note株式会社-いま話題のnote担当者に聞く快適な仕事環境作りとセキュリティ向上の考え方

メディアプラットフォーム「note」を運営するnote株式会社では独自の企業文化を反映したコーポレートバリューに基づき、従業員が安全かつ快適に仕事ができるようにするため、「Jamf Pro」による管理ポリシーを展開しています。Jamf Proのインベントリ情報を用いたSlack Botを独自開発するなど、その活用はクリエイティブに富んでいます。また、そもそも堅牢なMacのデバイスセキュリティを可視化し、さらにエンハンスするために、「Jamf Protect」の導入も行い、すでにその成果が見え始めています。同社で社内のIT環境のすべてを担当するコーポレートITエンジニアの東耕輔氏に、Jamf ProおよびJamf Protect導入の経緯と活用について聞きました。

Jamf Proによる環境構築
インベントリ情報の有効活用
Jamf Protectによるセキュリティ強化

noteにおけるコーポレートITの構築と運用

● 大切な6つのカンパニーバリュー

note株式会社(以下、note)では、「クリエイター視点で考えよう」「多様性を後押ししよう」「クリエイティブでいこう」「つねにリーダーシップを」「すばやく試そう」「おおきな視点で考えよう」の6つをコーポレートバリューに掲げ、従業員がこれらへコミットすることを重要視しています。なぜなら、これらのバリューを体現することが従業員の能力開発につながり、サービス成長につながると考えるからです。「このうち、”コーポレートエンジニアリング”の文脈の中では、『おおきな視点で考えよう』『クリエイティブでいこう』というバリューを特に大事にしています。というのも、コーポレートIT環境が担う2つの役割は『社員が安全に仕事ができるようにすること』と、『社員が快適に(できれば楽しく)仕事ができるようにすること』と考えるためです。従業員が安全に仕事をできるようにするには大きな視点で考えたほうがいいと思いますし、さらに快適に働ける環境を構築するうえでは私たちにもクリエイティビティが求められます」

● Jamf Proによる環境構築

Jamf Proの導入や運用に関しても、こうしたnote特有のカルチャーが大きく関わっています。「ちょうど社内がBYODから端末対応に動こうとしていた2019年6月に私が入社し、その実務を担当しました。何らかの端末管理の仕組みが必要であることは経営側も認識していたので、問題は『どのMDMを選択するか』でしたが、Appleと密接な関係にあるJamf Proは比較的すんなりと導入できました」というのも、noteではBYODの時点で社内のほとんどの従業員がMacを利用しており、『シンプルに考えよう』というCEO(加藤貞顕氏)が大事にしている考え方から業務端末はMacに寄せていくことが決まっていたためです。つまり、当初から非常にMacを管理しやすい土壌が整っていたのです。

「Jamf ProによるMacの管理は、従業員が利用するアプリをポリシーで配ったり、FileVaultや(Intel Macの場合)EFIパスワードを設定したり、Wi-Fiやプリンタの設定を配布したりなど一般的なもので、特別なことはしていません」

東氏は別の会社でレガシーな環境下でのPC管理に従事してきた経験から、管理には不具合やバグがつきもので「意図したとおりに動く」のを感じたことがなかったと言います。

「その点、Jamf ProはmacOSのアーキテクチャーに準じて開発されていることもあり、操作や動作がスムースで非常に助かっています」

note株式会社コーポレートITエンジニア東耕輔氏。2008年金融系SIerに新卒で入社し、開発環境や標準化ツールの開発に従事したのち、2011年に私立大学へ転職。情シスとしてのキャリアを開始し、2019年6月から現職。note社内のIT環境に関するあらゆることを担う。

Jamf Proの情報を活用したSlack Botの作成

●オフィスに誰がいるかがわかる

noteでは、従業員が安全に働ける環境をJamf Proによって整えただけではなく、それをよりクリエイティブな形で活用している点にも注目です。

「Jamf Proで取得した情報を用いて『現在誰が会社にいるか』を知らせてくれるSlack Botを作成しました。具体的には、Jamf Proで取得したインベントリ情報からオフィスのGIP(グローバルIPアドレス)に該当する端末をリストアップして、そのデータをGoogle App Scrip(t GAS)から呼び出し、必要なデータを取得して加工したのちに、タスク自動管理ツールの『Zapier』経由で会社全体のSlackに流しています」

noteでは現在「フレキシブル出社制度」を採用し、原則リモートワークを前提とした勤務形態になっていますが、出社した際にフリーアドレスのオフィスでは誰が社内にいるかを把握するのが大変です。また、リモートからオフィスに誰がいるかを知りたいというニーズもあったことがSlack Bot開発のきっかけとなりました。

「みんなから集めた情報を、みんなの役に立つ形で使っていることを示したかったのです。従業員の反応は非常に良好です」

また、このSlack Botは社内の仕組みを変えることにもつながりました。

「出社した際は交通費申請をその都度行うのですが、Slack Botによって誰が出社したかがかわるため、交通費申請をほぼ撤廃することができました。月末にまとめて労務が確認して本人と最終的なすり合わせはするものの、出社するたびに申請する必要がなくなったので、従業員の手間はだいぶ削減されたと思います。情報システム部門の立場からでも、クリエイティビティを発揮できることを示せて本当によかったです」

● "ワンタッチ導入"で運用する理由

noteで導入する業務端末のうち、Macは現在98%を占めます。すべてAppleの「自動デバイス登録」 (旧DEP)に登録されている端末なので、Apple Business ManagerとJamf Proを用いることで”ゼ ロタッチ”導入が可能ですが、noteではあえて”ワンタッチ”導入で運用を行っています。

「現在はリモートで働いている従業員が多いので、 ゼロタッチ運用だと失敗したときのリカバリー負荷 が高くなります。そのため、いったん私たちのほうで 動作確認と初期設定作業をしてから従業員に配付・ 配送する”ワンタッチ”運用をしています。初期設定としては、各種アプリのインストールやネットワーク設定、プリンタ設定、EFIパスワード(Intel Macのみ)、FileValut設定、Jamf Protectのインストールを行っています」

まれにAppleのVPP(Volume Purchase Program)を使ってアプリを配付する際にインストールがうまくいかなかったりすることがあるそうですが、基本的にJamfだけで設定できる事柄に関しては困っていることはまったくないそうで す。 なお、Appleの自社開発チップ「M1」を搭載したMac(M1 Mac)に関しては動作検証を終え、徐々に現場へ投入して いる段階です。

「当社ではABCという3パターンで端末を導入しています。そのうちMacBook AirはAにマッチするのですが、Aに該 当する新入社員がどんどんと入ってきているので現場へ投入せざるを得ない状況です。現在のMacBook AirはすべてM1搭載ですから。今はある程度の動作検証をして現場へ投入し、その反応を見ています」

● さらなる深堀り活用も

そのほか、noteではJamf Proの「拡張属性」という機能を用いるなど、一歩踏み込んだ使い方もしています。

「『在庫端末管理』『キーボードレイアウトの把握』『バッテリー充放電回数の把握』のために、Jamf Proの『拡張属性』 の機能によって追加のインベントリ情報を取得しています。『在庫端末管理』に関しては拡張属性グループに在庫と書 いておけばそれによって該当する端末をスマートグループとして抽出できます。一方、『キーボードレイアウトの把握』『 バッテリー充放電回数の把握』に関しては、Macが Jamf Proへインベントリを送信するたびにデータ値 を返すスクリプトを作成することで情報を取得して います。また、こちらはJamf Proに標準で用意されていますが『ストレージ逼迫状況の把握』を収集する ことで、ユーザのストレージ使用状況をチェックし、 もしたくさん使っているようならユーザ本人にヒアリングするようにしています」

また、あるイベントが実行された際に外部サービスにHTTPで通知する仕組みである「Webhook」 と、タスク自動化ツール「Zapier」を連携させることで、DEP端末がJamf Proに登録されたらSlackへと通知が届くようにもしています。これによって、Macの納品次期がわかるのでとても便利だと言います。

Jamf Protectによるセキュリティ強化

● 悩んだものの、シンプルに考えて導入

noteではJamf Proに加えて、2020年の終わりに『Jamf Protect』も導入しました。「みんなの端末で何が起きているか手早く可視化したかった」「Appleがすでに用意しているセキュリティを強化したかった」のが大きな理由だったと言います。

「Jamf Proを導入する際にオンボーディングプログラムの『JumpStart』を受けたとき、トレーナーの方から説明を受けて、Appleのセキュリティがしっかりしていることは理解できました。しかし、実際にどのように動作しているかがわからなかったので、それを手早く可視化したかったのが導入した1つの理由です。また、Jamf Protectを導入することで、Appleのセキュリティをより強化したいとも思っていました。Jamf Protectはまだ事例が少なく、また他のソリューションと比べて機能が劣ると思っていたので導入には悩みましたが、シンプルに「やりたいこと」ベースで考えて決断しました。ユーザインターフェイス(UI)がシンプルで使いやすそうでしたし、ちょうどM1 Macがリリースされる状況だったので、Intel Macとの混在環境でも動作する点も魅力に感じました」

● 全社展開でも重要な進捗管理

Jamf Protectはまずはコーポレート系の部署へ導入し、その後、営業職やデザイナー、エンジニアという順にそれぞれパフォーマンスに問題がないことを確認したうえで、社内展開していきました。Jamf ProtectをMacにインストールしたからといって端末のパフォーマンスが下がることはなく、きっちりとセキュリティログも取得できていると言います。

「導入から3カ月程度が経過しただけなので、まだ『エイジング期間』です。現在はCIS Benchmark forMacへの準拠状況を把握して、自社のポリシーを練り直しています。また、今後はAppleのセキュリティアップデート状況の把握やログの傾向を分析していきたいと思います」