Jamf Proのコンプライアンスベンチマーク：複雑なスクリプト作業をシンプルなクリック操作に

Jamf ProでmacOSのコンプライアンス業務を自動化し、スクリプト作業を廃止

講演者：

• Henk Codfried氏（UMC Utrecht、Mac管理者）
• Jan Voženílek（Jamf、シニアプロダクトオーナー）
• Milind Patel（Jamf、製品管理担当ディレクター）

JNUC 2025にて、Jamf Proを使用すると、セキュリティ関連の複雑なスクリプト作業をシンプルなクリック操作に置き換えられるとお話しました。新しい内蔵コンプライアンスベンチマーク機能を使用すれば、macOSデバイス全体に業界標準のベースラインを効率的に強制適用し、レポートも作成できます。この自動ワークフローなら、手作業でスクリプトを作成する必要はありません。さらにスタンドアロンのJamf Compliance Editorで、Macコンピュータのセキュリティ状態を一元的に監視し、修復およびレポートできます。

要点：

• スクリプト作業からクリック操作に移行：煩雑で手間のかかる手動でのコンプライアンス用スクリプトの作成作業を、Jamf Pro内蔵の全自動ワークフローで置き換えられます。
• そのまま監査に使えるレポートを作成：Center for Internet Security（CIS）ベンチマークや米国立標準技術研究所（NIST）などのベースラインに即した監査用ドキュメントを、コンソールから直接作成できます。
• コンプライアンスを維持：選択したセキュリティ構成を継続的に監視および強制適用して、macOSデバイス全体を堅牢に保護できます。

セキュリティベンチマークを自動化すべき理由

セキュリティベンチマークを自動化すれば、ユーザの生産性を損なうことなく、macOSデバイス全体を日和見的な攻撃から保護し、規制要件への準拠を確保して、会社の評判低下を防止できます。規制の厳しい業界において、ベンチマークへの準拠は必須事項です。他の業界でも、セキュリティギャップを解消しリスクを軽減するうえで、ベンチマークへの準拠は効果的です。

しかし、どのような状況にも通用する手法というものはありません。コンプライアンスを効果的に確保するには、組織固有のニーズやユーザ業務に合わせて制御をカスタマイズする必要があります。JNUCセッションでPatelが述べたように、「MacやiPhoneのセキュリティをどれほど高めようと、ユーザの生産性に寄与しなければ意味がありません」。目指すべきは、業務の障害ではなく支援となる強固なセキュリテイl体制を築くことです。Jamf Proの自動化機能を使用すれば、強固な基盤を構築し。必要に応じて限定的な例外を作成して、セキュリティと生産性を両立できます。

JamfにおけるmacOSコンプライアンスの進化の歴史

従来、管理者が業務用デバイスを監査および修復するには、手作業でスプレッドシートやカスタムスクリプトを作成する必要があり、時間がかかるうえに間違いも多く発生していました。しかし、macOSセキュリティコンプライアンスプロジェクト（mSCP）が立ち上げられ、コミュニティ製のスクリプトが提供されるようになったことで、作業の効率化が大幅に進みました。さらに、コンプライアンス関連の可視化機能とダッシュボードを備えたJamf Protectや、mSCP用グラフィカルユーザインターフェース（GUI）を備えたJamf Compliance Editorも登場しました。これらの一つひとつが改善につながったのは事実ですが、お客様のフィードバックは明確で、「これらが統合された一元的なワークフロー」が求められていました。Jamfはこのご要望に応えるため、コンプライアンスベンチマークとJamf Proの直接統合を昨年のJNUCで発表し、2025年6月に一般公開して、完全自動のネイティブエクスペリエンスを実現しました。

Jamf Proでコンプライアンスベンチマークを導入および管理する方法

Jamf Proのインターフェース上で数回クリック操作をするだけで、CISやNISTなどの業界標準のベンチマークを作成、監査、適用できます。このワークフローは、シンプルかつ素早く、全自動で進められるように設計されています。

実際のプロセスは以下の通り明快です。

1. ベンチマークの作成：Jamf Proのコンプライアンスベンチマークのセクションに移動します。CISやNISTなどのベースラインを選び、［Monitor only］（監視のみ）または［Monitor and Enforce］（監視と強制）を選択します。

2. 割り当ておよび展開：ベンチマークの適用対象となるスマートグループをスコープで指定します。Jamf Proが必要な構成プロファイル、スクリプト、拡張属性を自動で生成し、展開します。

3. 監査およびレポート：ルールレポートを使用し、業務用デバイス全体のコンプライアンス状況を把握します。個別のルールの詳細を見て、コンプライアンスに準拠または違反しているデバイスを特定し、CSVファイルにレポート全体をエクスポートできます。

4. ドキュメントの生成：監査用に、指定のmacOSバージョンの構成を詳細にまとめた包括的なドキュメントを生成できます。生成されたドキュメントは、そのまま監査員や関係者に渡すことができます。

上記のワークフローにより、スクリプト、構成プロファイル、レポートを個別に管理する必要がなくなり、エンドポイントセキュリティ担当者やIT管理者の時間と労力を大幅に削減できます。

コンプライアンスベンチマークの今後の展望

Jamfでは現在、対応ベースラインの拡充、スコープ機能の強化、新テクノロジー（宣言型デバイス管理（DDM）など）やiOSサポートのための準備を進めています。開発のロードマップは、お客様のご意見とセキュリティ動向の変化をそのまま反映し構築しています。

今後の主な強化予定（アップデート）は以下のとおりです。

• 対応ベースラインの拡張：現在未対応のmSCPベースライン（DISA STIG、NIST、CMMCなど）のすべてを追加するべく開発を進めています。
• スコープの柔軟性向上：ベンチマークのスコープの制御をよりきめ細かくするため、スタティックグループを含む複数のグループにスコープを設定できる機能を近日中に公開予定です。
• 監査の強化：変更管理ログについて、従来の汎用エントリである「Jamf Pro system」ではなく、管理者が行った変更の内容を正確に示すように改善を進めています。
• テクノロジーの進歩に対する準備：Appleデバイス管理の今後の展開に合わせ、ブループリントおよびDDMとの統合を最優先で進めています。また、iOSコンプライアンスベンチマークのサポートも予定しています。

まとめ

• 自動化の登場：Jamf Proのコンプライアンスベンチマークで、macOSへのセキュリティベースラインの適用とレポートを自動化できます。
• 統合重視：mSCP、Jamf Compliance Editor、Jamf Protectレポートの各種機能が、Jamf Proの1つのワークフローに統合されました。
• 監査対応：数回のクリック操作で、コンプライアンスおよび監査用の詳細なドキュメントを生成できます。
• 明るい未来：対応ベンチマークの拡大、iOSや最新の管理テクノロジー（DDMなど）のサポートを導入予定です。