Appleと企業をつなぐJamfの強み：セキュアで自動化されたアクセス制御を実現する相互運用性

どのユーザが機密データにアクセスできるのかや、どのデバイスにどのアクセス制御が適用されるのかがわからなければ、IT部門が一貫してコンプライアンスを実践、徹底していくことなど不可能です。そこで重要になるのが、デバイス管理の徹底的な可視化、アイデンティティベースのアクセス管理、エンドポイントセキュリティの3つです。このすべてを駆使すれば、自社が抱えるギャップを明確に把握できます。

このブログでは、エンタープライズのIT部門が抱える悩みを見ていきながら、以下に必要なソリューションを検討していきます。

• クロスプラットフォームのアクセス制御を強化する
• 全社的にコンプライアンスを確保する
• データのセキュリティに関する業務を改善し、自動化する
• 業務の規模が拡大しても業務の継続性を確保する

アクセス権のプロビジョニングを自動化したゼロタッチオンボーディング

手作業によるハードウェア導入は、デバイス1台につき1時間以上かかることもけっして珍しくありません。そのため、ユーザの数が多ければ積もり積もって何千時間ものロスが発生し、導入のたびに生産性が大きく失われることになります。

エンタープライズのIT部門や関係者にこのようなロスが発生せず、浮いた時間を具体的な成果改善につながる業務に振り向けられたら、どれほど良いでしょう。必要な構成が済んだAppleデバイスをエンドユーザに直接支給することができれば、エンドユーザに必要なのは、以下の3点だけになります。

1. デバイスを開封する
2. 電源を入れる
3. 会社から支給された認証情報で認証する

これで、デバイスをすぐに使えるようになるのです。約7～15分（それぞれ、モバイルデバイスとMacの場合）も待てば、利用に向けた準備が自動で完了し、エンドユーザの担当業務に必要なものがすべて揃います。具体的には、以下が自動で完了します。

• アプリ：インストールと構成が完了し、すぐに使える状態になります。
• アップデート：OS、アプリ、セキュリティのすべてが、最新版にアップデートされます。
• 構成：デバイスが健全性の基本要件を満たした状態になります。
• セキュリティ：エンドポイントセキュリティで脅威を予防し、データを安全に保ちます。
• コンプライアンス：常時監視とリスク軽減ワークフローでデバイスの完全性を維持します。

役割の変更と最小権限の原則の適用

IT戦略においてモダンデバイス管理とセキュリティに並ぶ重要要素が、アイデンティティです。従業員が各地に分散していると、境界ネットワークや従業員の勤務地などを基準にデータのセキュリティの良し悪しを判断できません。このような状況では、アイデンティティが非常に大きな役割を果たします。

ユーザのプライバシーを守りつつ、データの秘密を保持していくための鍵となるのは、ユーザの認証情報を一元管理できるようにしたうえで、その管理の仕組みをエンドポイント保護に組み込むというアプローチです。従来のパスワードを使った認証フローは、パスワードの管理が面倒な割に推測が容易であり、攻撃の起点として利用されうる危険性を秘めています。そこで、新たなアプローチに基づく認証フローでは、以下のような対策を講じることが重要になります。

• 強力でフィッシングに強い認証情報を採用する：一意でありながら推測しにくく、ブルートフォースによる特定も困難なものが理想です。
• 多要素認証を利用する：何種類もの検証を併用することになるため、ユーザのなりすましを発見しやすくなります。
• 最小権限の原則を適用する：ユーザが不必要なツールやファイルにアクセスできない状態を実現できます。
• 管理者権限は、必要なときのみ付与する：ジャストインタイムの権限昇格を使えば、必要に応じて一時的に管理者権限によるアクセス権を付与できます。

ゼロトラストかつリアルタイムのアクセス制御

今日のエンタープライズ環境は、クロスプラットフォームのツールに強く依存しています。これは、各関係者がどんな状況でも生産性を発揮できるよう、様々なデバイスやプラットフォームを駆使して業務に臨んでいるからにほかなりません。

この現実を無視すれば、セキュリティギャップが発生し、エンドポイントに脆弱性が生まれることになります。

そこで、インフラ全体で一貫したセキュリティを保つための鍵となるのが、ゼロトラストネットワークアクセス（ZTNA）です。ZTNAは、暗黙的な信頼モデルに頼りません。代わりに、状況に応じて随時明示的な検証を求めていきます。つまり、ZTNAでは、アクセス要求が来るたびにデバイスや認証情報の一つ一つを確認します。その効果は以下のとおりです。

• 基本的なコンプライアンスの維持：どのエンドポイントにも、健全性チェックポイントでパッチレベルの要件や安全な構成の有効化状況などのチェックを義務づけることができます。
• 侵害を受けた認証情報の悪用防止：アクセス要求はそれぞれ分離されており、暗号化されたマイクロトンネルによりルーティングされるため、攻撃の横展開を予防できます。
• 文脈データによる粒度向上：時刻、位置情報、行動の分析結果などの要素を加味して、デバイスの状態をリアルタイムで評価できます。

その結果、環境に以下が実現します。

• 攻撃対象領域の縮小
• エクスポージャーの削減
• 修復の自動化
• リソースの保護

セキュリティ統合で脅威対応を自動化

ソリューションが様々な状況に幅広く適応していくためには、サードパーティとうまく統合できる柔軟性も重要です。柔軟性がもたらすメリットは以下のとおりです。

• 自社のITスタックとのシームレスな統合
• 組織のニーズに応じたカスタマイズへの対応
• 企業規模拡大に伴うITプロセスのスケールアップ
• 様々な国や地域のコンプライアンス要件の遵守

では、その柔軟性をもたらすものとは一体何でしょうか。それは、安全で汎用性の高いプログラミング言語です。エンドポイント管理を効率化し、各種パートナーツールの統合やカスタムソリューションの開発にも対応した言語なら、様々な状況に幅広く適応できます。

このほか、IT部門がいつでも重視している要素として、自動化が挙げられます。自動化を駆使すれば、1人で10,000台のデバイスを管理することも可能になります（それでいて、労力はほぼ1台分で済みます）。自動化の方法はシェルスクリプトやブループリントなど多種多様ですが、現在は以下のような理由から、人工知能（AI）の利用も進んでいます。

• データに基づく意思決定に役立つ情報を短時間で収集できる
• 安全な構成に関してわかりやすく詳細な提案を受けることができる
• 明確化とナレッジベースの活用によるスキル向上が期待できる
• セキュリティアラートの内容を把握し、リスク軽減や脅威の抑止に役立てられる

コンプライアンスの確保と条件付きアクセスの適用

デバイスには初期設定の一環としてベースライン構成が適用されるため、エンドユーザに届く時点で、既にコンプライアンス要件を満たした状態です。しかし、コンプライアンスにはもう一つ別の側面があります。デバイスがその後も正しい構成であるかどうかを確認していくためのベンチマークです。

ベンチマークは、コンプライアンスを確認するためのものであり、問題を修復することはできません。そこで重要になるのが、ポリシーです。モダンデバイス管理、セキュリティ、アイデンティティ管理の3つを駆使して、セキュリティ監視でテレメトリデータを収集し、集まったデータを基に、リスクを軽減するためのポリシーを自動で実行すれば、以下のような問題に対応できるようになります。

• OSやセキュリティ関連のアップデートに適用漏れがある
• 一部のセキュリティ設定を誤って無効化している
• 侵害を受けたアプリが悪意のあるコードを実行している

具体的には、上に挙げたような原因でコンプライアンス状態から逸脱したデバイスを、自動でコンプライアンス状態に復帰させることができます。

ポリシーの種類としてはほかにも、条件付きアクセスポリシーがあります。これは、ZTNAでよく利用されているもので、コンテキストを考慮してデバイスのセキュリティ状態を評価することにより、コンプライアンスを確保します。また、アダプティブアクセス（動的アクセス）ポリシーもあります。こちらは、要求のあったリソースに対するアクセス権をデバイスに付与するかどうかを判断するにあたり、様々なリスク要因を比較衡量します。

デバイスと認証情報の適切な廃棄・廃止

デバイスのライフサイクルのなかで、その重要性が見過ごされていることが特に多いのが、廃棄の段階です。最近発生したデータ侵害の推計10～20％は、廃棄方法が適切でなかったために発生したとされています。デバイスの廃棄後も残っていたデータには、以下のようなものがあります。

• Eメールやメッセージ履歴などのビジネス情報
• 暗号化なしで保存されていた秘密文書、機密文書
• サービスや機器などの重要インフラストラクチャを特定できる構成ファイル

デバイスを廃棄せずに残し、新たな従業員に再利用した場合でも、データが残っていればコンプライアンスの問題や内部関係者による脅威のリスクの温床になりえます。また、従業員に再利用する前でも、データが残ったまま保管されているハードウェアが盗まれたり、紛失したりすれば、それもデータ侵害の原因になります。

そこで、セキュリティワークフローの一環として、エンドポイントの健全性を十分に把握することが重要になってきます。具体的には、

• 行方不明のデバイスがある場所を特定する
• そのデバイスを回収するまでの間ロックしておく
• リモートワイプコマンドを実行する

このようなことができれば、正当な権限のある人物だけがデバイスの中のデータを取得できる（あるいは、誰もデータを取得できない）状態が実現するので、組織が安心して業務に集中できるようになります。

Jamfが選ばれる理由

Jamfは、Apple製品の管理とセキュリティのスタンダードというだけにとどまりません。その理由は以下のとおりです。

• Appleプラットフォームに特化した初めてのモバイルデバイス管理ソリューション
• ハードウェア、ソフトウェアを問わずApple製品と密に統合
• Apple製品のあらゆる機能を、リリース初日からネイティブサポート

私たちは、お客様のどんなニーズにも応えることができます。大規模展開にも対応できる優れた拡張性により、組織の円滑な運営と成長を支えつつ、IT部門がビジネス目標の達成に向けた業務に集中できる環境を実現します。

• コンプライアンスが確保され、すぐに使える状態のデバイスを、IT部門の介入なしで展開できます。
• 機密データのアクセス制御はもちろん可能です。
• ベンチマークによるコンプライアンス管理の機能もあらかじめ組み込まれています。
• 日々進化する脅威のリスクを抑えたり、影響を軽減したりする作業の自動化も可能です。
• 複数層にわたる包括的なセキュリティ対策の実装も、問題ありません。
• ゼロトラストセキュリティ戦略を拡張し、デスクトップとモバイルの両方に適用することもできます。
• 規模やスキルが様々に異なるIT部門にAIを導入することにも対応しています。

以上は、私たちが勝手に主張していることではありません。

Jamfは、Gartner社のマジック・クアドラントで「リーダー」に認定されているほか、G2からはBest IT Management、Best Security、Best Software for Enterpriseの3部門で表彰されています。