Jamf Safe Internetによるオンデバイスコンテンツフィルタリング

オンデバイスコンテンツフィルタリングはサイバーセキュリティを飛躍的に向上させ、生徒のVPN使用という特有の問題を抱える学校のエンドポイントをよりセキュアにします。ここではJamf Safe Internetを最大限に活用するための構成について解説します。

August 25 2023 投稿者

Anthony Darlow

A high school student on a MacBook throwing his arms up in angry frustration when he meets Jamf Safe Internet's On-Device-Content-Filtering.

未来のサイバーセキュリティに踏み出しましょう。

Jamf Safe Internetは先頃、オンデバイスコンテンツフィルタリングODCF)を追加しました。

AppleはiOSとiPadOSの一部としてこのテクノロジーを提供しています。ODCFの強みは、デバイス上で直接ネットワークをフィルタリングできるため、より包括的なフィルターが可能になることです。

オンデバイスコンテンツフィルタリングで生徒とデバイスを保護。

Jamf Safe Internet最新リリース

今回のリリースで、ODCFに、ドメイン名に加えて、IPアドレスのフィルタリングも追加されました。これはJamf Safe Internetでお馴染みの機能ですが、ODCFではこれよりもはるかに広い範囲が対象となり、

URL全体やポートをフィルタリングし、特定のアプリからのトラフィックを識別できるようになりました。また、ODCFはVPNよりもネットワークスタックの下位の層に位置するため、生徒がVPNをインストールしても、デバイスはトンネルを通過する前にコンテンツをフィルタリングします

この技術はプライバシー保護にも優れ、リクエストからは大半の機密データが除外されます。またODCFはデバイス上でトラフィックデータを評価するため、評価のためにJamfのセキュリティクラウドに行く必要がありません。

このリリースは単にODCF機能をJamf Safe Internetに追加しただけではなく、デフォルトのベクタリング方法をVPNベクタリングからAppleのDNS設定ペイロードへと変更。この“DNS over HTTPS”(DoH)のおかげでJamf Safe Internetはウェブベースの脅威防御を提供し続けることができ、

Appleのネイティブフレームワークを最大限に活用します。

Jamf Safe Internetを初めて利用される方へ

このリリースはiOSおよびiPadOS 16以降のデバイス向けに最適化されています。

Jamf Pro

  • Jamf Safe Internetの新規カスタマーで、バージョン16より前のiOSまたはiPadOSを実行しているデバイスをお持ちの場合、これらのデバイスにレガシープロファイルを導入する必要があります。
  • Jamf Proを使用し、バージョン16より前のiOSまたはiPadOSを実行しているデバイスにJamf Safe Internetを導入する場合は、Jamf Safe Internetドキュメント「Jamf ProでJamf Safe Internetを始める」を読み、指示に従ってください。

「関連する構成ファイルをダウンロードし、Jamf Proの指示を完了させてください」の指示に従い、Jamf Safe Internetコンソールから「監視対象外のiOSおよびiPadOS(またはバージョン16より前の監視対象)」の構成ファイルを選択します。

Jamf Pro Managed deployment screen: Image outlines visually steps to take, which are laid out in the copy and links above.

あとは指示通りに進めてください。ただしこの構成プロファイルは、iOS 16より前のiOSまたはiPadOSで実行されているデバイスにのみ適用してください。これにはスマートグループを使用します。iOSやiPadOS 16以降とそれより前のバージョンの両方を使用している環境では、このプロセスを繰り返しますが「監視対象のiOSおよびiPadOS (16以降)」の構成プロファイルを選択してください。

Jamf School

Jamf Schoolを使って、バージョン16より前のiOSまたはiPadOSを実行しているデバイスにJamf Safe Internetを導入する場合、Jamf Schoolのシングルクリック接続はご利用いただけません。その代わり、

  1. Jamf Safe Internetコンソールにログインし、デフォルトのアクティベーションプロファイルを選択し、
  2. 「UEMを選択する」で「Jamf School」を選んでください。
  3. 「OSを選択する」で「監視対象外のiOSおよびiPadOS(またはバージョン16より前の監視対象)」を選択し、

コンソールから構成プロファイルをダウンロード。

Jamf School Managed deployment screen: Image outlines visually the steps to take, which are laid out in the copy above.

ダウンロードが完了したら、カスタムプロファイルとしてJamf Schoolにアップロードし、 Jamf Trustアプリと共に、 バージョン16より前のiOSまたはiPadOSを搭載したデバイスにのみにスコーピングします。スマートグループを使ってこれを行います。

iOSやiPadOS 16以降それより前のバージョンの両方を使用している環境では、16以降のデバイスには内蔵のシングルクリック接続を使用し、16より前のiOSやiPadOSで実行されているデバイスには上記の方法を用いてください。

Jamf Safe Internetを既にご利用の方

ODCFのリリースより前にJamfSafe Internetをデバイスへ既に導入済みの場合、すべてのデバイスはレガシープロファイルを使用するようになります。

  • 16より前のiOSまたはiPadOSバージョンで実行されているデバイスをお使いの場合は、対応の必要ありません。Jamf Safe Internetは引き続きレガシー形式(VPNベクタリング方式を使用し、ODCF機能なし)で実行されます。
  • iOSまたはiPadOS 16以降で実行しているデバイスをお持ちで、新しいDoHおよびODCF機能を利用したい場合、レガシー導入からデバイスをマイグレーションする必要があります。

マイグレーションはシンプルなプロセスですが、ここで説明するすべてのステップに従うことが極めて重要であり、そうしなければ、デバイスが期待通りの方法でコンテンツをフィルタリングできない恐れがあります。

ステップ1:新しいDoHとODCF構成が入力されたアクティベーションプロファイルを作成する。

  1. Jamf Safe Internetコンソールにログインし、デバイス → アクティベーションプロファイル → 「プロファイルの作成」を選択し、
  2. プロファイルに任意の名前を付けます。これが新しいプロファイルであり、以前使用していた古いレガシープロファイルではなく新しい方法を使用していることがわかるように、名前にDoHやODCFを含めることをお勧めします。
  3. 「保存して作成」を選択し、
  4. 次のウィンドウでは設定を変更せず、「保存する」を選んでください。
Jamf Safe Internet

ステップ2:Jamf SchoolでJamf Safe Internetプロファイルを作成する。

  1. Jamf Schoolコンソールにログインし、プロファイル → 「プロファイルを作成する」を選択。
  2. iOS →「デバイス登録」を選択してプロファイルを作成し、
  3. プロファイルに任意の名前を付けます。導入時に新しいプロファイルであることが分かりやすいように、DoHおよび/またはODCFを含んだ名前をお勧めします。
  4. 「終了する」を選択。
  5. ドロップダウンリストから「Safe Internet」ペイロードを選び、「設定する」をクリック。
  6. ドロップダウンメニューから、作成したアクティベーションプロファイルを選択し、
  7. 「保存」します。
Activation profile screen from Jamf School showing a dropdown to select Jamf Safe Internet.

ステップ3:デバイスからレガシーを削除する。

新しいDoHとODCF機能を擁するJamf Safe Internetを導入する前に、まず

  • デバイスから古いベクタリング方式を削除。
  • Jamf Safe Internetからデバイス記録を削除します。これはとても重要なことです。

削除方法:

  1. Jamf Schoolで、デバイスから現在のJamfSafe Internetプロファイルのスコープを解除。グループや設定の構成によって環境は異なりますが、Jamf Safe Internetプロファイルのみスコープを解除してください。
  2. デバイスからJamf Trustアプリのスコープを解除します。グループや設定の構成によって環境は異なりますが、Jamf Trustのみスコープを解除してください。この時点で、デバイスはJamfSafe Internetによるフィルタリングを受けられなくなりますのでご注意ください。
  3. JamfSafe Internetコンソールに移動し、デバイス → デバイスグループに進みます。
  4. (Jamf School内でプロファイルとJamf Trustが削除されていることを確認後)デバイス横のボックスにチェックを入れて、移行するデバイスを選択。
  5. 「その他のアクション」をクリックし、「デバイスの削除 」を選択。
  6. 次のウィンドウで情報を確認し、「削除」を実行してください。
Jamf School screen visually showing the process outlined in above copy.
Jamf School screen visually showing the process outlined in above copy.
Screen showing

ステップ4:ステップ2で作成した新しいプロファイルを使用して、Jamf Safe Internetを導入する。

デバイスがレガシー導入から完全に削除されたので、ODCFを使用してデバイスにJamf Safe Internetを再導入することができます。

  1. Jamf Schoolにて、ステップ2で作成したDoHとODCFの構成プロファイルでデバイスをスコーピングします。DoHとODCFが適しているのはiOSとiPadOS 16以上であることにご留意ください。
  2. Jamf Trustをデバイスにスコーピングします(管理対象アプリの設定は必要ありません)。

この時点で、デバイスは再びJamf Safe Internetによって保護され、Jamf Safe Internetコンソールにデバイスが表示されるようになります。

デバイスがDoHとODCFを使用していることを確認する方法

新たな導入か旧式からの移行かにかかわらず、以下の方法でデバイスにDoHとODCFペイロードが適用されているか確かめることができます。

  1. 設定 → 一般へ進み、
  2. VPN、DNS、デバイス管理を選択。デバイスにDoHとODCFペイロードが適用されていない場合は、VPNとデバイス管理しか表示されません。
  3. 「制限およびプロキシ」の下に「DNS」と「コンテンツフィルタリング」が表示されます。

ちなみに、VPNが導入されていない場合は「VPN」を選択しても構成は表示されません。

Screen of device settings with sections from above description highlighted.

ODCFやDoHがブロックした場合、ユーザにはどのように表示されますか?

Jamf Safe Internetは3つの方法で生徒と教師を保護します:

  • 特定のカテゴリーをブロックすることで、生徒が不適切なコンテンツにアクセスするのを防ぎます。
  • Googleセーフサーチを適用し、不適切な検索結果や画像は非表示にできます。
  • フィッシングリンクやスパムウェブサイトなど、Webベースの脅威から生徒と教師を守ります。

デバイス上での表示はブロックされるコンテンツによって異なります。カテゴリーによってブロックされた場合は、ODCFプロトコルの標準であるOSブロックメッセージが表示されます。

Block screen showing: Restricted Site. You cannot browse this page at

一方でブロックされたコンテンツがフィッシングサイトのようなWebベースの脅威防御の場合、ユーザにはJamfブランドのブロックページが表示されます。

Block screen reads: [Jamf logo] Security Risk Identified The site you are attempting to view is insecure and has been blocked. For more information, please contact your administrator. Site classification: Phishing.

IPアドレスをブロックするには?

まずカスタム規則 としてポリシーに追加する必要があります。

  1. Jamf Safe Internetコンソールで、ポリシー → コンテンツポリシーに移動し、ニーズに適した正しいレベル (組織単位)で編集していることを確認します(ルーツ、リード、グループ)。
  2. 「規則をカスタマイズする」を選択。
  3. 「カスタム規則を追加」ボックスにブロックしたいIPアドレスを入力します。
  4. 「ブロック」を選び、
  5. 「カスタム規則を追加」を選択することで、
  6. カスタム規則がリストに表示されます。
  7. これらの変更がデバイスに配信されるよう、必ず「保存して適用する」を選択してください。

IPアドレスのフィルタリングが可能なのはODCFのおかげであること、iOSおよびiPadOS 16以降のデバイスでのみ利用可能であることを忘れないようにしてください。

Jamf Safe Internet console showing the content policy screen.

ODCFは学校にとってどのようなメリットがありますか?

Jamf Safe Internetのリリースは、Appleのネイティブテクノロジーと相乗効果を生み出し、より多くの機能を実現するだけでなく、包括性や堅牢性も強化します。IPアドレスのブロッキングは必要な人にとっては素晴らしい機能であり、さらにVPNよりネットワークスタックの下位層に位置するため、デバイスにVPNが設定されていてもフィルタリングが可能です。この待望の追加であるODCFは未来の機能性をもたらしてくれるでしょう。

DoHとODCFの使用には、マイグレーション作業が必要となりますが、賢い生徒がIPアドレスやVPNを使ってフィルタリングをバイパスする可能性を考えると、作業よりもメリットの方が大きくなります。

もしあなたの学校でこのようなことが起きたことがないのなら、そうなる前にDoHとODCFに移行するのが賢明です。これこそJamf Safe Internetの未来です。

今すぐJamf Safe Internetを無料でお試しください

Jamfブログの購読

市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。