見出し画像

MacにJamf Pro(MDM)を導入しました

東京ガス内製開発チーム

こんにちは。内製開発チームの岩渕です。
新卒で入社後、道路に埋めるガス管の設計をしたり高圧パイプラインの維持管理のお仕事をしていました。今の部所への異動後はmyTOKYOGASの運用開発を行っていますが、最近は半分コーポレートエンジニア的な仕事をしています。
この度、内製開発チームのメンバーが利用している全てのMacBookにJamf Pro(MDM)を導入したので、事例紹介をします。

そもそもMDMって何?

業務利用するスマホやPCがどこでどのように使われているか、管理者は把握しておく必要があります。しかし端末の台数が増えてくると手動だけでは管理が極めて困難になってきます。
そのため、一般的にMDM(Mobile Device Management)と呼ばれる種類のサービスを端末にインストールして管理が行われます。
MDMを使うことで、遠隔からの端末ロックやデータ消去、端末の稼働状況確認等様々なことができるようになります。

なぜJamf Proを入れたのか

内製開発チームでは元々、Jamf Nowという中小組織向けのMDMを利用しつつ、端末の状況について個別に確認し、都度問題点を指摘/是正することでセキュリティ確保をしていました。
しかしメンバーが10人を超えたあたりから、メンバーが端末で何をしているのか把握が難しくなり、20人を超える頃には状態の把握が実質的に不可能になりました。

そのため、下記の4点を実現することで、メンバーが増加してもセキュリティを継続的に担保できるようにすることにしました。

  • 一定のレベルの端末ログを取得して、端末で何がおきているのか把握できるようにする

  • USB等へのデータ書き出しを原則禁止して情報の不正な持ち出しを防止する

  • VPN接続情報を自動配布して、証明書の漏えい防止やローテーションをしやすくする

  • セキュリティソフトを強制/自動インストールして、インストール漏れリスクを無くす

ただ、Jamf Nowにはこれらを解決できる機能が無いため、より大きな組織向けのMDMであるJamf Proの導入検討を開始しました。
別件でやりとりしていたベンダーさんに相談したところ、Jamf Businessプランという契約プランであれば25ライセンスから契約できると紹介いただき、採用を決定しました。

Jamf導入にかかった期間

Jamf Businessは契約時に強制的にオンボーディングが付いてくる仕組みだったので、とりあえずオンボーディングを受講しました。
オンボーディングといいつつ、実際には実環境の構築の方をトレーナーに専属で教えてもらいながら進めていくものでした。
オンボーディングの日程調整や、社内調整等含めて、導入の意思決定から構築作業開始まで約1ヶ月、構築開始から運用開始まで1.5ヶ月程度で構築完了しました。実作業時間としてはオンボーディング20時間、自前作業10時間程度でした。

Jamfの各製品はどんな感じか

Jamf Businessには、Jamf Pro、Jamf Protect、Jamf Connectの3サービスが含まれています。それぞれの利用機能と設定してみた所感は下記の通りです。

Jamf Pro

MDMの中心となるサービスです。
セキュリティソフトのインストール設定が一番複雑でしたが、それでも(トレーナーに教えてもらいながら)設定値をGUIから入力するだけで、複雑なコードを書く必要はありませんでした。
また、ゼロタッチデプロイを可能にする製品ですが、今回は導入と運用のコストを比較した結果、あえてゼロタッチデプロイは行わず、ユーザーが所定のサイトにアクセスすることでスタートする手動登録を採用することにしました。
また、AirDrop、Bluetooth等でのデータ書き出し禁止措置もこのサービスを使って実施しました。

Jamf Protect

端末上で動作するセキュリティサービスです。
USBでの書き出し禁止措置並びにセキュリティログを取得するために利用しています。
導入時点ではGUIで設定できる範囲で収まりましたが、今後ログ取得内容を増やしていく際にはプロンプトの作成が必要になりそうです。

Jamf Connect(Jamf Security CloudとJamf TRUST)

Jamf Connectという製品は結局姿を見ること無く、設定ポータルのJamf Security Cloudと端末上で動作するJamf TRUSTを利用することになりました。
こちらのサービスでは、VPNを主に利用しています。
VPNについては、管理ポータルのGUI上で既存の社用IdPとの連携設定を行い、独自のIDを発行することなくユーザーのコントロールをすることができるようになりました。
また、FQDN毎にVPNを使うかの設定ができるため、例えばGithubからのForkやTeams、Slack等での通話等は非VPN回線に流すことでVPNの帯域圧迫を回避することができ、快適なNWの提供ができるようになりました。

Jamf Routines(おまけ)

Slack等への通知を簡単に送れるようにするためのサービスです。
Jamf Proから通知を送ろうとした場合、独自の中継サーバーを立てる必要があるためかなり面倒なのですが、Jamf Routinesというサービスがリリースされたので、ある程度の範囲については特にサーバー等立てること無くSlackへの通知設定をすることができました。

今後やっていきたいこと

今時点では、メンバーへの端末の引き渡し、Jamfへの登録完了、端末の状態管理が認知範囲内に収まっていますが、メンバーが増えてきた場合、この管理が間に合わなくなることが想定されます。そのため、メンバーがさらに増加したタイミングで、Apple Business Managerと接続し、ゼロタッチデプロイ並びにユーザー側でのJamf無効化ができないようにしようと思っています。

感想

Jamf Businessはサービスをまたいで設定が必要なため、ドキュメントだけでやるのはハードルが高いというのがやった後の感触です。(ドキュメントはそろっているのですが、そもそもどのドキュメントを読めば良いのかわからない状態)
しかし、オンボーディングの中で学習しながら実際に設定作業を行えば良いですし、かなりの範囲GUIを使って設定が可能なため、コーディングが苦手な方でも対応できそうな製品でした。
また、ユーザー自身がプロダクトコードや証明書等の操作をすること無くワンタッチで必要な設定ができることから、メンバーからも好評で導入は成功だったと考えています。

今後もさらなる環境の改善・運用の省力化に向けて対応進めていきます。
最後まで読んでいただきありがとうございました。