株式会社レコチョク - ゼロトラストネットワークの実現に向けた Jamf ProでのMac管理

ゼロトラストネットワークの構築を目指して大きく舵を切った株式会社レコチョクのIT基盤部では、従業員の業務端末の管理を行うためにWindows PCにはIntune、MacにはJamf Proを管理ツールとして導入しました。それぞれ専用のMDMを選んだ背景には「セキュリティと利便性」を両立するというミッションの元、Jamf Proだからこそ実現できる作業の効率化と運用コストの削減、そして特有の機能の存在が魅力だったからです。

ゼロトラストネットワークの構築
Macの管理にJamf Pro
self serviceの活用による管理工数低減

リモートワークをMacで実現するために -ゼロトラストに欠かせないJamf Pro-

●主にエンジニアが利用するMac

2002年に世界初となる「着うた®」、2004年には「着うたフル®」を配信開始したことで知られる株式会社レコチョク(以下、レコチョク)。2001年7月の創業以来、常に先進的な音楽配信サービスを提供し、現在は「レコチョク」や「dヒッツ® powered by レコチョク」「TOWER RECORDS MUSIC powered by レコチョク」といった音楽ダウンロード/ストリーミングサービスのほか、ソリューションを提供する提携ビジネス、ブロックチェーンを活用したビジネスへの本格参入など「音楽」を軸にビジネス領域を広げています。現在のレコチョクの社員数は約170名。そのうち、約4割を占めるのがこうしたさまざまな商用サービスを開発するエンジニアです。レコチョクではWindows端末を業務用パソコンとして標準で支給していますが、エンジニアやデザイナーに限ってはMacの利用を認めており、現在社内には約130台のMacを導入しています。

東京都渋谷区渋谷に本社を構えるレコチョクでは最先端のIT技術を駆使し、音楽配信サービスをはじめ、ソリューションを提供する提携ビジネス、NFTなどブロックチェーンを活用したビジネスへの本格参入など、常に時代のニーズにマッチしたサービスを展開しています。

https://recochoku.jp/corporate/

「音楽配信事業ではWebアプリやAndroidアプリだけでなく、iOS向けのネイティブアプリを提供しているため、開発の親和性を考えるとMacも必然的に選択肢の1つに入ってきます。また、当社は音楽市場で配信サービスを始めさまざまな事業を展開していますが、サービスのシステム設計やアプリの開発・運用など自社で開発しており、エンジニアも積極的に採用しています。Macを好むエンジニアは最近非常に多く、Macの台数も増加傾向にあります」(IT基盤部 品質基盤グループスペシャリスト 野村昌男氏)

「端末を管理する立場からすればWindows PCだけのほうがコントロールしやすいですが、従業員が働きやすい環境で仕事ができることも重要ですから、『Macを利用できないこと』が制約になってはいけないと思っています」(IT基盤部長 伊藤智之氏)エンジニア向けのMac標準スペックを定義し貸与を実施。業務内容により要望があれば、必要に応じたスペックでのマシン提供を行っています。

●リモートワークへのスムーズな移行

このようにWindows PCとMacが混在した環境で端末管理を行っているのが、レコチョクの情報システム部門である「IT基盤部」です。現在9名のメンバーが在籍し、お客様に提供するレコチョクのサービス(商用システム)を担当する「品質基盤グループ」と、ヘルプデスク業務など従業員向けの社内システムを担当する「システム管理グループ」の2つのグループに分かれ、社内のITにかかわる全業務を行っています。端末管理に関しては、IT基盤部ではこれまで1つの管理ツールを使ってWindows PCとMacの管理を行っていました。しかし、現在はWindows PCにはMicrosoftのIntune(以下、Intune)、MacにはJamf Proを採用。新型コロナウイルスの影響によって一変した働き方に対応するうえで、以前の汎用的な管理ツールから、それぞれ別々のMDMへと変更したのです。

「Withコロナ時代には、これまでのようにオフィスに人が集まり、オフィスの中にある端末だけをコントロールするという従来の端末管理の前提は通用しません。そこで、リモートワークやクラウドを前提としたこれからの時代に相応しい企業インフラを構築するために、認証機構やセキュリティ等を見直した新しい管理方針を組み立てました。いわゆる『ゼロトラストネットワーク』の構築の実現です。そしてそれを目指すうえで何が足りないのかをアセスメントしたところ、一番プライオリティが高かったのが端末管理だったので、まずはそこから着手した形です」(野村氏)

それまでレコチョクでは従業員の業務端末の外部持ち出しは許可制で、どうしても社外で利用しなければならない場合を除き、原則的に禁止。しかし、リモートワークになると「持ち出すこと」が前提となるため、ゼロトラストネットワーク的な発想で企業インフラを刷新する必要に迫られたのです。そしてそのうえで、以前の管理ツールでは不十分だったMacの管理を徹底するためにJamf Proの導入へと至りました。ここで1つ特筆すべきなのは、その取り組みの早さです。IT基盤部で新しい管理ポリシーを策定したのは2020年2月。国内において新型コロナウイルスの最初の感染者が確認された日からおよそ1カ月後のことであり、新型コロナウイルスがパンデミックとして広がり、リモートワークが世間的に当たり前になるより前にすでに検討を開始していたことになります。

IT基盤部長 兼 品質基盤グループマネージャー兼 システム管理グループマネージャー伊藤智之 氏

IT基盤部 品質基盤グループ スペシャリスト(インフラ・セキュリティ)野村昌男 氏

IT基盤部 品質基盤グループ佐嘉田智之 氏

IT基盤部 システム管理グループ窪塚茂章 氏

「当社のある東京・渋谷は東京オリンピックの中心地ですから、交通の影響で出社が困難になることが予想されました。経営陣からそのリスクを回避するためにリモートワークの体制を整えるよう指示があり、2019年から準備や調査を始めていたのです。そのため、新型コロナの感染拡大のための出勤抑制のため、リモートワークを導入することになった際は対応に逼迫することなく、スムーズに移行することができました。そして、そこから新しい方針に基づいてドラスティックに社内インフラの刷新に着手し始めたのです。Jamf Proの導入検討をそこから半年以内にスタートでき、今年度から本格的に利用できたのはそうした背景があったからです」(野村氏)

Jamf ProとIntuneの大きな違い -最終的に異なる運用コスト-

●設定の反映と使いやすさがポイント

では、なぜレコチョクのIT基盤部ではJamf Proを選択したのでしょうか。当初は、Intuneを使ってMacも一元的に管理することを検討したそうですが、そこにはJamf Proでなければならない大きな理由があったと言います。

「IntuneでMacを管理しようとすると、設定が反映されるまでに時間がかかるのがネックでした。たとえば、Macに構成プロファイルやアプリ、アップデータ等がうまく反映されていないと問い合わせがあったとき、設定を変更してもなかなか従業員の端末に反映されず、しばらく待たされます。そのため、従業員の方には『1時間くらい様子を見てください』と言うしかありません。その点、Jamf Proでは設定がすぐに反映されますので、効率良く管理が行えます」(IT基盤部 品質基盤グループ 佐嘉田智之氏)

「これまではファイアウォールやVPNを用いた境界型セキュリティによって外部からのアクセスをコントロールしていたわけですが、ゼロトラストネットワークでは条件付きアクセスを設定して特定の条件に合致した端末だけが社内ネットワークへアクセスできるようにする必要があります。その際に、正しい設定が反映された端末情報を取得できていないと業務に支障が出てきてしまいます。また、たとえば端末を紛失してしまった場合は、すぐにロックをかけられないので大きなリスクにつながります。MDMの設定がすぐに反映されているというのは非常に重要なのです」(野村氏)

また、Macを管理するうえではJamf Proのほうが圧倒的に使いやすいと言います。IntuneがWindowsを前提に作られているのに対し、Jamf ProはAppleデバイス専用のMDMであるため、ユーザインターフェイスが大変わかりやすく、操作する際に「戸惑うこと」が少ないのです。

「Jamf ProはMac専用に開発されているので、設定メニューなどが大変わかりやすく作られています。そうしたユーザインターフェイスの違いによる操作感の違いはとても大きいと思います」(佐嘉田氏)

●学習コストだけなら別々のMDMを

WindowsはIntune、MacはJamf Proと別々のMDMで管理しようとすると、2つのツールの操作を習得したり、手間が増えたりすることを懸念して導入を躊躇しがちです。しかし、レコチョクのIT基盤部では従来の汎用的なツールを使って2つのプラットフォームを管理するよりも、それぞれ別々に管理したほうが利便性が高く、かつ最終的な運用コストも低くなると判断しました。

「ゼロトラストネットワークを構築するうえで両方のプラットフォームに強いMDMを探したのですが、見つけることができませんでした。また、本質的なことを考えると、私たちの目的は『1つのツールで管理すること』ではなく、「複数のツールを使ってでも実現したいことを叶えること」です。複数のツールを利用することで運用工数が大きく跳ね上がるのならば選択肢には入りませんが、Jamf Proは操作の難易度がそこまで高いわけではありません。導入時にかかるのは最初の学習コストだけですので、それならば本来の目的を最短で実現するために別々のツールで管理するほうがいいと考えました」(野村氏)

「もちろん最初は2つのツールの使い方を習得しなければなりませんが、ある程度使い方を覚えてしまえばその後苦労することはありません。むしろ、さまざまな面で以前よりも効率化できるようになったと思います。たとえば、実際にIntuneとJamf Proで操作の異なる部分を書き出してみたところ、従来のツールよりも全体のドキュメントは短くて済みました。1つのツールを使っていたときもそれぞれのプラットフォームごとに操作方法は異なりましたので、それを考えると各プラットフォームに特化しているMDMのほうが操作が明快でイメージしやすく、共有しやすいのです」(IT基盤部 システム管理グループ 窪塚茂章氏)

IT基盤部のミッションと今後 -従業員が働きやすい環境を目指して-

●キッティングの効率化にも成功

Jamf Proを使うことで、Macのキッティング作業を大きく効率化できたことも運用コストを下げることにつながりました。これまでレコチョクのIT基盤部ではMacのシステム環境を設定したり、コマンドファイルをバッチ化して流し込んだり、アプリケーションをインストール際にTime Machineバックアップから初期化したMacに対して1台1台行ったりする必要があるなど、手動でのキッティングに大変な時間と手間がかかっていたのです。

「Macのキッティング手順はマニュアルにすると膨大な量になっていたのですが、従来の管理ツールと比較するとJamfProはキッティング時の選択項目が多く、簡略化を図ることができます。また、Macに詳しくない人でも容易に扱うことができるので運用を回しやすくなりました。現在は効率的なキッティング方法をテストしている段階ですが、これまで1台あたり20〜30分かかっていた作業が半分くらいにはなると思います」(窪塚氏)

さらに、Jamf Proならばクラウドで管理できるため、従来の管理ツールで必要だったオンプレミスのサーバ管理が必要なくなったことで作業負担が軽減できたと言います。

「単純に時間を短縮できたり、属人化を防いだりできるようになったのはもちろんですが、『リソースを効率的に使えるようになったこと』が大きなメリットだと思います。IT基盤部では端末の管理は従来どおり行いながら、手を動かすことはできる限り減らしたいのです。そして、そこで新たに生まれた時間をゼロトラストネットワークをはじめとする新しい環境構築や、従業員が働きやすい環境構築に向けて費やしたいと思っています」(伊藤氏)

●Jamf Pro特有の機能にも期待

Jamf Proを実際に使い出してからまだ半年しか経過していないものの、すでにレコチョクのIT基盤部ではゼロトラストネットワークを前提に、Macの管理をIntuneによるWindows PC管理同等のレベルにまで高めることに成功しています。

「Jamf Proは目的ではなく、自分たちがやりたいことを実現するための手段として導入しました。従来の環境よりもデグレードすることなく、Jamf Proの導入によって『クラウド時代に相応しいMacの管理』のスタート地点に立つことができたと思います。キッティング作業の効率化もそうですし、運用面でも端末管理のスピードが格段に上がりました。たとえば、新しいOSがリリースされたときなど、これまでは管理ツールが対応するまでに半年かかっていたのですが、Jamf ProはOSのリリースと同時に対応する『同日サポート』を実現していますので即座に最新版へアップデートすることが可能です。また、Jamf Proではさまざまなインベントリ情報を取得できるので、たとえばパッチのあたり具合などの細かな端末の状態が可視化しやすくなったのも大きなメリットです」(野村氏)

そして今後は、Jamf Proに搭載されるさまざまな機能の活用をさらに図っていきたいと言います。

「たとえば、Jamf Pro特有の機能である『セルフサービス』です。アプリケーションを配付する際にこれまで管理側でプッシュしていたものを従業員自らが必要に応じてインストールできるようになれば、管理側の手間が減るだけではなく、従業員の体験向上にもつながります。また、従業員のユーザエクスペリエンスを高めるためにはゼロタッチキッティングも今後実現したいと思っています」そのほか、現在レコチョクでは社用携帯にAndroid端末を利用していますが、今後iPhoneやiPadといったAppleデバイスが増えてきたときに一元管理できるのもJamf Proの魅力の1つとして捉えています。

「IT基盤部でミッションとしているのは、セキュアかつ利便性の高いシステム構築を行うことです。リモートワークを含めて働き方は多様化していますので、セキュリティは保ちつつ、従業員がどんな端末でも使えるような環境を整えたいと思います。働く場所は自由だけれど、働き方に制限があってはいけません。ガチガチのセキュリティをかけて従業員の利便性や生産性を損なうのではなく、両方を同時に高められるような環境構築を目指しています」(伊藤氏)