MAMは、スマートフォンやタブレット端末などのスマートデバイスにインストールしたアプリケーションを管理する仕組みである。主に業務で使用するアプリケーションで扱っているデータが流出するのを防ぐために使われる。米シトリックス・システムズの「XenMobile App Edition」や米モバイルアイアンの「MobileIron AppConnect/AppTunnel」などの製品がある。また米アップルは、モバイルOSの最新バージョン「iOS 7」で同社のスマートデバイスを標準でMAMに対応させた。
MAMが注目されている背景には、私有の端末を業務に活用するBYOD(Bring Your Own Device)がある。BYODでは、1台のスマートデバイス内に私用のアプリケーションと業務用アプリケーションが混在する。このような利用形態では、業務データが流出する恐れがある。MAMは、そうした情報流出を防ぐ手段として有望視されている。
業務で用いるスマートデバイスを管理するMDM(Mobile Device Management)も情報流出対策に用いられるが、BYODには不向きな面がある。MDMは、スマートデバイス全体を管理対象とし、デバイス内にあるデータの全消去や、アプリケーションに依存しない本体機能の無効化、遠隔からのデバイスの初期化といった機能を提供する。そのため、業務アプリケーションをインストールした私有デバイスを紛失した場合、MDMで消去命令を出すと業務データと一緒に個人データも消去されてしまう。
私用アプリと業務アプリが混在した状態で、情報が流出する経路は主に3つある。
その1つめはコピー&ペースト。業務アプリケーションで表示または利用しているデータを私用アプリケーションに移して、送信したり公開したりする。
2つめは、アップルのスマートデバイスが備えるオープンイン(Open-In)。これは、メーラーで受信した添付ファイルなどを任意のアプリケーションに渡して開けるという機能だ。Androidにも同様の機能がある。
3つめはVPNだ。スマートデバイスはリモートアクセスVPN機能を標準搭載しているが、単にVPNでつないだだけでは、デバイス内の全アプリケーションがLANにアクセス可能な状態となってしまう。スマートデバイス内にマルウエアがあれば、それが社内LANに侵入する可能性がある。
これらの情報流出の経路のうち、1つめのコピー&ペースト、2つめのオープンインについては、MAMによる個別のアプリケーション管理で防げる。MAMは、スマートデバイス内に業務用アプリが動作する仮想的な領域を作り、その領域の外にある私用アプリケーションから隔離する。これによって、例えば業務アプリケーションと私用アプリケーションの間では、コピー&ペーストやオープンインなどによるデータの受け渡しはできなくなる。特定の業務アプリケーションとその使用データだけを消去する処理も可能である。
3つめのVPN経由の情報流出は、アプリ単位のVPNで防ぐ。最近のMAMは、隔離した領域にある業務アプリケーションのうち、管理者が指定したものだけVPNで社内LANに接続できる機能を持っている。
