MacにMDM(Jamf Pro)を導入してみた -第0章- なぜこんなの入れるんだ編

この記事を書いた背景

レスキューナウで支給されているMac PCにはこれまでMDMの類を一切導入していなかったため、普及に向け只今検証作業を行っています。その中で得たノウハウを何回かに分けて掲載しようと考えています。

なぜ0章から？

購入したのが６月からでまだ数日しか経っていなく、ノウハウが全然蓄積されていないのがいちばんの理由です。いきなり最初に書いた背景と矛盾していますが、現状を逆利用し最初からテクニカルな記事を書くよりも「何故MDMを入れるのか」というそもそも論的な視点に立ち返って最初の記事を書いてみようと思いました。(ネタの水増しともいう)
というわけですので、今回はテクニカルな内容は皆無かつ今更感漂う内容です。
あらかじめご了承くださいませ。

MDMについて

Wikipediaより

Mobile Device Management (モバイル・デバイス・マネジメント/モバイルデバイス管理、略称: MDM) は、スマートフォン、タブレットコンピューター、ラップトップなどの携帯端末/モバイルデバイスの管理を行うこと。日本語では携帯端末管理（けいたいたんまつかんり）とも言われる。スマートフォンと言われるAndroid、iPhone/iPad、BlackBerry、Windows Mobileは、パーソナルコンピュータ (PC) と同様な汎用性を持つことから、情報セキュリティの観点からPCと同様に管理を行う必要性が増しており、それを実現するソフトウェア製品がある。
https://ja.wikipedia.org/wiki/Mobile_Device_Management

Jamf Proについて

こんな特徴のMDMです。弊社では現在Jamf Proの導入検証を進めている最中です。

• Appleデバイス特化 (MacOSだけでなくiOSも対応)
• Zero Day Update (Appleの更新があると24時間以内に追随してJamfも更新するらしい)
• ゼロタッチデプロイ対応
• OSアップデートなどの制御も可能 (最新OSでは対応していない必須ソフトなどがある場合、ユーザーによるOSアップデートを抑止可能)

公式：
https://www.jamf.com/ja/lp/jamf-pro-formerly-casper-suite-mac-management-software/?attr=google_ads-brand-search-pro&gclid=CjwKCAjw-IWkBhBTEiwA2exyO5MkqAlh8JZC7h84JO6B2qqkXO0xqG-t8JUb0k1VHOPo_4SV0wwAbBoCKwEQAvD_BwE

入れる理由(本題)

入れる理由を列挙してみます。他の受け売りもあるし、個人的な考えもあるし、導入検討時には考えてすらいなかったものもあります。

前提

弊社はリモートワークがある程度普及している会社です。
そういう立場の情シス部門が語っているポジショントークと思ってください。

1. リモートワーク環境下特有のリスクを最小限に

リモートワークを行なっていると職種問わずたまの出社でPCを持ち歩いたり、カフェやワーケーションなどの出先勤務があるというユースケースが考えられます。そうなるとまず思いつくのが紛失盗難リスクです。
仮に紛失や盗難があったとしても、MDMが導入されているPCならば遠隔でロックやリモートワイプをかけることができます。ほか、予防的にディスク暗号化をかけている場合にユーザーによる解除が行えないよう制御することができます。

2. リモートワークネイティブな情報システム部門へ

リモートワークネイティブ(リモートワークに最適化された)情シス部門を実現できます。
ゼロタッチデプロイ対応のMDMを使うことで、新しく購入したPCのキッティングに割く工数をかなり削減することが期待できます。そうではない環境の場合、ある程度数を捌くことを考えると新規調達PCは会社宛に発送することになり、そこから「初期設定→ユーザーにPC発送」と作業があるためかなりの割合で出社しなければならない事情が発生します。
ゼロタッチデプロイの場合は「調達→ユーザーに直送→起動時に自動で初期設定」です。情報シス部門のキッティング担当が出社する必要が一気になくなります。これがリモートワークネイティブです。

※ユーザー退場などの時のクリーンアップ(物理)・在庫管理(物理)はMDMだけじゃ無理なので、全ての工程で完全なリモートワークネイティブが実現できるわけではないです。

3. ゼロトラストの第一歩として

ゼロトラストの考え方はものすごくざっくりいうと「会社の中だろうが外だろうが同じようにセキュリティリスクがあると思え」です。リモートワークが進んだ環境だとほぼ外業務前提なので大事な考え方だと思います。
ID、デバイス、アクセス環境など条件を都度判断してリソースへのアクセス可否を判断するのですが、その機能の一端を担うのがMDMです。(Intuneの条件付きアクセスなどがまさにこれ。Jamf ProもIntuneと統合することで同じことができるらしいです)

参考(デジタル庁 ゼロトラストアーキテクチャ適用方針のガイドライン)：
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/5589466b-5eb7-447d-9164-2cfa048a0d0f/67c7208c/20220224_meeting_security_architecture_guideline_02.pdf

4. 働き方改革関連法への対応

厚生労働省が2017年1月20日に策定した「労働時間の適正な把握のために使用者が講ずべき措置に関するガイドライン」によると、企業は労働時間の記録方法を下記のように行うことを義務化しています。

• 使用者が現認し、記録する
• タイムカード、ICカードといった客観的な記録を基本として確認、記録する

上記2点はリモートワークが普及した環境だと若干話がややこしくなってきます。
弊社ではクラウドの打刻ツールを使っていますが、打刻の瞬間を誰かが見ているわけではないのでほぼ自己申告と言えます。いわば記録はしているが、現認できていないし客観的でもないと言えちゃう状態です。
法規制に厳密に対応するにはPCの起動ログなども併せて確認できるようにし、客観度を高める必要があるといえます。MDMを導入することで企業管理下のPCの起動ログが必要な時に確認できるようになります。

参考：
https://www.nds-tyo.co.jp/e-oasis/maga/17_M.html#:~:text=働き方改革関連法,なければなりません。

おわりに

今更感のある内容もありましたが、「そもそも」という視点に立ち返ることで導入理由を改めて言語化でき、自信を持って進められるような気がしてきました。気がするだけです。
今後、ノウハウが蓄積したらテクニカルな記事も記載しようと思います。