GXO
セキュリティ

MDM 中華 Android 端末 セキュリティ ポリシー 2026

18分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

MDM を導入していても、ポリシーが「Android 全機種」一律設定だと中華格安端末のリスクは止められない。 Keenadu 事案では、MDM 配下にあった端末の半数以上で初期検知ができなかった事例が報告されている。本記事は、Intune/Workspace ONE/Jamf Now で実装可能な OEM/機種粒度のポリシー設計と検知ルールを提示する。


目次

  1. 中華 Android 端末対応で MDM が機能不全になる典型パターン
  2. 必須 MDM ポリシー 7 項目
  3. Intune 設定テンプレート
  4. Workspace ONE 設定テンプレート
  5. Jamf Now(Android)設定テンプレート
  6. Play Integrity API での検知ルール
  7. 許可機種ホワイトリストの運用
  8. 隔離トリガー条件と自動対応
  9. よくある質問(FAQ)

中華 Android 端末対応で MDM が機能不全になる典型パターン

横にスクロールして確認できます

パターン症状影響
GMS 非搭載端末Play Protect が動かず、検知失敗malware 残存
Bootloader 解錠出荷OS 改造耐性なしsystem 領域改竄
登録基準 OS バージョンが緩い古い Android で参加可既知脆弱性放置
メーカ/機種制限なし中華格安機種が混在登録攻撃面拡大
検疫ポリシー設定なし不審検知でも自動対応せず横展開リスク

FREE CONSULTATION

この記事の内容について、専門家に相談できます

AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。

無料で相談する

必須 MDM ポリシー 7 項目

□ P1. 登録時 OS バージョン下限(Android 13 以上推奨)
□ P2. 登録時 Knox / Bootloader 施錠確認
□ P3. SafetyNet/Play Integrity 検証成功必須
□ P4. 許可 OEM/機種ホワイトリスト
□ P5. 月次セキュリティパッチ未適用検出 → 隔離
□ P6. system app 改変検出 → 即時隔離
□ P7. 不審 C2 通信検出 → ネットワーク切断

Intune 設定テンプレート

コンプライアンスポリシー(Android Enterprise)

deviceCompliancePolicy:
  passwordRequired: true
  passwordMinLength: 8
  storageRequireEncryption: true
  securityRequireSafetyNetAttestationBasicIntegrity: true
  securityRequireSafetyNetAttestationCertifiedDevice: true
  osMinimumVersion: \"13\"
  securityRequireGooglePlayServices: true
  securityRequireUpToDateSecurityProviders: true
  minAndroidSecurityPatchLevel: \"2026-03-01\"

デバイス制限プロファイル

  • 不明なソースからのアプリインストール: ブロック
  • USB デバッグ: 禁止
  • バックアップサービス: 禁止
  • ファクトリーリセット保護: 必須

FREE DOWNLOAD

中小企業のDX推進 5ステップガイド

多様な企業の導入実績から抽出した、失敗を防ぐDX推進の5つのステップを継続解説。

Workspace ONE 設定テンプレート

制限プロファイル(Android Enterprise Work-managed)

restrictions:
  enableAdb: false
  installFromUnknownSources: false
  allowedInstallSources: [\"Google Play\"]
  enableSafetyNet: true
  blockedManufacturers: [\"keenadu\", \"alldocube\", \"doogee\"]
  minSecurityPatchLevel: \"2026-03-01\"
  minOSVersion: \"13\"

Tunnel/VPN ポリシー

  • 業務通信は VPN(Workspace ONE Tunnel)強制
  • C2 候補ドメインを上流 SWG でブロック

Jamf Now(Android)設定テンプレート

profile:
  passcode:
    enforce: true
    minimumLength: 8
  android_restrictions:
    install_unknown_sources: false
    minimum_os_version: \"13\"
    safetynet_attestation: required
    bootloader_locked: required
  allowed_oems:
    - Samsung
    - Lenovo
    - Sony
    - Sharp

Play Integrity API での検知ルール

val integrityManager = IntegrityManagerFactory.create(context)
val tokenProvider = integrityManager.requestIntegrityToken(
  IntegrityTokenRequest.builder()
    .setNonce(nonce)
    .build()
)

サーバ側で deviceIntegrity を検査:

横にスクロールして確認できます

意味対応
MEETS_DEVICE_INTEGRITY検証通過通常運用
MEETS_BASIC_INTEGRITYBootloader 解錠等警告+限定機能
MEETS_VIRTUAL_INTEGRITYエミュレータブロック
値なし検証失敗隔離+管理者通知

許可機種ホワイトリストの運用

横にスクロールして確認できます

ランク対応
A 完全許可Samsung Galaxy Tab Active 系/Lenovo ThinkPad Tabletフル機能
B 条件付きSharp/Sony/NEC 国産 Android一部機能制限
C 観察Xiaomi/Oppo(GMS 認証)強監視
D 禁止Keenadu/ALLDOCUBE/DOOGEE 等登録不可

ホワイトリストは月次 or インシデント発生時に更新。


隔離トリガー条件と自動対応

横にスクロールして確認できます

トリガー自動対応
Play Integrity 検証失敗隔離 VLAN 移動+ Slack 通知
月次パッチ 60 日超未適用業務アプリ起動禁止
不審アプリインストール検出端末ロック+ユーザー通知
OEM がブラックリスト追加全該当端末を隔離+交換手続

GXOの見解

セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。

GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。

GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。

実務判断のポイント

この記事は、経営者、CIO、情シス、セキュリティ担当、開発責任者向けです。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。

GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。MDM 中華 Android 端末 セキュリティ ポリシー 2026|Intune/Workspace ONE/Jamf 設定テンプレートと検知ルールに関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。

放置した場合と整備した場合の違い

横にスクロールして確認できます

観点放置した場合整備した場合
業務影響属人的な判断が増え、対応の優先順位がぶれやすい影響範囲、期限、責任者を決めて進められる
投資判断ツール導入や外注費だけが先行し、効果測定が曖昧になる売上、工数削減、リスク低減の指標にひも付けられる
現場運用例外処理や承認フローが残り、定着しにくい権限、ログ、教育、改善サイクルまで設計できる
経営報告問題が発生してから説明資料を作ることになる月次で状況、課題、次の打ち手を説明できる

導入・改善前のチェックリスト

  • 対象業務、対象部門、対象データを明文化しているか
  • 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
  • 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
  • 例外処理、承認、差し戻し、監査証跡まで確認しているか
  • 社内で判断できる範囲と外部支援が必要な範囲を分けているか
  • 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
  • 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
  • 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
  • セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
  • 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
  • 経営判断に必要な資料を1枚で説明できる状態にしているか
  • 次の90日で検証する範囲と、やらない範囲を明確にしているか

GXOの実務補足

セキュリティニュースは読むだけでは価値がなく、自社資産、影響判定、対応期限、経営報告に変換して初めて防御力になる。

GXOは単発診断よりも、月次の棚卸し、優先順位付け、証跡管理、改善実行までを運用化すべきだと見る。

GXOは、脆弱性診断、インシデント対応、月次運用、開発保守の改善まで接続できる形で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、診断、監査、保守契約、月次レポート、緊急対応支援へ接続。さらに、チェックリスト型診断を入口に、継続監視・改善支援へ展開。

実行までの進め方

  1. 現在の業務、データ、ツール、担当者を棚卸しする
  2. 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
  3. 初期対応、90日以内の改善、半年以上の投資を分ける
  4. 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
  5. 小さく検証し、効果測定後に本番化や横展開を判断する

90日で進める実装ロードマップ

横にスクロールして確認できます

期間やること成果物判断ポイント
1〜2週目現状業務、利用ツール、データ、担当者、外部委託先を棚卸しする業務一覧、システム一覧、課題一覧本当に解くべき課題が、流行テーマではなく業務上の損失にひも付いているか
3〜4週目優先度、リスク、費用対効果、社内体制を整理する優先順位表、概算費用、リスク表すぐ着手する範囲と、後回しにする範囲を分けられているか
5〜8週目小さな検証、要件定義、ベンダー比較、社内説明資料を作るPoC計画、RFP、稟議資料検証結果を本番投資の判断に使える形で記録しているか
9〜12週目本番化、運用ルール、教育、月次レビューを設計する運用手順、KPI、改善バックログ導入後の責任者と改善サイクルが決まっているか

部門別に確認すべき論点

経営層は、MDM 中華 Android 端末 セキュリティ ポリシー 2026|Intune/Workspace ONE/Jamf 設定テンプレートと検知ルールが売上、粗利、採用、顧客維持、リスク低減のどれに効くのかを確認する必要があります。単なる効率化として扱うと、投資判断が後回しになり、現場任せの小さな改善で止まりやすくなります。

DX責任者や情シスは、既存システムとの接続、認証、権限、ログ、保守体制、外部ベンダーとの責任分界を確認します。ここを曖昧にすると、導入直後は動いても、問い合わせ増加、障害対応、改修費用で現場負荷が増えます。

業務部門は、例外処理、承認、差し戻し、手作業で補っている判断を洗い出します。表面上の手順だけを自動化しても、例外が多い業務では成果が出にくいため、現場の暗黙知を要件に変換することが重要です。

管理部門は、契約、個人情報、補助金、会計処理、監査証跡、社内規程との整合性を確認します。特に制度、法務、セキュリティ、価格が絡むテーマでは、公開情報と社内ルールの両方を確認してから進めるべきです。

KPIと効果測定の設計

効果測定では、導入有無だけでなく、問い合わせ、初回相談、対応時間、差し戻し率、問い合わせ削減、障害件数、監査指摘、顧客満足度などを分けて見ます。GXOでは、初回相談の段階で「何をもって成功とするか」を決め、検証後に継続投資できる形へ落とし込みます。

横にスクロールして確認できます

KPI見る理由測定例
対応時間現場負荷と原価に直結するため1件あたり処理時間、月間削減時間
差し戻し率要件やデータ品質の問題が見えるため申請、見積、問い合わせの再作業率
初回相談問い合わせや初回相談の状況を確認するためCTAクリック、問い合わせ数、初回相談数
運用定着率導入後に使われ続けているかを見るため月次利用、更新頻度、レビュー実施率
リスク低減障害、漏えい、監査指摘を減らすため未対応脆弱性、権限不備、復旧時間

相談前に用意すると判断が早くなる資料

  • 現在の業務フロー、担当者、月間件数、処理時間
  • 利用中のSaaS、基幹システム、Excel、外部委託先の一覧
  • 直近のトラブル、問い合わせ、手戻り、障害、監査指摘の記録
  • 投資できる予算感、希望時期、社内の承認者
  • 個人情報、機密情報、外部送信、契約条件に関する制約
  • 既に検討したツール、ベンダー、見積、PoC結果
  • 成功時に増やしたい売上、減らしたい工数、避けたい損失

GXOが支援する場合の進め方

GXOが支援する場合は、最初に記事テーマをそのまま提案にせず、現場の制約と経営上の目的に分解します。脆弱性管理、外部公開資産棚卸し、月次セキュリティ運用、インシデント対応の相談を入口に、要件定義、RFP、ベンダー比較、実装、運用改善まで接続できるかを確認します。

短期的には、課題整理、現状棚卸し、優先順位付け、概算費用、実行計画をまとめます。中期的には、PoCや小規模実装を通じて、データ品質、権限、運用負荷、費用対効果を検証します。長期的には、月次レビュー、改善バックログ、追加開発、セキュリティ確認を継続し、投資を一度きりで終わらせない状態を作ります。

重要なのは、記事を読んだ直後に「問い合わせるかどうか」ではなく、「自社では何を確認すべきか」「どの段階から外部支援を入れるべきか」が明確になることです。そのため、GXOでは相談前の論点整理から支援し、必要に応じて診断、要件定義、実装、保守まで段階的に進めます。

よくある質問(FAQ)

Q. BYOD で社員が中華 Android を持ち込む場合は? A. 別記事「BYOD 禁止リスト管理」参照。原則 BYOD 中華端末は業務利用禁止が安全。

Q. Intune/Workspace ONE/Jamf、どれを選ぶ? A. Microsoft 365 中心なら Intune、混在環境なら Workspace ONE、シンプル運用なら Jamf Now。中堅企業の傾向は Intune が約 60%、Workspace ONE 約 25%、Jamf Now 約 10%(2026 年 4 月、GXO ヒアリング)。

Q. ホワイトリスト運用が現場に厳しすぎないか? A. 業務スマホ+業務タブレットは厳格運用、検品/POS/案内端末は専用業務端末(Honeywell/Zebra)に切り分けると現場負荷を下げられる。


参考資料

  • Microsoft Intune for Android Enterprise ドキュメント
  • VMware Workspace ONE UEM Android ガイド
  • Google Play Integrity API 公式ドキュメント

MDM ポリシー設計、ホワイトリスト運用設計、Play Integrity API 連携実装は GXO の端末セキュリティ運用サービスで対応可能です。

GXO実務追記: サイバーセキュリティで発注前に確認すべきこと

この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。

まず決めるべき3つの論点

横にスクロールして確認できます

論点確認する内容未整理のまま進めた場合のリスク
目的売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか成果指標が曖昧になり、PoCや開発が終わっても投資判断できない
範囲対象部署、対象業務、対象データ、対象システムをどこまで含めるか見積もりが膨らむ、または重要な連携が後から漏れる
体制自社責任者、現場担当、ベンダー、保守運用者をどう置くか要件確認が遅れ、納期遅延や品質低下につながる

費用・期間・体制の目安

横にスクロールして確認できます

フェーズ期間目安主な成果物GXOが見るポイント
事前診断1〜2週間課題整理、現行確認、投資判断メモ目的と範囲が商談前に整理されているか
要件定義 / 設計3〜6週間要件一覧、RFP、概算見積、ロードマップ見積比較できる粒度になっているか
PoC / MVP1〜3ヶ月検証環境、効果測定、リスク評価本番化判断に必要な数値が取れるか
本番導入3〜6ヶ月本番環境、運用設計、教育、改善計画導入後の運用責任と改善サイクルがあるか

発注前チェックリスト

  • 重要システムと個人情報の所在を棚卸ししたか
  • VPN、管理画面、クラウド管理者の多要素認証を必須化したか
  • バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
  • 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
  • EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
  • インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか

参考にすべき一次情報・公的情報

上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。

GXOに相談するタイミング

次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。

  • 見積もり依頼前に、要件やRFPの粒度を整えたい
  • 既存ベンダーの提案が妥当か第三者視点で確認したい
  • 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
  • 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
  • PoCや診断で終わらせず、本番導入と運用改善まで進めたい

MDM 中華 Android 端末 セキュリティ ポリシー 2026|Intune/Workspace ONE/Jamf 設定テンプレートと検知ルールを自社条件で診断したい方へ

GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。

セキュリティ初期診断を相談する

※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。

参考情報

  • 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK