の更新が近くなった従業員を特定し、
通知するレポート機能を提供する。
• root 化されていないか、開発者モードが有
効になっていないかを識別する。
Android* デバイスを承認する前に、OS の
root アクセスのブロックと
開発者モードの検出
す（Android* 4.0 より前のバージョンを搭
インテルでは、root 化されているデバイスや
ス適格性要件の詳細については、表 1 を参
アクセスは禁止としています。root 化（ジェ
メール・ソリューションのセキュリティー・リスク
のサブシステム内で攻 撃 者に特 権 的な制
包括的なセキュリティー・リスク評価を行いま
載しているデバイスは対象外とします。デバイ
照してください）。これにより、ネイティブ電子
を受容可能なレベルに抑えます。
開発者モードで実行されているデバイスでの
イルブレイクとも呼ばれる）すると、Android*
御（root アクセス）を許すことになります。
root 化は、通常、キャリアやハードウェア・メー
インテルでは、Android* デバイスでネイティ
カーが一部のデバイスに課している制限を解
うにするために、セキュリティー信頼モデルに
者は、システム・アプリケーションや設定の変
ブ電子メール・ソリューションを実行できるよ
よって定義される特定の標準に基づいてデバ
1
イスを保護します。
電子メール以外の内部ア
プリケーションもこのような標準を必要として
いますが、電子メールが標準確立のための基
盤になると考えられています。従業員は、電
子メール用に安全にデバイスを構成した後で
1
www.intel.co.jp/itatintel
へのアクセスやダウンロードを行うことができ
連絡先情報を Android* デバイスに提供
root化された
デバイス
4
あれば、標準を満たす任意のアプリケーション
セキュリティー信頼モデルの詳細な説明と、Android*
デ バ イス の 評 価 方 法 に つ い て は、IT@Intel の
ホワイトペーパー「Android* Devices in a BYOD
（ 英語）
、
「エンタープライズ環境で
Environment」
のパーソナル・ハンドヘルド機器の利用と情報セキュ
リティーの 確 保 」、および「Granular Trust Model
（英語）
を参照してく
Improves Enterprise Security」
ださい。
除する目的で行われます。これにより、攻撃
更または置き換え、管理者レベルの権限を必
要とする特殊なアプリケーションの実行、通
常は実行できない操作の実行などが可能に
なります。Android* デバイスでは、roo 化
によってデバイスの OS を完全に削除したり、
置き換えたりすることも可能になります。
Android* デバイスでネイティブの電子メール、スケジュール管理、連絡先情報を利用可能に IT@Intel ホワイトペーパー
一般に、root 化を行うと、
すべてのアプリケー
ションおよびアプリケーション・データへのフル
アクセスが可能になります。Android* デバ
イス上の権限を変更して root アクセスをアプ
リケーションに与える攻撃者は、悪意のある
アプリケーションやアプリケーションの潜在的
な不具合などのセキュリティー・リスクを大き
連絡、トレーニング、アクセスの停止など、さ
らなる対策を取ることが必要になる場合もあ
ります。
2. ソリューションの設定
従業員はネイティブ電子メール・ソリューション
アごとに差異が生じています。こうしたことか
ら、Android* デバイスは、パフォーマンス、
更新リリースの頻度、OS 更新のカスタマイズ
といった点について一貫性がありません。こ
のため、1 つですべてに対応できるネイティブ
電子メール・ソリューションを提供することは
不可能です。インテルのネイティブ電子メー
くすることになります。
を 2 段階で読み込みます（図 1）。フェーズ 1
インテルでは、悪 意のあるアプリケーション
ソリューションに登録し、セキュリティー・リス
め、デバイスが開発者モードで実行されてい
が手動で電子メールアカウントを構成します。
カー、モデルに基づいてグループ分けし、ど
従 業 員がデバイスを登 録した後、MDM ソ
を予測しました。インテルが優先したグルー
に関するセキュリティー・リスクを軽減するた
るかどうかを検出します。Android* デバイ
スで開発者モードを設定すると、デバイスは
では、従業員は Android* デバイスを MDM
ク評価を受けます。フェーズ 2 では、従業員
ル・ソリューションは、インテルで使用されるほ
とんどの Android* デバイスで機能します。
インテルでは、この「ほとんど」の対象を見極
めるため、Android* デバイスを OS、メー
のグループのデバイスの台数が最も増えるか
Android* デバッグブリッジ（ADB）と呼ばれ
リューションは、前述のセキュリティー・リスク
プは、インテル ® アーキテクチャー搭載デバ
ります。開発者モードでは、攻撃者は、USB
します。この処理の中で、セキュリティー・ポリ
（AOSP）の デ バ イス、特 定 の サードパー
るツールキットを使用して接続できるようにな
と ADB を使ってデバイスに接続するだけで、
ボリューム全体の暗号化を回避できます。ま
評価を行うことによりデバイスの安全を保護
シーに準拠するように必要な制御を実装し、
公開鍵基盤（PKI）証明書の配信を可能にし
た、デバイスが開発者モードになっている場
ます。
することもできます。インテルでは、従業員の
MDM ソリューションが証明書を配信した後、
従業員は電子メールアカウントを手動でデバ
イスに構成します。この結果、そのデバイス
は Web アプリケーション・ファイアウォールを
通過して従業員の Microsof t* Exchange
メールボックスにアクセスし、R ADIUS サー
バーでアカウントを認証してメールボックスに
接続できるようになります。
合、攻 撃 者はデバイスの PIN ロックを回 避
Android* デバイスが開発者モードになって
いる場合、業務関連のアプリケーションのた
めに開発者モードを使用している状況を除い
て、従業員にデバイスの電源を切るように要
請しています。
インテルでは、各デバイスについての情報収
集能力を基準に、M D M ソリューションのサ
プライヤーを選択します。さらに、インテルに
とって脅威となるリスクの分析や、ro o t 化さ
れたデバイスおよび開発者モードで実行され
ているデバイスの識別も行います。M D M に
よって発見されたリスクのレベルによっては、
3. ソリューションに適切な
Android* デバイスの選択
Android* プラットフォームは細分化が進み、
メーカー、OS バージョン、モデル、国、キャリ
イス、A n d ro i d * O p e n So u rc e P ro j e c t
ティー・サプライヤーからのデバイスの 3 種類
でした。
インテル ® アーキテクチャーと AOSP のデ
バイスは同じネイティブ電子メール・ソリュー
ションを使用します。サードパーティー・サプ
ライヤーからのデバイスは、証明書配信と電
子メールアカウントの構成に異なるプロセス
を必要とします。しかし、サードパーティー・
サプライヤーのデバイスの 追 加 API では、
インテル ® アーキテクチャーおよび AOSP の
デバイスに比べて、より効率化されたセット
アップ・プロセスが可能です。
この 3 つのグループに着目することにより、
インテルのネイティブ 電 子メール・ソリュー
ションは Android* デバイスを使用するほんと
どの従業員にとって利用可能となっています。
フェーズ 1：MDM への登録
モバイルデバイス管理
（MDM）
公開鍵基盤（PKI）
証明書
フェーズ 2：電子メールアカウントの構成
Android* 4.x
デバイス
Microsoft* Exchange
クライアント・アクセス・サーバー
Microsoft* Exchange
メールボックス
Web アプリケーション・ファイアウォール
図 1. ネイティブ電子メール・ソリューションのアーキテクチャー。従業員は Android* デバイスをモバイルデバイス管理（MDM）ソリューションに登録してセキュリティー・リスク評価を受け
ます。その後、電子メールアカウントを構成します。
www.intel.co.jp/itatintel
5
IT@Intel ホワイトペーパー Android* デバイスでネイティブの電子メール、スケジュール管理、連絡先情報を利用可能に
4. ユーザーのトレーニング
従業員は、Android* デバイスを構成するた
モバイルデバイス管理
（MDM）
に登録
MDM をインストールし、有効化
ブにアクセスするデバイスの安全確保も可能
図 2 に示すプロセスを作りました。デバイスを
テナーを廃止し、プロセスのユーザー体験を
の操作をできるだけ直観的に行えるように、
MDM ソリューションに登録し、電子メールア
を進めます。しかし、自動プロンプトには、メー
ションにも適しています。
うな汎用性が必要です。この汎用性を含ん
• 電話会議用の社内アプリケーション
員は、各自の OS とデバイスの組み合わせに
• インスタント・メッセージ
インテル社内のモバイルデバイス向け Web
• 工場、販売およびマーケティング、その他の
インテルのビジネス部門で使用されるビジ
ネス・アプリケーション
カーの異なる複数のデバイスに対応できるよ
応じた詳しい手順を説明するマニュアルを、
デバイスで通知を受け取る
暗号化には
約 30 分かかる
デバイスの特性を分析
設定と証明書をデバイスに配信
証明書を受諾し、
インストール
デバイスで通知を受け取る
電子メールアカウントを手動で構成
図 2. Android* デバイス向け電子メール・ソリュー
ションのセットアップ・プロセス。従業員は、手動の手
順をふんで、デバイスを登録し、証明書を受諾し、電子
メールアカウントを構成します。
6
www.intel.co.jp/itatintel
向上することもできました。
ネイティブ電子メー
ル・ソリューションを実行する約 6,000 台の
サイトからダウンロードできます。
デバイスの暗号化を開始
になりました。その結果、高額なセキュアコン
カウントを構成するプロセスの一部では、従
だ手順の説明だけでは不十分な場合、従業
ポリシーの強制を開始
サービスやアプリケーションに対してもネイティ
めに手動の手順をふむ必要があるため、そ
業員は自動化されたプロンプトに従って手順
デバイスの特性を分析
Android* デバイス上にネイティブな電子メー
ル環境を実現できたことにより、安全に他の
結果
管 理 下 に ある 約 6,000 台 の Android*
Android* デバイスは、次に示すアプリケー
ソリューションに関するユーザー・トレーニング
も引き続き強化しています。これにより、セッ
トアップ・プロセスに関する手順説明依頼や、
一般的な質問の件数も減らせるだろうと予想
デバイスがネイティブ 電 子メール・ソリュー
しています。Android* デバイスの登録に関
セキュア・コンテナー・ソリューションで管理
他の OS を搭載するデバイスと比較しても、す
ションを使用しています。この台数は、まだ
されている Android* デバイスがあること、
Android* デバイスの人気が上昇中である
ことなどから、今後増えると予測されていま
す。2013 年半ばに実施されたネイティブ電
子メール・ソリューションを使用する従業員を
対象とした調査では、90% が受け入れ可能
だと回答し、81% が、Android* デバイス
のセキュアコンテナーでのユーザー体験より
ネイティブ・アプリケーションでの作業の方が
好ましいと回答しました。
MDM ライセンスのコストはセキュアコンテ
ナーのライセンスのコストより低いため、大
幅なコスト削減というメリットも実現されてい
ます。さらに、約 6,000 台の Android* デバ
イスがネイティブ電子メール・ソリューションに
移行して、その分のセキュアコンテナーのライ
センスに空きができたことにより、そのうちの
約 3,000 件のセキュアコンテナーのライセン
スを、安全性が低くネイティブ電子メール・ソ
リューションに適格でない Android* デバイ
スのために使用できるようになりました。
する IT ヘルプデスクへの問い合わせ件数は、
でに受け入れ可能な範囲に収まっています。
Android* OS の将来的なバージョンでは、
証 明 書の管 理と電 子メールの配 信が改 良
され、デバイスのセットアップ・プロセスが簡
略化されることが期待されます。インテルは
MDM サプライヤーと協力して、複雑なセット
アップ・プロセスや 6 桁のパスワードの必要
性など、利便性への障壁を引き続き取り除い
ていく予定です。実際、デュアルペルソナ 2・
ソリューションの成熟に伴い、従業員は、今
後、暗号化や 6 桁のパスワードの設定といっ
た会社のデバイス管理ポリシーに影響される
ことなく、デバイス上で個人環境を使用できる
ようになります。こうした機能が実現されるま
では、引き続き IT ヘルプデスクを強化して、
従業員が抱える問題解決の支援に取り組ん
でいきます。
2
デュアルペルソナ・ソリューションを使用すると、BYOD
プログラムの従業員のデバイスで、仕事用の環境と個
人用の環境を別々に管理できるようになります。
Android* デバイスでネイティブの電子メール、スケジュール管理、連絡先情報を利用可能に IT@Intel ホワイトペーパー
まとめ
インテル IT 部 門では、企 業としての 安 全
性を確保しながらも、従業員がお気に入り
のデ バイスを使 用する自 由を支 援するた
今回のソリューションは、インテルで使用され
る大部分の Android* デバイスで利用でき
略 語
や電子メール配信機能の進化に合わせて、
ADB
Android* デバッグブリッジ
AOSP
Android* Open Source
Project
BYOD
従業員が個人所有するデバイ
スの利用
MDM
モバイルデバイス管理
PKI
公開鍵基盤
ます。今後は、多くのメーカーの証明書管理
他の Android* デバイスにも対象を広げるよ
め、Android* デバイスでネイティブ・アプ
うに、ソリューションを拡張する予定です。こ
ジュール管理、連絡先情報にアクセスできる
リューションの構成に必要な手動の手順を減
のネイティブ 電 子メール・ソリューションで
デスクへのサポート依頼件数も減少すること
リケーションを 使 用して電 子メール、スケ
ようにするソリューションを開発しました。こ
は、Android* OS を安全な企業用プラット
フォームとして使用することを妨げる要因と
なっていた、Android* のエンタープライズ・
セキュリティー機能、細分化、拡張性の 3 つ
の課題に取り組みました。インテルではこの
うした改善によって、ネイティブ電子メール・ソ
らすことが可能となり、結果として、IT ヘルプ
が予想されます。インテル IT 部門の目標は、
BYOD プログラムを通じて、利用できるデバ
イスの種類を増やし、より多くの従業員を効
率良くサポートすることです。
ソリューションによって、他のエンタープライ
ズ・アプリケーションおよびサービスの使用も
可能になるほどに高レベルな基準に沿って
Android* デバイスを保護し、従業員に対し
てはより良いユーザー体験を提供します。
このソリューションが導入される以前、
Android*
デバイス上の電子メールやその他のサービス
は、セキュアコンテナーを通じて管理されてい
ました。そして今回、デバイスのネイティブ環
境での実行を可能にすることにより、セキュア
コンテナーを導入するための費用は不要に
なり、より優れたユーザー体験が実現されま
した。そして、従業員は、A n d ro i d * デバイ
スを、より生産的な目的で仕事に活用できる
自由を手にすることになりました。
詳細情報
関連トピックの情報については、
http://www.
intel.co.jp/itatintel/ を参照してください。
•「Android* Devices in a BYOD
（英語）
Environment」
•「エンタープライズ環境でのパーソナル・ハン
ドヘルド機器の利用と情報セキュリティーの
確保」
•「Granular Trust Model Improves
（英語）
Enterprise Security」
インテル IT 部門のベスト・プラクティスの詳細については、
http://www.intel.co.jp/itatintel/ を参照してください。
www.intel.co.jp/itatintel
7
本書に記載されている情報は一般的なものであり、具体的なガイダンスではありません。推奨事項（潜在的なコスト削減など）はインテルの経験に基づいて
おり、概算にすぎません。インテルは、他社でも同様の結果が得られることを一切保証いたしません。
本資料に掲載されている情報は、インテル製品の概要説明を目的としたものです。本資料は、明示されているか否かにかかわらず、また禁反言によるとよ
らずにかかわらず、いかなる知的財産権のライセンスも許諾するものではありません。製品に付属の売買契約書『Intel's Terms and Conditions of
Sale』に規定されている場合を除き、インテルはいかなる責任を負うものではなく、またインテル製品の販売や使用に関する明示または黙示の保証（特定目
的への適合性、商品適格性、あらゆる特許権、著作権、その他知的財産権の非侵害性への保証を含む）に関してもいかなる責任も負いません。
Intel、インテル、Intel ロゴ、Look Inside.、Look Inside. ロゴは、アメリカ合衆国および / またはその他の国における Intel Corporation の商標です。
Microsof t は、米国 Microsof t Corporation の、米国およびその他の国における登録商標または商標です。
* その他の社名、製品名などは、一般に各社の表示、商標または登録商標です。
インテル株式会社
〒 100-0005 東京都千代田区丸の内 3-1-1
http://www.intel.co.jp/
©2015 Intel Corporation. 無断での引用、転載を禁じます。
2015 年 1 月
329834-001JA
JPN/1501/PDF/SE/MKTG/IA