Googleが見せた!
ビジネス環境におけるAndroid管理の本気度

ビジネス推進本部 応用技術部
デジタルワークスペースチーム
宮下 徹

 

はじめに

Android端末の販売が続伸しています。MM総研の調査によると、2017年の国内タブレット販売におけるOS別のシェアはiOSが40%に対して、Androidが41.7%となっています。Android端末の魅力は用途に応じて様々な種類の端末が選択できることだと思います。ローエンドからハイエンドまで多くの端末が用意されていますし、耐久性デバイスや特定用途向けの端末も選択することができます。

さて、筆者はビジネス環境におけるAndroidに対してGoogleが行った歴史的な転換点が2つあると考えています。
1. 2014年、Android for Workをリリースしたこと
2. 2017年、Android for Work以外をサポートしなくなると発表したこと

本コラムではGoogleが行った上記2点を中心にお話していきます。
さて、このコラムをご覧になってくださっているかたの中には、Android for Workという用語をご存知のかたも多いことと思います。Android for Workとは、2014年にGoogle社がリリースしたAndroid端末を管理者にとって管理しやすくする仕組みです。Android for Workがリリースされる前までAndroid端末を管理する管理者にとって、大きく2つの問題がございました。1つはAndroid端末はスマートフォンおよびタブレットを作成するメーカーによって利用できる機能がバラバラであるため、統一した管理が難しいという点です。もう1つは、BYODのようにユーザーの所有している端末から企業にアクセスさせようとした場合に情報漏えいを防止することが難しい点です。そのためApple社のiOSに比べて管理が煩雑になりがちであり、ビジネスシーンにおいてAndroid端末は普及しているとは言い難い状況でした。そのためGoogle社はもっとビジネスで利用する端末としてもAndroidを選択してもらえるようにAndroid for Workをリリースしたのです。

そもそもAndroid for Workって?

Android for Workは、OSとしての「Android」を指すとAndroid for Workもその中に含まれるようになったため、Android for Workという名称自体実はなくなっています。ただし本コラムでは便宜上「Android for Work」という名称を用いて説明をさせていただきます。
さて、それではAndroid for Workはどういった仕組みで、どんなことが実現できるのでしょうか。

Android for Workが実現できる主な機能
1. デバイスを問わない一貫性を持った管理
2. 個人用と仕事用のアプリおよびデータの分離
3. 仕事用アプリのカタログ作成

順を追って見てみましょう。まず「デバイスを問わない一貫性を持った管理」ですが、上述したとおりAndroid端末は各メーカーによる実装が多岐にわたるため管理する側からすると管理しづらい面がたくさんありました。これをAndroidのフラグメンテーションと呼びます。具体的にはSamsung社の機種では工場出荷状態にリセットさせないようにしてユーザーが勝手に(あるいは誤って)データを消去することを防ぐことができるが、ソニー社の端末ではそういった制御はできないといった具合です。Android for Workを利用すると、Samsung社の端末もソニー社の端末も差がなく同一の機能を持って管理することができます。後述しますが、Android for Workを利用するためにはEMMを使って有効化する必要がございます。ここでは当社ネットワンが全社で導入しているEMM製品であるVMware AirWatchを例にして実際の制御画面を見てみましょう。図1の左側はVMware AirWatchからAndroid for Workを使わずに従来の管理(APIを利用した管理)のキャプチャ画像で、右側がAndroid for Workを利用した場合です。Android for Workを利用した場合は、メーカー名ではなく「Work Managed Device」や「Work Profile」といったものが表示されています。こちら2つの用語については後述しますが、ここで重要なことはメーカーごとに異なった表示がされるのではなく管理ではなくAndroid for Workで統一されているということです。

図1.

※画像はクリックで拡大表示されます

次に「個人用と仕事用のアプリおよびデータの分離」について解説します。Android for WorkのアーキテクチャはOS側でSE Linuxをもとにした暗号化を用いて企業側のアプリとそのアプリが利用するデータを、個人の領域から完全に隔離します。こうすることで例えばBYODのように個人の端末を業務で利用する場合でも管理者は安全に隔離された環境を個人の端末の中に作り出すことが可能となります。OS側で制御しているためコピーアンドペーストを含めて仕事用のアプリおよびデータから個人用の領域へのデータ移行を防ぐこともできます。
例えばユーザーは自身が自由にカスタマイズしたGoogle Chromeブラウザを使いながら、同時に管理者は仕事用のChromeブラウザを配信しVPNを仕事用のブラウザだけには許可して社内への接続を許可するといった使い方もできるようになります。

図2.

※画像はクリックで拡大表示されます

3つめは「仕事用アプリのカタログ作成」です。ご存知のとおりAndroid端末にアプリケーションをインストーする場合はGoogle Playからダウンロードしてインストールするのが一般的です。Android for Workを利用すると管理者は企業専用のGoogle Playを作成し業務に必要なアプリだけを表示させることができます。こちらもVMware AirWatchで実装した例をご紹介したいと思います。VMware AirWatchからAndroid for Workを有効にすると、管理コンソールから承認してユーザーに追加したいアプリケーションを追加できるようになります。操作自体も検索ウィンドウからアプリケーションを検索して追加していくだけなのでとても簡単です。追加が完了しますとアプリケーションカタログに表示されるようになりますのでユーザーが自分で選択してインストールするかあるいはPush配信で自動的にインストールすることが可能になります。
ここで重要なポイントは以下の3つです。
1. 管理コンソールから任意のアプリケーションを承認できる
2. ユーザーには承認されたアプリのみが表示される
3. サイドローディングも防止できる

図3.

※画像はクリックで拡大表示されます

Android for Workの2つのモード

Android for Workには2つのモードが存在します。「Work Profile」モードと「Managed Device」モードです。ざっくりいうと「Work Profile」がBYODに向いていて、「Managed Device」が会社から支給して業務専用の端末の管理に向いています。以下に両者の違いをまとめました。

表1.Work ProfileとManaged Deviceの違い

Work Profile Managed Device
向いている管理 BYOD 会社支給
初期化 不要 必要
赤いブリーフケースマーク 表示される 表示されない
個人アプリの利用 可能 不可能

図4.

※画像はクリックで拡大表示されます

Android for Workがリリースされた当初はWork Profileモードしか存在していなかったため、Android for Workは、BYOD用の機能のように捉えられていました。ただ、BYODは技術面というよりも制度面でハードルが高く実際に導入できる企業は多くなくそのためAndroid for Workもそれほど普及しませんでした。そこでGoogleはもうひとつのモード、「Managed Device」モードをリリースしました。

Managed Deviceモードにするためには初期化が必要となるため導入のハードルはWork Profileモードに比べると若干上がりますが、管理者の制限をより強くかけることが可能になります。個人用のアプリを導入することができず、管理者が許可したアプリケーションのみをインストールさせることといった利用も可能になります。現在日本で導入されているAndroid for WorkはManaged Deviceモードのほうが多いようです。

さて、Android for Workを利用するためには以下の3つが必要です。
1. Android OS 5.0以上を搭載した端末
2. Googleアカウント
3. EMM(Enterprise Mobility Management)

これまでAndroid端末の各メーカーは、自分たちの実装に合わせてそれぞれAPIを公開して端末に対する制御を実現できるようにしていました。EMMベンダーはそのAPIを利用することで端末のカメラを機能しないといったことや、工場出荷状態にリセットすることをできなくするといったことを実現していたのです。ところが、Googleはこういった各社のAPIで実現していた管理は今後サポートせず、Android for Workでの管理のみがサポートされることを発表しました。2017年12月現在の最新OSであるAndroid OまではAPIによる管理もサポート対象ですが、次期バージョンであるAndroid Pからはサポート対象外になる予定です。

表2.Android OSのバージョンによるサポート状況

Android Oまで Android P Android Q
APIによる管理 サポート対象 機能はするが対象外 完全に廃止
Android for Work サポート対象 サポート対象 サポート対象

ただし、OSのバージョンを上げなければ影響はないのでしばらくは問題ないですが、今後のことを考えますと、Android for Workによって管理することをお奨めします。

各スマホメーカーにとって、差別化の要因がひとつ減ることになるので反発もあったかもしれません。そういう意味で今回のGoogle社の方針はかなり大胆なものだったと思います。

まとめ

Android for Workを利用することでBYODや企業専用の保護された端末に設定することができます。また、従来EMMで管理できていた部分も今後はAndroid for Workを利用しないと管理できないようにGoogle社が大胆な方針を打ち出しました。まだAndroid for Workを利用したことがない方やご興味がある方はぜひ当社までご連絡をいただければと思います。当社で実施している働き方改革と合わせてご案内することもできますし、全社導入をしているVMware AirWatchと合わせてどのようなモバイル活用をしているか具体的にご紹介することも可能です。

関連記事

モバイルでいこう
https://www.netone.co.jp/report/column/column1/20150312.html

EMMでいこう
https://www.netone.co.jp/report/column/column1/20150531.html

BYODでいこう
https://www.netone.co.jp/report/column/column1/20150605.html

iPhoneもAndroidも危ない!スマートデバイスに対して増加する脅威とその対策
https://www.netone.co.jp/report/column/column1/201609301.html

執筆者プロフィール

宮下 徹
ネットワンシステムズ株式会社 ビジネス推進本部
応用技術部 デジタルワークスペースチーム 所属

2004年からサーバー仮想化技術に触れ、翌年VMware社の認定資格VCP-2を取得。その後デスクトップ仮想化(VDI)、クラウドへと手を広げ現在はBusiness Mobilityの技術担当およびビジネス開発に従事し、EMM(Enterprise Mobility Management)を中心にモバイルを活用した働き方を普及させるために邁進する日々を過ごす。2012年よりエバンジェリストとしてVMware vExpertに認定されている。

関連イベント・セミナー

11/6-7 vForum2012出展のご案内
この度弊社では、11月6日(火)~7日(木)、ザ・プリンスパークタワー東京にて開催される「vForum2012」にプラチナスポンサーとして出展する運

イベント/レポート

pagetop