株式会社一休 - Jamf ProとJamf Connectで叶える”従業員ファースト”のMac管理

●Mac利用者は全体の2割

東京都港区赤坂に本社を構える株式会社一休（以下、一休）は"こころに贅沢させよう"というコンセプトのもと、ラグジュアリーなホテルや高級旅館などの予約サービス「一休.com」や厳選されたレストランの予約サービス「一休.comレストラン」など、ワンランク上の上質な体験を提供するさまざまなサービスを展開しています。

多くの日本企業がそうであるように、一休で利用する業務端末のメインはWindowsです。社員350名（2019年1月31日時点）のうち、Macを利用する従業員は約2割。業務上必要な場合に本人の希望に応じてMacを選択でき、主にプロダクトを開発するエンジニアやデザイナー、データサイエンティストが利用しています。

「特にアプリ開発にはマシンパワーが必要ですから、その時点で購入できるもっともスペックの高いノート型Macを支給しています。現在は、メモリは64GBにアップグレードした16インチのMacBook Proです。M1チップを搭載したMac（M1 Mac）に関しては13インチのMacBook Proを選択できるものの、一部開発ツールが動作しないこともありますので、動作検証をしながら導入を進めている段階です」

そう答えるのは、同社情報システム部に所属するコーポレートエンジニアの大多和亮氏。一休の情報システム部は7名のメンバーで社内のシステム開発や構築・運用・保守などの幅広い業務を行っていますが、中でもITツールの導入・運用やApple製品の管理に関しては大多和氏が担当しています。

●環境構築がわずか2日で完了

MDMに限らず、一般的に社内システムを移行するときには 情報システム部に大きな負担がかかります。しかし、Jamf Pro への移行はJamfが提供する「JumpStart」を利用したことで比較的にスムースに行えたと言います。JumpStartとは、 Jamfの専任のトレーナーがセットアップや環境に合わせたカ スタマイズなどを手助けしてくれる有料のオンボーディングプログラムです。

「Jamf Proを導入するにあたり、企業によっては初期費用に 含まれるJumpStartの価格が高いと感じるかもしれません。 しかし、実際に体験してみて、費用対効果はとても高いと感じました。2日間の研修を通して専任のトレーナーがさまざまなスキルを継承してくれましたし、Jamf Proの操作方法だけでなく、IntuneやAzure Active Directory（以下、Azure AD） との連携を含めた環境構築を短時間で終了することができました。そして、その後は特に困ることなく、スムースに管理・運用を開始することができたのが大きかったです」

Jamf Proはコンソール画面などのユーザインターフェイスが 直感的でわかりやすく、またヘルプのドキュメントやビデオが豊富に揃っているので、初めて利用する場合でも設定はしやすいと言います。しかし、たとえJamf Proの操作方法はマス ターできたとしても、会社ごとに異なる詳細な環境構築まで を自分たちの力で終えるには、初期構築と検証などを含めて 1カ月くらいはかかってしまったのではないかと大多和氏は予想します。

●ほぼゼロになったキッティング時間

実際にJamf Pro導入後のメリットを尋ねたとき、大多和氏が 一番に挙げたのはキッティング（初期設定）の自動化です。なぜなら以前のMDMは資産管理に重きを置いたツールだったため、Macのインベントリ情報を収集したり、USBの利用を禁止するなどの一部のポリシーを適用することはできたもの の、ディスクを暗号化したり、Wi-Fiの設定を配布したりといっ た細かなことが行えなかったのです。そのため、キッティングは1台1台Macの箱を開けて手動で行っていたそうです。その点、Jamf ProはWi-FiやVPN、パスコード、OSの各種機能などの設定を反映した構成プロファイルをあらかじめ1つ作っ ておけばすべての端末にワイヤレスで適用できます。手作業では1台あたり30分くらいかかっていましたが、Jamf Proを用いることでキッティングにかかる時間はほぼゼロに近づきました。

また、大多和氏はJamf Proによるキッティングの自動化は別の恩恵ももたらしたと語ります。

「Windowsが多い会社なので、情報システムのメンバーもMacには不慣れだったことがあります。そのため、Macのキッティングに関しては主に私が行っていました。Macは全体の2割ですが、それよりも多かったら手が回っていなかったと思います。Jamf Proによってキッティングが自動化できたことで属人化を防げ、業務負担を分散できたのもメリットでした」

●在宅勤務対応にも威力を発揮

一休では「Apple Business Manager」とJamf Proを連携させることで、Appleの「自動デバイス登録」（旧DEP）の仕組みを用いてゼロタッチ導入も実現しています。

「新しいMacを購入した際、電源を入れてネットワークにつながれば自動で構成プロファイルが適用されますので、情報システム部側で大きな作業は発生しません。資産管理のためのシールを端末に貼っていますので、厳密にはゼロタッチではなく"ワンタッチ"ですが、コロナ禍の今、新入社員や端末交換時にはMacを郵送するだけで済みます。テレワーク対応という面でもJamf Proの機能はとても有り難いです」

そのほか、Macのさまざまなインベントリ情報を自動的に収集できる点も評価しています。

「FileVault 2のリカバリーキーを表示してくれるのが特に便利です。Macのディスクを暗号化を解除する際に必要なのですが、これまではそれをどこに保存するかが問題でした。故障時を考えるとMacの中には保存できませんし、ファイルサーバやクラウドに保存するのもセキュリティ的に躊躇われます。Jamf Proでは管理コンソール画面から簡単に確認することができます」

そのほか、一休ではJamf Proの「拡張属性」という機能を用いて、さらに詳細な追加のインベントリ情報を収集しています。具体的には、スクリプトを作成することでキーボードの種別を取得して従業員のMacがJIS配列なのかUS配列なのかを把握し、リプレース時にすぐに該当のキーボードを搭載したMacを配布できるよう役立てています。

●アカウント管理はJamf Connectで解決

デバイス管理とは別に、Macを企業導入するにあたって多くの担当者を悩ませるのが、ユーザのアカウント（ログイン等に必要となるユーザ名やパスワード）管理の問題です。Windowsが主である多くの日本企業では一般的にActiveDirectory（以下、AD）によってアカウント管理を行っていますが、MacとADの相性はあまりよくないからです。一休でも以前試みたことがあるそうですが、問題が生じたため断念したと言います。

「MacをADにバインド（登録）することは可能です。しかし、Windowsと同じように管理しようとすると、実際の運用面ではさまざまなトラブルが起きます。たとえば、ADのパスワードを変更しても、Mac側のパスワード管理システムである『キーチェーン』側のパスワードが変更されないので、間違ったパスワードを入れてMacがロックされてしまったりするのです」

そのため、一休ではしばらくの間、Macのアカウント管理はローカルで設定することを余儀なくされていました。つまり、個人でMacを設定するのと変わらない形でアカウントの作成を従業員に任せるしかなく、情報システム部側では把握できない状態だったのです。「こうしたADとの相性の悪さがあるため、Macの管理は大変というイメージが付きまとうのではないでしょうか」と大多和氏。

この問題を解決するために一休が導入したのが「Jamf Connect」です。Jamf Connectを使えばMacをADとバインドすることなく、アカウントのセキュリティを維持できます。具体的には、IDaaS（Identity as a Service）で利用するIdP（Identity Provider）の認証情報をMacのログインID・パスワードと連携させることができ、MicrosoftのAzure ADやOktaなどの認証情報でMacにログインすることが可能です。

「当社では、ADと連携しているAzure ADのログインID・パスワードを使ってMacにログインできるようにしています。セキュリティの面から情報システム部でアカウントを管理できるようになったことは非常に大きいですし、従業員に対してはAzure ADの認証情報をメールなどで伝えるだけで済むのでとても楽です。また、パスワードを1つだけ覚えておけば、社内で利用する各クラウドサービスにも、Macにもログインできるので従業員の負担も減ったと思います。今は随時展開しているところですが、これが完了すればパスワード忘れの問題も減ると思います」