企業へのMac導入に関する5つの迷信とは

はじめに

企業向けMacは増加傾向が続いており、実際のケーススタディを見ても、様々な規模の有名企業が企業向けMacの導入に成功しています。しかし、自社がいざ業務用にmacOSデバイスを採用しようとすると、強い反対に遭うことも少なくありません。

このような反対の声があがる理由は様々です。macOSは管理が大変そうであるという印象を理由に反対する人もいれば、複数のプラットフォームに対応することにより組織のセキュリティ状態に悪影響が及ぶのではないかという懸念から反対する人もいます。

もちろん、複数のプラットフォームのデバイスに対応すれば、1つのプラットフォームだけの場合よりもデバイスの管理やセキュリティ関連の業務が複雑化することは否定できません。しかし、技術的な課題やプロジェクトに取り組む場合と同じように、簡単な計画を立て、適切なソリューションを用意すれば、企業規模の大小を問わずIT部門がMacコンピュータの初期設定をシンプルに進めていくことは十分可能です。具体的には、インフラ全体にわたって導入、管理、セキュリティを自動化し、Windows PCと同じ管理フローに組み込むことが可能になります。

このブログでは、Macの導入に関してよくある迷信を5つ取り上げ、経験豊富なIT部門の方々や、Appleデバイスにあまり馴染みのない方に向けて、大量のMacデバイスの導入、管理、セキュリティ確保のどれもがWindows PCよりも格段に簡単に実践および自動化できることを説明していきます。

コスト：Macは高すぎる？

エンタープライズでMacの導入に反対する意見として最も多いのは、Appleコンピュータの調達コストを理由とするものではないでしょうか。実際、Macデバイスの業務利用に反対する人が初期費用を理由に挙げることは少なくありません。しかし、ITの担当者や責任者であれば、初期費用だけに着目しているわけにはいきません。Macデバイス導入の真の価値を見極めるには、もっと多くの要素に目を向ける必要があります。

例えば、Appleでは自社のサプライチェーンを厳格に管理しており、製品に使用する部品から設計に至るまでのすべてで堅牢性を追求しています。そのため、Macコンピュータは多くのPCよりも寿命が長く、長期的に見れば節約になる傾向にあります。具体的には、5年間運用したMacの場合、他のデバイスよりも1台あたりの総保有コスト（TCO）が547ドル安いと言われています。これには、Macでは必要なアプリやサービスが最初から揃っている、修理が少ないなどの要因が考えられます。

ビジネスに対する価値の指標としてはほかにも投資収益率（ROI）がありますが、そちらは186％となっています。ROIは、単なる金銭面の指標ではありません。デバイスがそのライフサイクル全体にわたり、ビジネスにどれほどの恩恵をもたらしたかを定量化した指標です。また、Macに関しては、導入した企業を対象にForrester社がその「総経済効果」を調べたTotal Economic Impact（TEI）調査のデータがあります。同調査の主な結果は以下のとおりです。

• デバイスの管理とサポートにかかるコストが約3分の1減少
• エネルギー消費量が他のPCに比べて56％減少
• 社内外からのデータ侵害のリスクが15％低下（紛失または盗難に遭ったデバイスによる侵害リスクに至っては、90％低下）
• デバイスのパフォーマンスと信頼性の高さにより、従業員の生産性が3.5％向上
• Macは、4年使用後の残存価値が他のPCの3倍

互換性：インフラがWindows用だから難しい？

クラウドベースのアイデンティティプロバイダ（IdP）が主流になる以前からMacとWindowsのサポートに当たってきたベテランの方であれば、Active Directory認証情報を使った認証のためにmacOSデバイスをWindowsドメインにバインドする作業が苦い記憶として残っている方も多いのではないでしょうか。なぜなら、このバインドが何らかの原因で「破損」すると、新規のユーザであればログインできなくなり、その時点でログインしていたユーザであれば企業リソースにアクセスできなくなっていたからです。この点は、当時のサポート担当者（とエンドユーザ）の大きな不満の種でした。

そのため、後に登場したクラウドベースの認証は、まさに福音と言うべきものでした。

クラウドベースの認証が普及した結果、ERP（Enterprise Resource Planning：企業リソース計画）やCRM（Customer Relationship Manager：顧客関係管理）などの主要なエンタープライズアプリケーションがMacでもシームレスに使えるようになり、Macの互換性の問題は大幅に改善していきました。また、クラウドへの移行が進むにつれて、生産性向上ツール（Microsoft 365）、メッセージングツール（Slack）、コラボレーションツール（Zoom）など、事業継続のための定番ソフトも多数、クロスプラットフォーム対応が進みました。

IT担当者としては、Windowsデバイスと一緒にMacを管理する複雑さを最小限に抑えることが重要です。そのための鍵となるのが、様々なエンタープライズ向けソリューションの連携であり、その連携を可能にするのが統合です。以下の有名ソリューションを例に、Windowsが中心の環境で問題なくMacを使っていくうえで統合がどのような役割を担っているかを見てみましょう。

• Microsoft Entra ID：ユーザIDと権限を一元管理できます。
• Oktaシングルサインオン（SSO）：アプリやサービスへのアクセスを保護します。
• プラットフォームシングルサインオン（PSSO）：デバイスを使い始めたその瞬間から社内の保護されたリソースにアクセスできるため、Macの初期設定が効率化します。
• Splunk：エンドポイントのテレメトリデータを収集および分析し、セキュリティに関してデータに基づく意思決定を可能にします。

管理：Macは標準化もメンテナンスも難しい？

デバイスのライフサイクル管理には、様々な要素が密接に関わっています。この点は、どんなプラットフォームであって変わりません。そのため、組織に強固なセキュリティを実現するためには、アップデートやセキュリティパッチの即日サポート、アプリの導入、ポリシーベースのコンプライアンス管理などの機能が不可欠です。

Windowsデバイスの管理には、Windowsをネイティブサポートしているソリューションが最適です。同じように、Macも、Macのネイティブ機能に完全対応しているソリューションを採用した場合に最適な管理が実現し、ユーザエクスペリエンスの質を落とさずにデバイスのパフォーマンスを最大化できます。また、自動化を駆使すれば、IT部門がMacに一切触れることなくデバイスの初期設定を完了できます。これはゼロタッチ導入と呼ばれるもので、IT管理者とエンドユーザの時間節約に寄与します。具体的には以下のとおりです。

• Macの電源を入れた時点ですぐに初期設定を開始
• ベースラインとベンチマークとなるセキュリティ構成を適用
• 生産性を発揮するうえで必要なアプリのインストールとサービスの構成を完了
• システムのアップデート、ソフトウェア、セキュリティパッチを最新の状態に維持
• 業界や地域の要件に対するコンプライアンスを確保

企業の規模によっては、IT担当者一人が数百、数千、時には数万台ものデバイスを抱えているのが現実ではないでしょうか。いずれにしても、デバイスの管理がIT担当者にとって重労働になっているような状況は、ビジネス価値の最大化という観点から見て好ましくありません。あくまでも賢く効率的に管理していく必要があります。管理者が重要ではあるものの何度も繰り返し発生する作業に追われ、プロセスの改善を進めたり、ビジネス目標達成や各種施策の推進につながる業務フローの立案に取り組んだりすることにスキルや時間を使えないようでは、貴重な人的資源を無駄にしているのと同じです。

セキュリティ：Macはネットワークに脆弱性を生む原因になる？

セキュリティとプライバシーに対するAppleの取り組みは業界屈指です。これは、Appleがセキュリティとプライバシーを根本哲学とし、それに基づいてハードウェアやソフトウェア、さらにはそこで実行するサービスの設計に取り組んでいるからにほかなりません。『Appleプラットフォームのセキュリティ』という資料によれば、Appleでは「プライバシーは基本的人権である」という信念に基づき、アプリがユーザのデータを使用する方法や条件をユーザの側で決定できるよう、様々な仕組みやオプションをデバイスに組み込んでいるといいます。これは、エンタープライズセキュリティに関するWindowsのアプローチとは対照的です。しかし、ここでさらに重要なのは、デバイス管理やセキュリティに関するAppleのフレームワークをネイティブサポートしたソリューションであれば、いずれも最高峰のセキュリティを誇るMacの堅牢なソフトウェア、サービス、機能が土台になっているという点です。Appleのハードウェアとソフトウェアに強力なセキュリティとユーザプライバシーを実現する仕組みとしては、以下のものが挙げられます。

• エンドツーエンド暗号化：iMessageによる通信も含め、保存データと転送中データのすべてが暗号化されます。
• Gatekeeper：コード署名の検証により、侵害を受けたアプリの実行を防止します。
• Secure Enclave：生体認証により認証の安全性を確保しつつ、専用のセキュリティコプロセッサによりデータも保護します。
• セキュアブート：信頼チェーンの一環としてOSの完全性を検証します。具体的には、起動時にシステムコードやセキュリティポリシーの署名を検証するなどのプロセスが発生します。
• Transparency, Consent and Control（TCC）：アプリがユーザデータにアクセスしたり、ハードウェアコンポーネントを使用したりなどする場合にユーザに明示的な同意を求めるフレームワークで、ユーザのプライバシー保護に寄与します。
• システム整合性保護（SIP）：重要なシステムファイルの上書きや、メモリ内のカーネル改ざんを防止します。
• ロックダウンモード：攻撃対象領域を絞り込むことにより、持続的標的型脅威（APT）をはじめとする高度な脅威のリスクを抑制します。

Macに関して脆弱性の影響やリスクを最小限に抑えるための対策としては、以下が考えられます。

• Macの初期設定にはゼロタッチ導入を活用しましょう。エンドユーザが初めてデバイスを起動した時点ですぐにセキュリティを確保できます。
• 安全な構成を適用してセキュリティのベースラインを確立するとともに、ポリシーベースの管理でコンプライアンスを確保しましょう。
• 管理対象のアプリは、信頼できるソースからのみ導入しましょう。そうすれば、アプリの正統性を確実に確認できます。また、アプリのアップデートは自動化しましょう。
• 自動のパッチ管理プロセスを導入しましょう。常に最新バージョンを使用している状態を確保できるので、既知の脆弱性を緩和できます。
• 管理の仕組みにエンドポイントセキュリティとアイデンティティベースのアクセス管理（IAM）を統合し、エンドツーエンドの可視性を確保しましょう。
• エンドポイントの能動的監視とテレメトリデータ分析を活用しましょう。コンプライアンス違反や脅威の早期発見につながります。
• SIEMソリューションとシームレスに統合しましょう。エンドポイントの健全性を詳しく把握できるほか、脅威ハンティングの作業にも役立ちます。
• インシデント対応を自動化し、ベースラインのセキュリティ状態を維持しておきましょう。インシデント対応や修復作業を迅速に進めていくうえで役立ちます。
• ゼロトラストのアーキテクチャを活用しましょう。ネットワークの脅威の予防から認証情報の不正利用の防止、侵害を受けたデバイスの企業リソースへのアクセスの抑止まで、幅広く効果を発揮します。
• デバイスインベントリと修理リクエストの管理は段階的に改善を進めましょう。それが、各エンドポイントをライフサイクル全体にわたってサポートすることにつながっていきます。

知識：自分たちはWindowsのエキスパートであって、Appleのことはわからない？

万能のセキュリティ対策など存在しません。ソリューションが違えば、保護の範囲もレベルも様々に異なります。そのため、自社固有のニーズに適したソリューションを選ぶことが重要になります。この点は、どのプラットフォームも等しく変わるところはありません。

エンタープライズ分野のデバイスに関しては現在、Microsoftが非常に大きな市場シェアを握っています。しかし、業務用デバイスを従業員が自ら選べる「従業員選択制」を導入する企業が増えた結果、Apple製品に対する需要も大きくなりつつあります。Apple製品が選ばれる理由は以下のとおりです。

• TCOが低く、ROIが高い
• 各種エンタープライズソフトウェアに対応している
• 標準化と管理が容易
• データのセキュリティとユーザのプライバシーを両立

上記はいずれも、Macが生産性を低下させるどころか、むしろ引き上げ、業務に大きな価値をもたらす証であると言えるでしょう。

もっとも、MacとWindowsの両方が混在する組織では、管理やセキュリティに関する業務フローやプロセスを構築するにあたり、データ侵害の原因になりうるセキュリティギャップの解消に取り組む必要があり、その際に知識が非常に重要な役割を果たします。この点、Jamf for Macは、Microsoft Intuneなどのソリューションと共存できる（既存のソリューションに取って代わるものではない）点が魅力です。Jamf for MacとIntuneなどのソリューションを統合すると、コンプライアンスを維持しつつ管理とセキュリティの適用範囲をインフラ全体に拡大できるため、WindowsとMacの格差がなくなり、両者のセキュリティギャップが解消します。

マルチプラットフォーム対応の管理とセキュリティを実現するうえでもう1つ重要なのが、エンドポイントとしてのMacにもWindowsと同等の強固なセキュリティ状態を確立するためのトレーニングです。このトレーニングは、Windows管理者が培ってきたスキルをベースとしたものでなければなりません。Jamfでは、インストラクターによる講義形式のコースから自習形式のコースまで、Apple製品の取り扱いに関してIT担当者の皆様の知識拡充やスキルアップに役立つコースを各種ご用意しています。また、必要に応じて有償・無償のテクニカルサポートもご利用いただけます。ぜひご活用ください。

まとめ

この記事では、業務デバイスとしてのMacの導入に関してIT部門が抱く懸念の多くが迷信であることを説明してきました。IT責任者の方も管理者の方も、Macの導入には大きなメリット（TCOの低さ、業界最高峰のセキュリティとプライバシー、各種エンタープライズアプリケーションとの互換性）があることがおわかりいただけたのではないでしょうか。

優れたソリューションを活用し、MacとWindowsのどちらのデバイスも同じように管理すれば、生産性が高まるだけでなく、業務フローも効率化します。また、コンプライアンス確保や、会社全体のセキュリティ強化にもつながります。

最後に、各種のソリューションやトレーニングに投資する効果です。IT担当者にとっては、負担を増やすことなくWindows、Mac双方に対応できる状態が実現するため、関係者に対する価値提供に取り組む余裕が生まれます。経営層にとっては、コンプライアンスの維持、業務効率化、コスト削減など、ITが事業運営や会社の目標達成に役立つようになる点が大きなメリットです。