【事例付】Re:ゼロから始めるMicrosoft Intune(MDM)で情報漏洩対策【導入メリット・費用試算も解説】

Ami 3月 20, 2025

Intuneとは 

Microsoft Intuneとは、クラウドベースでPCやスマートフォンなど様々な端末を一元管理できるMicrosoft社のエンドポイント管理サービスです​。

Microsoft Intuneは、モバイルデバイス管理(MDM)とモバイルアプリ管理(MAM)の両方の機能を備えており、企業が社用デバイスやアプリの利用状況をWebの管理画面から直感的な操作で管理できます。​

まず初めに、MDMとは企業がスマホやノートPCなどの端末を情報漏えい防止のために監視・管理する仕組みを短く省略したものです。
MDMを導入することで管理者が遠隔で端末設定を変更したりロック・ワイプ(初期化)などの操作が可能です。
MDMの詳細については下記をご覧ください。
「Microsoft Intune」でよくある疑問 MDMとは

一方、MAMとは端末内の業務用アプリケーションやデータを個人用アプリと分離して管理する仕組みで、たとえば1台のスマホ上で会社のOutlookやOneDriveなど業務データだけを保護・制御できます。​Intuneを使うことでこれら端末そのものと、業務アプリの両方を包括的に管理することが可能です。

MAMの実装例については下記をご参照ください(かなり細かいですが)
Microsoft IntuneでAndroidのスクリーンショット禁止のポリシーを配布する。

MAMとMDMを組み合わせることでスマホやノートPCなどの端末とその中のデータを包括的に保護することが可能です。


Intuneは社内外の様々なデバイス・ユーザーを一元的に管理し、セキュリティポリシーの適用やアプリ配信、デバイス設定の統制、ゼロトラストモデルでのデータ保護などを実現します​。

たとえばWindows、macOS、iOS、Androidなどマルチプラットフォームに対応し​、デバイスやユーザーごとにポリシーを配信してセキュリティ基準への統制を強制できます。

端末のコンプライアンス状態やインベントリを常に可視化できるため、企業の資産管理を効率化しつつ、不正端末の接続をブロックすることも可能です。

加えて、Intuneではデバイスがインターネットに接続さえしていればポリシーを受け取れるため、社外・リモートワーク中の端末にも最新のセキュリティ設定を適用できます。 

またIntuneは企業の情報漏えい対策にも大きく貢献します。管理者は社給端末にインストールできるアプリや利用できる機能を細かく制御でき、業務に無関係なゲームや動画視聴アプリなどをブロックしてセキュリティリスクを下げることができます​。

参考情報
職場におけるBYOD:Microsoft Intuneによるモバイルデバイス管理(MDM)とモバイルアプリケーション管理(MAM) | Black Duck Blog
Microsoft Intune とは | Microsoft Learn




万一デバイスの盗難・紛失が起きた場合でも、Intuneに登録された端末であれば遠隔から社内データや業務アプリだけを消去したり端末自体を初期化(リモートワイプ)することが可能です​。

さらにIntune経由でWindows端末のBitLockerによる暗号化を強制を有効化したり、端末利用に複雑なパスワードや生体認証を必須とするポリシーを適用できるため、仮に端末が第三者の手に渡っても内部のデータを保護できます​。(発見や漏えいの実害が出るまでの時間稼ぎになる)

このようにIntuneは社内のIT資産を守り、情報漏えいリスクを低減する多層的な対策を構築可能にします。

他社のMDMツールとの違いについて見ると、基本的な機能面では正直現時点でどの製品も大差ないと言われます​。

しかしMicrosoft IntuneはMicrosoft 365やMicrosoft Entra ID(AzureAD)との統合が強みであり、既にMicrosoft 365などを利用している企業にはシームレスに組み込める点がメリットです。

他製品(Jamf)との比較

例えばApple製デバイス管理に特化したJamfなどと比較すると、JamfはMacやiPhone向けの高度な管理機能(Apple独自機能のフル活用など)を持つ一方で対象はApple製品に限られます。

それに対しIntuneはWindows、macOS、iOS、Androidまで幅広いOSを一括管理でき、Azureの高度なセキュリティ機能(条件付きアクセスやデバイスのコンプライアンスチェック等)によって包括的な端末コンプライアンスを実現できる柔軟性があります​。

制限や配布する設定においてもJamfで実現できることとほぼ同等の機能を有しています。ただし、JamfのUIや操作感はApple寄りのテイストとなっているので、Apple製品との親和性はかなり高いです。

つまりMicrosoft製品やマルチプラットフォーム環境との親和性を重視するならIntune、Apple製品だけを深く管理するならJamfなど専門ツール、といった住み分けになります。

参考情報
JamfによるAppleデバイス管理Mac iPad iPhone TV Apple MDM


MDMについておさらい

MDMの仕組み自体は、身近な例でいえばスマートフォンの「デバイスを探す」機能の企業版のようなものです。企業が従業員に貸与する端末にあらかじめ管理用のプロファイルやエージェントをインストールし(デバイスの登録=Enrollment)、その端末情報をサーバー側で保持・監視します​。

 端末は定期的に管理サーバー(Intuneなど)と通信して自らの状態(OSやセキュリティ設定、インストールアプリ等)を報告し、管理者がポリシーを送信すれば自動で設定を適用します。

これにより社内ルールから逸脱した行為(例えばOSのアップデート未適用や禁止アプリのインストール)があれば管理サーバー(Intuneなど)が検知・是正でき、端末を社外に持ち出していても会社のポリシーを強制が可能です。

先ほどのセクションでもありましたが、社員のスマホをMDMで管理していれば、万一紛失時に会社側から遠隔ロックやデータ消去を即座に実行できます。また従業員が勝手に端末設定を変えたりアプリを入れることも制限できるため端末の統制管理も容易になります。

ただし従業員のプライバシーに配慮が必要です。個人所有端末(BYOD)に対しては端末をMDMで管理せずに業務アプリだけを管理するMAM方式を採用するケースもあります。​

Intuneではデバイス登録せずにOutlookなど業務アプリだけ保護する「アプリ保護ポリシー(MAM)」を適用できるため、BYODでも個人のプライベート領域に立ち入らず会社データだけを守ることが可能です。

参考情報

デバイスを登録すると、organizationにどのような情報が表示されますか? | Microsoft Learn
以下はMDM登録されると取得できる端末データ代表例です。 プライバシー保護に関してはすべてのユーザや会社の法令遵守の観点でも重要なトピックになります。
MDMやMAMを社内に導入する際にはユーザからの情報収集に関する同意や免責を得られるような工夫も必要になります。

  • デバイスの所有者
  • デバイス名
  • デバイスのシリアル番号
  • デバイス モデル (Google Pixel など)
  • デバイスの製造元 (Microsoft など)
  • オペレーティング システムとバージョン (iOS 12.0.1 など)
  • デバイスの IMEI
  • アプリ インベントリとアプリの名前 (Microsoft Word など)

企業でMDMを導入するプロセス

  1. 目的・要件の整理: 自社で管理すべき端末や守るべき情報資産を洗い出し、Windows PCやスマホ・タブレットの台数、OS種類、社内利用かBYODか、守るべきデータの機密度などを把握し、必要なセキュリティ水準を決めます。

  2. 利用ポリシーの策定: MDMで適用するポリシー(パスワードポリシー、デバイスの暗号化やカメラ利用可否、インストール許可アプリ定義、持ち出しや共有禁止データの定義など)を策定します。あわせて従業員向けのモバイル端末利用規程も整備し、違反時の対応や紛失時の報告フローなどを決めておきます。社員への事前周知もこの段階で行います。

  3. MDMソリューションの選定: 自社の要件を満たすMDM製品を選びます。既にMicrosoft 365を利用中であればIntuneが有力候補になりますし、社内の主要端末がApple製ならJamfの併用を検討する価値があります。重要なのは対応OSやセキュリティ機能、他システムとの連携、コストです​。予算に応じて最小限の構成からスタートすることをお勧めしています。
    また必要であればベンダーやパートナー企業から提案を受け、トライアル版で検証して決定します。弊社、株式会社Rock'in villageにおいてもMDM導入のフルサポートが可能です。

  4. 環境の構築と端末登録: 選定したMDMソリューションを実際に設定や構築を行い、端末を登録します。すぐ全社展開せず、小規模な部門やテスト端末でパイロット導入して問題点を洗い出すことで、全社展開時に直面する問題を事前に把握して滞りなく対処できます。Intuneの場合、Microsoft EntraIDと連携して自動登録する「Windows Autopilot」やAppleの「Device Enrollment Program(DEP)」を活用すれば、新規端末を開封しただけで自動的にMDM管理下に置くことも可能です。既存端末については、ユーザーにCompany Portalアプリから登録してもらうことで複雑な操作なしでMDMソリューション社内展開が行えます。

  5. 運用と監視: MDM導入後は継続的な運用管理が必要です。管理コンソール上でデバイスの状態やポリシー適用状況を定期的にチェックし、違反端末があれば対応します​。
    またOSアップデートの配信や、新しいポリシー追加(例:Zoomなど業務利用アプリのホワイトリスト化)など運用を回し続けます。
    端末の追加・廃棄時の手順(退職者の端末から会社データを消去する等)も定めておき、社内体制としては情報システム部門が中心となってMDMを継続管理していきます。

MDM導入は単なるツール設定だけでなく、社内規程づくりや従業員教育を含むプロジェクトになります。特にテレワークや社外業務が増えた現在では、情報資産管理からデバイス紛失時の対処まで包括的な情報管理体制の強化が求められており​、MDMソリューション導入はその一環として有効な施策です。


実例:情報漏洩インシデントとIntuneのリスクアセスメント



実際に起こった情報漏えい事故の例として、2025年2月に財務省の職員が違法薬物密輸の捜査資料を入れたかばんを紛失し、中には容疑者や関係者187名分の個人情報が記載された文書と業務用ノートPCが入っていたという事件がありました​。紛失したノートPCにはパスワードによるログイン制限など一応のセキュリティ措置が講じられていたとのことですが​、物理的にデバイスや書類が流出してしまえば情報漏えいの重大な懸念が生じます。このケースを教訓に、もし企業で同様の端末紛失事故が起きた場合にMicrosoft Intuneがどのようにリスク低減に役立つか考えてみましょう。

【情報元:「務省職員がパソコンや文書紛失、187名の個人情報漏えい懸念」】https://cybersecurity-jp.com/news/109060

まず、Intuneで端末を管理しておけば、紛失が判明した時点で管理者が遠隔から当該PCをリモートワイプ(初期化)することができます。紛失端末がインターネットに接続されたタイミングで自動的に端末内のデータを消去できるため、第三者による不正アクセスを防げます。今回の財務省の事例でも、仮に同様のMDM管理下にあったなら、発覚後すぐにPC内の187名分の個人情報ファイルを削除でき、情報漏えいリスクを大幅に下げられた可能性があります。(業務後に飲酒をする場合はカバンや書類は絶対に職場に置いて帰りましょう。)

次にデバイス暗号化の強制です。IntuneではポリシーによってWindows端末のBitLockerを必須にすることができ、全ての社用PCを暗号化状態にできます​。BitLockerでドライブが暗号化されていれば、PCからHDDを直接抜き取られてもデータは復号できません。財務省のケースでも「パスワード保護」はされていたものの、ディスク暗号化に触れていないところを見ると、おそらくBitLockerをかけていなかった可能性があります。(あくまでも想像です。)Intune導入によってこのような“抜け”をなくし、社内端末はすべて確実に暗号化されるよう統制できます。

さらにIntuneなら端末の所在トラッキングとアクセス遮断も可能です。Intuneの管理画面ではデバイスごとの最終チェックイン日時やIPアドレス情報が把握できます。紛失デバイスが最後に社内ネットワークに接続された場所や、その後一切通信していないかなどを確認し、警察への届け出や社内報告に役立てられます。Microsoft EntraIDと連携した条件付きアクセスを使えば、紛失端末からの社内クラウドサービスや社内データのアクセス試行自体をブロックできます。例えば紛失PCが不正にネット接続されても、会社のメールや機密データにはIntuneで非承認デバイスとして遮断し、被害を最小限に留められます。

以上のようにIntuneは端末紛失という最悪の事態においても被害を最小化し、状況を的確に把握するための手段を提供します。情報漏えいリスクへの備えとして、MDMソリューションを導入しておく意義は非常に大きいと言えます。

想定被害額の試算



もし企業が情報漏えい事故を起こしてしまった場合にどれほどの損害コストが発生し得るかを試算します。被害額は漏えいした情報の件数や内容、企業規模、社会的影響度によって大きく変動しますが、ここでは「187名分の個人情報流出」という先の例を中小企業で起こした場合を想定します。主なコスト要素は以下の通りです。

  • 顧客への補償・賠償費用: 個人情報が漏えいした場合、被害を受けた本人に対し金銭的補償が必要になる可能性があります。日本の判例では、漏えい情報が氏名や連絡先程度で二次被害がなければ1人あたり数千円(約3,000~5,000円)の慰謝料が相場とされています​。187名分で計算すると、おおよそ56~93万円程度の賠償総額となります。情報の内容が機微情報に及び被害が発生したケースでは1人あたり3.5万円が認められた例もあり​、最悪の場合は187人×3.5万円=約655万円に上る可能性もあります。過去の例では、Yahoo!BBの大規模漏えい事件で1人500円の金券配布に留めたケースや、自治体で1人1万円の賠償となったケースもあり、補償額はケースバイケースです​。
    参考情報
    個人情報漏洩の損害賠償の金額についてわかりやすく解説 - 咲くやこの花法律事務所
    個人情報の金銭的価値っていくら? | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン

  • 事故対応の諸費用: 漏えい発覚後の対応にもコストが発生します。影響を受けた顧客への通知郵送費用やコールセンター設置費、人件費がその一例です。187名規模でも、一人ひとりにお詫びの書簡を送れば郵送代や印刷代だけで数万円、問い合わせ対応要員の人件費も含めれば数十万円規模になるでしょう。また原因究明のための調査費用(セキュリティ専門家によるフォレンジック調査等)や再発防止策の導入費(システム更新や研修実施)も発生します。中小企業ではこれら対応に割ける人員が限られるため、平時業務の停滞による機会損失も看過できません。

  • 罰則・行政対応: 個人情報保護委員会等への報告義務対応や指導に対する費用も考えられます。日本の個人情報保護法では重大な漏えい時には報告と本人通知が義務付けられており、その対応工数が発生します。直接的な罰金は現行法では行政指導が中心で高額制裁金は稀ですが、業界によっては監督官庁から業務改善命令等が出される可能性があります。その場合、改善計画の策定や追加のセキュリティ対策コストが必要になります。

  • 訴訟リスク・弁護士費用: 被害者が集団訴訟を起こしたり、取引先から損害賠償請求を受けたりするリスクもあります。裁判となれば弁護士費用や和解金など多額の出費につながります。187件規模で直ちに訴訟に発展する可能性は高くないかもしれませんが、ゼロではありません。顧客対応を誤れば訴訟コストが加算され、数百万円単位の支払い命令が出るケースも過去に存在します​。

  • 信用失墜による損失: 金額に表しづらいですが、企業ブランドへのダメージは長期的な損失を招きます。顧客離れによる売上減少、新規契約の獲得難航、取引先からの信用格下げなど、事故後しばらくはビジネスに陰を落とすでしょう。中小企業にとって顧客187名分の情報漏えいでも地域や業界でニュースになれば信頼回復は容易ではなく、その機会損失は数千万円規模に及ぶ可能性すらあります。場合によっては個人情報保護の認証(プライバシーマークなど)の取消しや、株式上場企業であれば株価下落といった影響も考慮しなければなりません。

以上を総合すると、187名分程度の漏えいでも少なくとも数百万円、場合によっては数千万円の損害につながり得ます。直接補償費用が百万単位、対応費用がそれに匹敵、さらに見えない信用損失がそれ以上、というイメージです。中小企業にとってこのような事故は経営を揺るがしかねないインパクトがあります。だからこそ平時からIntuneのような仕組みでリスクを低減しつつ、万一事故が起きても被害を局限する備え(迅速なリモートワイプや暗号化の徹底)が不可欠と言えるでしょう。

Intuneライセンス価格と導入コスト

Microsoft Intuneを導入する際のライセンス形態と費用について解説します。Intuneは基本的にサブスクリプション型のクラウドサービスであり、ユーザーまたはデバイス単位で月額ライセンス料金が発生します​。大きく分けて「ユーザーライセンス(Plan 1/Plan 2)」と「デバイスライセンス」の2種類があります。
※月契約・年契約の場合は価格が異なります。

  • Intune Plan 1(ユーザーあたりライセンス): Intuneの基本機能を利用できるプランです。価格は1ユーザーあたり月額約1,199円程度となっています。ユーザーライセンス1つで、そのユーザーが利用する最大15台までの端末を登録・管理可能です​。したがって「社員一人にPCとスマホ1台ずつ」で合計500台を管理する場合、ユーザー数は約250名となり、月額費用は250人 × 約1,199円 ≈ 30万円(年間約360万円+消費税)となります。

  • Intune Plan 2(アドオンライセンス): Intune Plan 1に追加できる上位プランです。高度なエンドポイント管理機能が含まれ、例えば特殊用途デバイス(キオスク端末等)のより細かな管理機能や、モバイル向けVPN機能、脅威インテリジェンスを用いたリスクベースの制御などが利用できます​。
    価格は1ユーザーあたり月額約599円​+消費税で、Plan 1に追加購入する形になります。必要なユーザー数分だけ追加し、より強力なセキュリティ管理が必要な端末に適用するイメージです(全ユーザーに必須ではありません)。なお、Plan 2の機能は後述のIntune Suiteにも包含されています。

  • Intune Suite(アドオンライセンス): 2023年に新設された包括的アドオンで、Plan 2の内容に加えリモート支援機能(Remote Help)やエンドポイント特権管理など複数の高度機能をまとめて利用できます​。価格は1ユーザーあたり月額約1,500円​+消費税​です。
    こちらもPlan 1に追加して購入します。例えば将来的にゼロトラストを見据えて端末のリスク検知を自動化したい、ヘルプデスクが遠隔操作で端末サポートを行いたい、といったニーズがあればIntune Suiteの導入検討価値があります。

  • Intune デバイスライセンス(Plan 1 Device): 共有端末向けに提供されるライセンス形態です。1デバイスごとに月額約290円​+消費税でIntuneに登録できます​。
    ユーザーではなく台数ベースで課金されるため、キオスク端末や貸出タブレットなどユーザー紐付けしない機器を安価に管理したい場合に有用です。
    ただしデバイスライセンスは機能に制限があり、条件付きアクセス(Microsoft Entra IDによるデバイス信頼性チェック)やアプリ保護ポリシー(MAM)との併用ができないなどのポイントに注意が必要です​。したがって通常の社員利用端末には基本ユーザーライセンスを用い、共有端末に限ってデバイスライセンスを充てる、といった使い分けが推奨されます。

以上がIntune単体でのライセンス費用体系ですが、費用対効果を考える上で重要なポイントは「既存ライセンスとの重複」です。Microsoft Intune Plan 1は、実はMicrosoft 365 E3/E5やEnterprise Mobility + Security(EMS) E3/E5、Microsoft 365 Business Premiumといった包括契約にすでに含まれています​。
もし自社が既にこれらのMicrosoft 365プランを利用中であれば、追加費用なしでIntuneの機能を使える可能性があります。一方でWindowsのみを管理したい場合など、Intune単体で購入するより他社MDMの方が安価なケースも稀にありますが、IntuneはOffice製品との親和性や将来的な拡張性(他のMicrosoftセキュリティサービスとの連携)を含めたコストメリットが大きいです​。

ライセンス選定時は、自社の環境に既に何が含まれているか、今後必要となる管理機能は何かを整理し、過不足のないプランを選ぶことが重要です。例えば基本的な端末管理だけで十分ならPlan 1でコストを抑え、将来的に高度な分析やリモートサポートが必要になった時点でPlan 2/Suiteを追加検討するといった柔軟な運用も可能です。

導入コスト面では、ライセンス費用の他に初期設定や運用設計にかかる人件費も考慮する必要があります。Intuneはクラウドサービスのためサーバー設備投資は不要ですが、導入時にポリシー設定やデバイス登録の作業が発生します。自社内にIT担当者がいない場合は外部ベンダーの導入支援サービスを利用する費用も見積もりましょう​。もっとも、中小企業であればMicrosoftが提供する30日間の無料評価版を試しながら少しずつ展開し、本格導入につなげることでコストを抑えることもできます。


まとめ

Microsoft Intuneの導入によって得られるメリットを整理します。第一に、社内外のあらゆる端末を一元管理しセキュリティポリシーを徹底できることです。従来は各社員任せになりがちだったWindowsアップデートやウイルス対策の適用状況も、Intuneで統制すれば常に最新の安全な状態を維持できます​。
パスワード設定やデバイス暗号化の強制もポリシーで簡単に適用でき、基本的なセキュリティ水準を社内で底上げできます。第二に、情報漏えいリスクの低減です。紛失・盗難時の遠隔ワイプ、BYOD時の業務データのみ削除(選択的ワイプ)など、万一の事態でも被害を最小限に抑える仕組みがある安心感は大きいです​。
また違反端末を検知した際に即座にアクセス遮断するなど、被害が広がる前に手を打てる点もIntune導入の重要なメリットです。第三に、IT管理負荷の軽減と業務効率化です。Intuneの管理コンソールからソフトウェア配布や設定変更を一斉に行えるため、拠点やテレワーク先にいる端末のために担当者が出向く必要がありません。従業員自身もCompany Portalアプリ経由で必要なアプリを入手したりセルフサービスのパスワードリセットを自己完結できるため、ヘルプデスク対応の手間も削減できます。IntuneをはじめとしたMDM環境を整備することははセキュリティ強化とIT運用効率化を両立し、現代の柔軟な働き方(リモートワークやハイブリッドワーク)を支える基盤となります。

では、企業のIT担当者が次に取るべきアクションは何でしょうか。まずは自社の現状評価です。社用PCやスマホの管理は行き届いているか、万一の情報漏えいリスクへの対策が講じられているか、棚卸しをします。もし手つかずであればIntune導入を含めたMDMの導入計画を立てるべきですし、既に他社MDMを使っている場合でもライセンスや管理コストの重複や統制が確実に行われているか見直すことも検討してください。
Microsoft 365との統合メリットを得られるIntuneも検討する価値があります。
次に、経営者をはじめとした決裁者への提案・啓蒙です。情報漏えいの想定被害額やコンプライアンス上のリスクを定量的に示し、MDM導入の費用対効果を理解してもらいます。本稿で試算したように、事故が起きてから支払うコストに比べれば予防投資は決して高くありません。

また具体的な導入ステップに移る際は、まず小規模からのトライアルがおすすめです。Microsoftの公式サイトからIntuneの評価版を登録して、手元の端末でポリシー適用やワイプ動作をテストしてみましょう。実際に触れることで社内の運用イメージも湧き、課題も明確になります。必要に応じてパートナー企業(SIerなど)の支援を仰ぎつつ、自社に最適なポリシーセットを作成してください。

最後に、情報漏えい対策は技術ツールの導入だけで完結しません。Intune導入と並行して社内ルールの整備や社員教育の徹底も行い、紙の資料の扱い方から端末紛失時の報告フローまで総合的にセキュリティ意識を高めることが重要です​。
そうすることで初めてMDMソリューションは効果を最大限発揮します。Microsoft Intuneは強力な武器ですが、使いこなすのは人間です。IT担当者としては、技術と人の両面から自社の情報資産を守る次の一手を講じていきましょう。その第一歩として、ぜひIntuneの活用を前向きに検討してみてください。

お知らせ

株式会社Rock'in villageではIntuneをはじめとしたMDM製品やMicrosoft365導入支援及びコンサルティングを行っております。 お客様の課題やご予算やに合わせた柔軟な対応を行っておりますのでまずはご相談ください。
お問い合わせフォーム (Microsoft Forms) へ

Ami

投稿者 Ami

コメントを投稿

0 コメント

コメントを投稿