>
>
公開日
スマートフォンやタブレットを業務利用する企業が増えるにつれ、端末の一元管理とセキュリティ維持を同時に求められる情シス担当者も多いはずです。本記事では、MDMキー・ライセンス・契約条件の実務ポイントと、運用で陥りがちな失敗パターンへの対策を中心に解説します。
この記事の読み方:MDM定義は別記事、ここでは実務に特化
この記事でわかること:
MDMキーとは何か・確認方法
ライセンス費用の相場と契約時の注意点
iOS/Android別にMDMでできること
運用で陥りがちな4大失敗パターンと具体的な対策
APNs証明書など見落としがちな運用管理のポイント
「モバイルデバイス管理(MDM)」の基本的な定義や詳細な仕組み、主なメリットについては、こちらの記事「MDM(モバイルデバイス管理)とは・仕組み・機能」で詳しく解説しています。本記事では、MDMを実際に導入・運用する実務担当者に向けて、契約条件やライセンス、具体的な設定方法、運用上の失敗対策に特化して解説します。
セキュリティの観点から、MDMはIDaaS(Microsoft Entra IDやOkta等)の「条件付きアクセス」と連携することで、未登録端末を社内リソースから自動的に弾き出す動的なアクセス制御を実現します(Microsoft Entra ID 条件付きアクセスの概要)。これはゼロトラストセキュリティ基盤の中核をなす仕組みであり、MDM未導入のままでは条件付きアクセスの恩恵を十分に受けられません。個人情報保護法における安全管理措置の観点からも、エンドポイント端末の適切な一元管理は義務的対応が求められる領域です(個人情報保護委員会:個人情報の保護に関する法律についてのガイドライン(通則編))。
MDMの基本的な定義や詳細な仕組み、主な導入メリットについては、こちらのMDM(モバイルデバイス管理)とは・仕組み・機能で基礎から分かりやすく解説しています。
▲ ゼロトラストセキュリティにおけるIDaaSとMDMの連携による動的アクセス制御の仕組み
MDMキーとは?その役割と確認方法を分かりやすく解説
MDMを実務で運用する際によく遭遇する専門用語が「MDMキー」です。
MDMキーは文脈によって指す対象が異なります。大きく分けると①アクティベーションロック解除用のバイパスコード、②FileVaultリカバリキー、③APNs証明書の鍵ペア――の3種類が実務で登場します。それぞれ別物なので、ベンダーや社内ドキュメントで「MDMキー」という言葉が出たら、何を指しているか最初に確認する習慣をつけたいところです。なお、APNs証明書はAppleデバイス管理に必要なサーバー側の証明書であり、有効期限管理が必要な別の要素です。
アクティベーションロックのバイパスコードやFileVaultリカバリキーといったMDMキーは、管理者がMDMシステムのサーバーコンソール(管理画面)上で確認・取得するものです。iOS/macOS端末の設定アプリ(「一般」>「VPNとデバイス管理」)では、適用されているMDMプロファイルの署名やUUID(端末に紐づいたプロファイル識別子)を確認できますが、これはベンダー管理コンソール上のシリアルと照合する際に使うものであり、バイパスコード等のMDMキーそのものではありません。MDM経由の遠隔指示(リモートワイプ等)が届かなくなるトラブルが発生した場合は、まずMDMサーバーコンソール側でキーの状態を確認してください。
MDMライセンスの種類・費用相場と契約時の注意点
MDMを導入・運用するにあたり、ライセンス形態と契約条件の選び方によって、30台規模でも年間数十万円単位の差が出ることがあります。
一般的にMDMのライセンスは「デバイス課金(登録端末1台あたり)」または「ユーザー課金(1ユーザーあたり複数台まで)」の2パターンに分かれます。2026年6月時点にAdminaチームが確認した主要製品(Jamf Pro・Microsoft Intune(Microsoft 365プラン)・KDDI Smart Mobile Safety Manager等)の公開料金ページをもとにした費用相場の目安は以下の通りです(製品・契約条件により異なるため、各ベンダーへの個別見積もりを推奨します)。
スマートフォン(iOS/Android)1台あたりの相場:月額300円〜800円前後(代表的なクラウド型MDMの公開料金から算出した目安)
PC(Windows/macOS)を含めるマルチOS管理:1台あたり月額400円〜1,000円前後
MDMツールの導入や契約時には、以下の「契約条件」を必ず事前に確認してください。
最低契約台数と契約期間:製品によっては最低台数の制限や年間契約が必要なケースがあります。見積書の細則に記載されていることが多く、稟議後に発覚するケースもあるため、事前に営業担当へ明示的に確認することを推奨します。
OS追加時のライセンス柔軟性:将来的にWindowsやMacのPC管理も統合(UEM化)する場合、同一ライセンスで対応できるか、あるいはアップグレードパスがあるか。
サポート体制の範囲:トラブル発生時の即時対応(24時間365日のリモートワイプ対応など)が契約プランに含まれているか。日本語サポートの有無も確認しておきたい点です。
iOS・AndroidにおけるMDMの具体的な機能とできること
OSベンダー公式の管理プログラムと連携しなければ、MDMは真の実力を発揮できません。
iOSはApple Business Manager(ABM)、AndroidはAndroid Enterpriseと連携することで、以下の制御が可能になります。OS別の主要機能と実現できる制御の違いは以下の通りです。
OS | 連携プログラム | MDMでできること・主要機能 | 実務上のメリット |
|---|---|---|---|
iOS (Apple) | Apple Business Manager (ABM) | ・自動デバイス登録(ADE)によるゼロタッチキッティング | 従業員が手動でMDMを解除するのを完全に防ぎ、安全なキッティング自動化を実現。 |
Android | Android Enterprise | ・「ゼロタッチ登録(Zero-touch Enrollment)」による自動設定 | 1台の端末内に業務用暗号化領域(コンテナ)を作成し、BYODにおける個人のプライバシーを保護。 |
各OSの管理状況を一つの台帳に集約したい場合は、「MDM連携でデバイス台帳を一元管理」できるシステムの導入が有効です。
OS公式のプログラムを活用してデバイスのキッティング工数を最小化する手法は、こちらのゼロタッチでのキッティング自動化ガイドで詳しく紹介しています。
MDM導入のロードマップと企業規模別の運用モデル
MDMの導入プロセスは、目的の定義から設計、配布、運用保守まで段階的に進める必要があります。国内MDM市場は2025年時点で約900億円規模(CAGR約24%で拡大中)とされており、端末管理の自動化需要は急速に高まっています。特にキッティング工数は、ゼロタッチ登録の導入によりPC1台あたり従来の約2時間からほぼゼロへの削減事例も報告されており、人的コスト削減効果は導入投資の主要な正当化根拠になっています。組織規模によって抱える課題は異なります。以下の3パターンを参考に、自社に合うモデルを確認してください。
50名未満(小規模企業):IT管理者の専任リソースがほぼ無いため、MDMの内製運用は難しいケースが多いです。シンプルな機能のMDMツールを選定するか、デバイスの調達からキッティング、運用までを一括アウトソーシングできるDaaS(Device as a Service)も検討の余地があります。
50〜300名(中規模企業):社用端末とBYOD(個人端末)が混在し始めるフェーズです。社用端末にはMDM、個人端末には「MAM(モバイルアプリケーション管理)」を適用し、公私のデータを論理的に分離するこの運用モデルがBYODトラブルの大半を防ぎます。
300名超(大規模企業):PC(Windows/Mac)やモバイルを一括管理する「UEM」を導入し、IDaaSと連携した条件付きアクセスを構築してゼロトラストなネットワーク制御を確立するUEM+IDaaS連携が事実上の業界標準になっています。
初期キッティングの工数を削減するためには、事前に「ゼロタッチでのキッティング自動化」の仕組みを整えておくことが強く推奨されます。自動化によりキッティング工数を大幅に削減できます。
MDM導入後の運用フェーズにおいて、台帳更新の手間を省きセキュリティ状態を可視化するには、MDM連携でデバイス台帳を一元管理できるシステムの活用が有効です。
▲ 組織の規模とリソースに応じた最適なMDM運用モデル選定フロー
MDM運用における4大失敗パターンと具体的な対策
MDM導入費用を上回る損失を防ぐには、運用フェーズで起こりがちな「4大失敗パターン」への対策をキッティング段階で仕込んでおく必要があります。
管理プロファイルの勝手な削除問題
【原因】:手動で構成プロファイルをインストールすると、従業員が端末設定から簡単に削除できてしまいます。
【対策】:ABM認定代理店やゼロタッチ対応のキャリア・販売パートナーから「企業名義」で直接端末を購入し、自動デバイス登録(ADE)を強制。プロファイル削除を禁止する「監視モード」を適用します。家電量販店で買った端末でABM登録しようとして詰まる、これがキッティング地獄の典型パターンです。一般の家電量販店等で購入した「通常品」ではこの自動連携ができないため、調達先の選定が導入成否を左右します。BYOD導入時の「プライバシー侵害」という従業員の反発
【原因】:個人の位置情報や写真、Web閲覧履歴が会社に覗き見されるのではないかという不信感。
【対策】:iOSの「User Enrollment(ユーザー登録)」やAndroidの「Work Profile(仕事用プロファイル)」を活用します。個人領域のデータに管理者がアクセスできない仕組みであることを、技術的な図解と就業規則の両面で従業員に説明・周知しておくことが重要です。通信環境依存によるリモートワイプの限界
【原因】:紛失端末が「電源オフ」「圏外」「機内モード」の場合、MDMの消去指令(リモートワイプ)は通信が復帰するまで届きません。
【対策】:初期設定時にMDMポリシーで「ストレージの完全暗号化」と「強固なパスコードロック」を強制適用し、オフライン状態でも物理的にデータを抜かれない状態を構築します。APNs証明書の更新忘れによる運用停止
【原因】:Appleデバイス管理に必須のAPNs証明書は有効期限が1年です(Apple公式:APNs証明書の更新について)。失効するとMDM制御が一切不能になり、最悪の場合、全端末を手動で再キッティングする事態になります。
【対策】:有効期限を管理用カレンダーに登録し、複数名の担当者にアラートが飛ぶ体制を構築します。
MDM運用・キッティング対応チェックリスト
フェーズ | チェック項目 | 目的・対策 |
|---|---|---|
導入前準備 | ABM / Android Enterprise の組織登録 | 初期設定時の自動登録とユーザーによるプロファイル削除防止 |
調達条件 | 認定代理店・対応キャリアからの直接購入 | 自動登録(ADE/ゼロタッチ)に必要な端末シリアル紐づけの担保 |
ポリシー策定 | ユーザー登録(BYOD)/ 仕事用プロファイルの有効化 | 個人領域のプライバシー保護と従業員からの反発防止 |
キッティング | ストレージの完全暗号化と強固なパスコード強制 | オフライン状態(リモートワイプ不可)でのデータ漏洩防止 |
運用監視 | APNs証明書更新アラートの設定(年1回) | 有効期限切れによるMDM通信遮断の未然防止 |
▲ 端末の購入ルートの違いによるキッティング工数とセキュリティ強度の対比
MDM導入の成功事例(日本国内企業)
国内における実在企業のMDM導入・運用成功事例を紹介します。
事例①:株式会社メディックス
・業種・規模:インターネット広告代理店
・導入製品:BCDM(ビジネス・コンシェル デバイスマネジメント/ソフトバンク提供)
・課題:個人端末の業務利用(BYOD)によるセキュリティ懸念と、社内でのセキュリティ教育負担の大きさ。
・施策:個人端末の業務利用を廃止し、MDM(BCDM)搭載の社用スマホを導入。業務外アプリの制限や遠隔管理を徹底するとともに、付帯するセキュリティ講習動画を活用。
・成果:強固なセキュリティ環境を構築しつつ、情シス部門のセキュリティ教育にかかる負担を軽減することに成功。
・一次情報源:ソフトバンク公式導入事例:株式会社メディックス事例②:ソフトバンクロボティクス株式会社
・業種・規模:ロボット・AI関連サービス企業
・導入製品:Jamf Pro(Jamf Japan提供)+ Jamf Connect
・課題:従業員のiPhoneを活用したBYODを、安全かつ従業員のプライバシーを守りながら運用したい。
・施策:Appleに特化したMDM「Jamf Pro」とゼロトラストネットワークアクセス(ZTNA)ツール「Jamf Connect」を併用。
・成果:端末内の個人データ(写真や私用アプリ)と業務データを高度に分離させ、安全なBYOD環境を最小限の管理負荷で実現。
・一次情報源:Jamf公式導入事例:ソフトバンクロボティクス株式会社事例③:広島県庁
・業種・規模:地方自治体(都道府県庁)
・導入製品:KDDI Smart Mobile Safety Manager
・課題:自宅や出先、災害時でも安全に業務を継続できるBCP対策環境の構築。
・施策:LTE対応ノートパソコンを導入し、KDDIのMDMで一元管理を徹底。デバイス資産管理とリモート設定変更をスムーズに行う体制を整備。
・成果:災害時の迅速な業務継続と強固な情報漏洩対策、およびリモートワーク推進を同時に両立。
・一次情報源:KDDI公式導入事例:広島県庁
Appleデバイスの管理をさらに効率化し、スマートな台帳連携を実現したい方は、「KandjiとAdminaのAPI連携手順および注意点」もあわせてご覧ください。
Appleデバイスに特化したMDMと台帳管理の自動連携を進めたい方は、KandjiとAdminaの連携手順と注意点を解説した実務ガイドも参考にしてください。
よくある質問
Q:今後PCの管理も一本化したい場合、MDMとUEMどちらを選べばよいですか?
A:モバイル端末のみの管理であればMDMで十分ですが、WindowsやmacOSのPCも同一コンソールで統合管理したい場合はUEM(統合エンドポイント管理)が適しています。将来的なPC管理の統合を見据えているなら、導入時点でUEM対応製品を選ぶか、MDMからUEMへのアップグレードパスが用意されているか契約前に確認してください。
Q:従業員がMDMプロファイルを勝手に削除するのを防ぐ方法はありますか?
A:端末調達時にAppleの「ABM」やGoogleの「Android Enterprise」といった公式プログラムと連携させ、「ユーザーによるプロファイル削除を禁止(監視モード)」として強制適用することが、現状で唯一の確実な手段です。
Q:リモートワイプが機能しないケースに備える対策はありますか?
A:対象の端末が「電源オフ」「電波の届かない圏外」「機内モード」などでMDMサーバーからの通信を受信できない状態にある場合、リモートワイプは即座に実行されません。これに備え、キッティング時にMDMポリシーで「ストレージの完全暗号化」と「強固なパスコードロック」を強制し、オフライン状態でも物理的にデータが抜かれない状態を構築しておく必要があります。
Q:BYOD(個人端末の業務利用)で従業員からプライバシー侵害だと反発されない方法はありますか?
A:端末全体を制御・監視するモードではなく、iOSの「User Enrollment(ユーザー登録)」やAndroidの「Work Profile(仕事用プロファイル)」を使用します。業務用データ領域(暗号化コンテナ)のみを会社が制御し、個人の写真やプライベートアプリ領域にはシステム上管理者であってもアクセスできない仕組みを、技術的な図解と就業規則の両面で従業員に説明・周知することで、大半の反発は事前に防げます。
まとめ
MDMの価値は導入後の運用設計にあります。ABMとのセット設計、ライセンス選定、APNs証明書管理――この3点を最初に抑えておくだけで、運用開始後の手戻りの大半は防げます。自社の組織規模に適した運用モデルを選択し、ABMやAndroid Enterpriseといった公式プログラムとの連携を調達段階から設計しておくことが、後の運用コストを大きく左右します。まずは自社のエンドポイント(モバイル・PC)の現状を棚卸しするところから始めてください。
✅ ABM/Android Enterpriseへの組織登録を確認した
✅ ライセンス形態(デバイス課金 or ユーザー課金)を比較した
✅ 端末調達先がABM認定代理店またはゼロタッチ対応キャリアであることを確認した
✅ APNs証明書の更新期限をカレンダーに登録し、複数担当者にアラートを設定した
✅ BYODポリシー(User Enrollment/Work Profile)の適用方針を決定した
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
