弊社は Microsoft の Intune というクラウドベースのデバイス管理サービスを利用しています。

Intune では IT資産（業務で利用するPCやスマートフォン＝デバイス）を登録・管理するだけでなく、企業が必要とするセキュリティポリシーをデバイスに適用するコア機能を有しています。

また、Intune を利用することで 情報セキュリティ管理システム(ISMS)の国際標準規格である ISO 27001 の具体的な管理策に対応することができます。（例：リモートワーク環境のセキュリティ、情報へのアクセス制限など）

そこで、今回は以下をご紹介します。

• デバイス管理ツールの選定～導入から運用に至るまでの経緯
• 実際に利用していて感じたこと

特に以下のような方の参考になれば幸いです。

• デバイス管理ツールの有用性がピンと来ていない
• ISO 27001 の認証を取得したいけど、具体的な管理策が多すぎての実装がイメージできていない

なぜデバイスを管理しようと思ったのか

きっかけは ISO 27001 (ISMS認証) の取得

弊社がツールを利用してデバイス管理をしようと考えたきっかけは、ISO 27001 (ISMS認証) の取得準備でした。

この認証を取得するためには、『「どんな脅威から」「何を」「どうやって」守る必要があるのか』を自分たちで定める必要があります。そして、自分たちで決めたルールに従って自分たちで運用してくことになります。

また、ISO 27001は ISMS ＝ 情報セキュリティマネジメントシステムの規格なので、

「何を」守る ＝「情報資産を」守る ということになります。

つまり、守るべき対象であり、自社が持つ「情報資産」を洗い出す必要があります。

弊社では、PCを含む全ての情報資産をリストアップし、それぞれのリスクを分析・評価しました。

その結果、業務で利用するPCにおいて情報漏洩や不正アクセスにかかるリスクが特に高いと判断しました。

リスク評価が終われば次はリスク対応策を検討・立案する必要があります。

具体的には、デバイス管理の強化が必要であると判断しました。

調査を進める中で、Microsoft 365 の Intune がデバイス管理に適していることが分かりました。

Intune は、クラウドベースのデバイス管理ツールであり、リモートでのデバイス管理やセキュリティポリシーの適用が可能です。

そもそもIT資産管理は Intune で運用しようとしていた

弊社では以前からIT資産管理の重要性を認識しており、適切なツールを探していました。

なぜなら昨今は会社から一人一台ノートPCを支給され、出先でノートPCを開くこともあれば、インターネット経由でAIやクラウドなどを活用して業務遂行、自宅と会社間を持ち運びするような働き方が増えてきており、会社の資産＝オフィスの中だけ守ればよい、という時代が終わりつつあるからです。

Microsoft 365 を導入していたこともあり、Intune の存在は早くから知っていました。

また、Microsoft 365 同様に Intune もクラウドベースのサービスであるため、インターネット環境さえあればリモートワーク環境下でもデバイス管理が可能です。

特に弊社はリモートワークとオフィスワークのハイブリッドワークを導入しているため、いつ、だれが、どこにいても、IT資産を管理できる状態にすることが必要でした。

従業員がどこにいてもセキュリティポリシーを適用し、デバイスの状況をリアルタイムで把握することができる Intune であれば、弊社のIT資産管理のツールとして相応しいだろうと考えていました。

アウトソーシングしなかった理由

弊社がデバイス管理をアウトソーシングしなかった理由は、ISMSの運用・改善に用いられるPDCAサイクルに基づいています。

ISMSではPDCAサイクル（Plan→Do→Check→Action（計画→実行→評価→改善））を回してマネジメントシステムの運用・改善が求められます。

PDCAサイクルの一部を外部委託（≒アウトソーシング）しても構わなかったのですが、金額やリードタイムを含むコスト面が気になったほか、「自分たちでできるのならやってみよう」という精神から、アウトソーシングをしない判断をしました。

結果、ISO27001もデバイス管理も初めての導入ではあったものの、SecureNaviや Intune の扱いやすさのおかげもあって、ほぼ全て自社のリソースでどちらも導入することができました。

もちろん、上手く事が運ばないようだったら外部委託することも視野には入れていました。

なぜ Intune を選定したのか

過去の機器管理台帳管理、ISMS運用から学ぶ

私自身、過去にデバイスを機器管理台帳を用いて手作業で管理していた経験があります。

例えばExcelのような表計算ツールにて、機器管理番号・品名・シリアルナンバー・管理部門・利用者…などを機器ごとに一行に記載し、ステータスに変更があった場合に担当者が手動で更新する、といったものです。

しかし、この方法では作業効率が低く、情報システム部門担当者の負担大、ヒューマンエラーのリスク、表記方法の揺れ、などの理由から課題が多くありました。

ISMS運用の一環として、より効率的で正確な管理方法を模索していたところ、Intune がその解決策となることが分かりました。

Intune を導入することで、デバイスの登録や管理が自動化され、リアルタイムで情報を更新することができます。

これにより、手作業での更新作業が不要となり、課題を一気に解決することができました。

また、Intune は Microsoft 365 と統合されているため、既存のシステムとの連携もスムーズに行えます。

クラウドを利用したデバイス管理のDX化といっても過言ではないのでしょうか。

ISO 27001 と Intune の 相性のよさ

また、情報収集を進める中で、Intune がISO27001:2022の管理策に対応できることが分かりました。

一例ではありますが、以下表のような管理策に対応できることから、IntuneはISO27001の要件を満たすための強力なツールであると判断しました。

以下はその具体例です。

項目名	管理策 附属書Ａの内容	Intune でできること
6.7 リモートワーク	組織の構外でアクセス，処理又は保存される情報を保護するために，要員が遠隔で作業をする場合のセキュリティ対策を実施しなければならない。	Intune のデバイス管理機能により、紛失した際はリモートロックが可能
7.9 構外にある資産のセキュリティ	構外にある資産を保護しなければならない。	Intune ではどこにいてもデバイス管理が可能
8.1 利用者エンドポイント機器	利用者エンドポイント機器に保存されている情報，処理される情報，又は利用者エンドポイント機器を介してアクセス可能な情報を保護しなければならない。	Intune のデバイス管理機能により、デバイスの暗号化が可能
8.3 情報へのアクセス制限	情報及びその他の関連資産へのアクセスは，確立されたアクセス制御に関するトピック固有の方針に従って，制限しなければならない。	Intune の条件付きアクセスにより、社内システムへの不正アクセスを防止することが可能
8.5 セキュリティを保った認証	セキュリティを保った認証技術及び手順を，情報へのアクセス制限，及びアクセス制御に関するトピック固有の方針に基づいて備えなければならない。	Intune とEntraIDが連携することで多要素認証を設定可能
8.9 構成管理	ハードウェア，ソフトウェア，サービス及びネットワークのセキュリティ構成を含む構成を確立し，文書化し，実装し，監視し，レビューしなければならない。	Intune のデバイス管理では、管理デバイスの機器構成情報(ハードウェア，ソフトウェア)を自動で取得して管理することが可能
8.19 運用システムへのソフトウェアの導入	運用システムへのソフトウェアの導入をセキュリティを保って管理するための手順及び対策を実施しなければならない。	Intune のアプリ管理機能では、Intune に登録したアプリケーションを配布可能
8.24 暗号の利用	暗号鍵の管理を含む，暗号の効果的な利用のための規則を定め，実施しなければならない。	デバイス上のデータを暗号化し、情報漏洩を防止できます。

Microsoft 365 で一本化することによるメリットがあった

弊社では、Microsoft 365を既に導入していたため、Intune を採用することでシステムを一本化することができました。

これにより、以下のようなメリットが得られました。

ライセンス管理の簡素化
Microsoft 365 のライセンスに Intune が含まれているため、追加のライセンス管理が不要です。
また、他社ライセンスを契約/購入/管理する必要がなくなります。

アカウント管理の一元化
全てのデバイスとユーザーアカウントを紐づけて一元管理できるため、管理が容易です。

セキュリティの向上
Microsoft のセキュリティポリシーを統一的に適用できるため、セキュリティリスクが低減します。

大手企業の安心感
Microsoft のサポートデスクを利用できるため、問題やトラブルが発生した際の対応が迅速です。
また、Microsoft はクラウドサービスの安定性向上に力を入れているとのことです。

これらのメリットにより、弊社では Microsoft 365 と Intune を組み合わせて使用することが最適な選択肢であると判断しました。

実際に Intune でデバイス管理してみる

基本機能「デバイス登録」がIT資産管理の第一歩

Intune を導入する際、まずは基本であり根幹をなす機能である「デバイス登録」から始めました。

ざっくり説明してしまうと、PCなどのデバイスをキッティング(セットアップ)した後に、デバイス登録したいデバイスから事前にID管理されているアカウントでサインインすることで Intune にデバイスが登録される、というものでした。（Windows OS・Appleデバイス(Mac OSやiOS)・AndroidなどのOSや端末によってデバイスの登録方法に違いがありますが今回は割愛します）

デバイス登録が完了すると、Intune に登録されているすべてのデバイスが一覧で表示されるようになります。

Intune の各デバイス管理画面上部に、リモートで管理しているデバイスを操作できるメニューが表示されます。

例えば「ワイプ」機能では、従業員がデバイスを紛失または盗難した際に、企業データを削除し、機密情報の漏洩を防ぎます。

また、ハードウェア構成をはじめ、PCのシリアルナンバーやインストールされているアプリケーションの情報が自動で取得されます。

各デバイスと Intune は定期的に通信しており、前述のような構成情報は随時更新されていることが確認できます。

デバイス登録を行うことで、業務PCや業務スマホを Intune の管理画面で一元管理できるようになり、IT資産管理の第一歩を踏み出すことができました。

難しいコマンドが必要なく、理解に苦しむ内容も比較的少なく、ブラウザの管理画面で全て行いました。

自分たちで実装することの難しさ

Intune を導入してみて、自分たちで実装することの難しさも感じました。

前項の管理画面の画像をご覧の通り、簡単にデバイス登録はできたものの、Intune で出来る設定が多い上に他の Microsoft 365 に含まれる機能との連携も多く、「この後何をどう設定すればいいんだっけ？」と感じたことが最初のつまづきでした。

対策としては Microsoft の公式ドキュメント・ヘルプページ・ブログの解説記事・技術セミナー参加など時間と労力をかけて学ぶことが多かったです。

加えて、弊社はISO27001の認証取得準備とセットで Intune 導入を行っていたため、認証規格という明確なガイドラインをもとに必要な設定を洗い出していくことができました。

一方で、専門知識を持つ業者に部分的にアウトソーシングして情シス部門の負担軽減を検討してもよかったのかなと考えることもありましたが、結果的にはデバイス管理のノウハウを蓄積し、技術力を向上させることができました。

とにかく使ってみることが大事だと気付く

Intune を使い始めてみて最初は設定箇所の多さや初めてのクラウド上でのデバイス管理に戸惑うこともありましたが、実際に使ってみることでその利便性と効果を実感しました。

特に、運用・保守フェーズにおいてはデバイスの状況がリアルタイムで更新されることや、セキュリティポリシーの適用が簡単に行えることが大きなメリットでした。

これにより、台帳を手作業で更新する必要がなくなった上、よりセキュリティが高い社内環境が構築できました。

と同時に、全てではないですがISO27001の要求事項をシステムとして満たすことができ、無事に認証を取得することができました。

いきなり全社導入ではなく、ある部門の少人数だけにライセンスを追加して、トライアル的に利用してみてもいいかもしれません。

Intune を触っていくうちに「あれもこれも Intune で実現できるかも？」となり、使い勝手が良ければ全社展開していくのもおすすめです。

クラウド完結なデバイス管理とISMS運用で感じたこと

いいことしかない(と思っている)

Intune の運用を開始してから、クラウド完結なデバイス管理とISMS運用のメリットを実感しています。

まず、デバイス管理がクラウドベースで行えるため、リモートワーク環境でも問題なく運用できることが大きな利点です。

これにより、少ない人数体制でも従業員がどこにいてもセキュリティポリシーを適用し、デバイスの状況をリアルタイムで把握することができます。

さらに、Intune を利用することで、情報セキュリティの管理が一元化され、セキュリティリスクが低減しました。

ISO27001の管理策に対応するためのツールとして、Intune は非常に有効であることが分かりました。

これにより、情報セキュリティの向上と業務効率の改善が同時に実現できました。

さいごに

今回は「中小企業の情シスがアウトソーシングなしでデバイス管理するまでの話」と題して記事を作成しました。

いま振り返ってみると結構な時間を要しました。しかし、今では弊社で新事業として Microsoft 365 および Intune の導入支援サービスを提供するに至りました。

過去の私が感じた「あのときこういうサービスがあったらよかったのにな…」「あのときこれ知っておいたら楽だったのにな…」が解消できるように努めております。

今回の記事のことをもっと知りたい！のようなご要望でも構いませんので、ぜひ以下のお問い合わせからご相談いただけますと嬉しい限りです。