SBIセキュリティ・ソリューションズ株式会社 - LinuxからMacへ社内デバイスを刷新！Jamf Proが叶えるセキュアな端末管理

Mac＋Jamf Pro導入の経緯 -徹底した端末管理を行うために-

●情報セキュリティの遵守

SBIセキュリティ・ソリューションズ株式会社（以下、SBIセキュリティ・ソリューションズ）は、SBIホールディングスの傘下でデジタルアセット関連事業を統括・運営するSBIデジタルアセットホールディングス株式会社（以下、SBIデジタルアセットホールディングス）の子会社として、ブロックチェーン等を活用した安全かつ最先端の金融機関向けデジタルソリューションを提供するフィンテックカンパニーです。SBIグループ内の関連会社と協力して独自のデジタルサービスを開発し、主にデジタルアセットやデジタルペイメント、デジタルバンキングの分野で事業を展開する企業向けにさまざまなサービスを提供しています。SBIセキュリティ・ソリューションズでJamf Proを利用開始したのは2020年末のこと。導入の背景には、従業員が利用する業務パソコンの端末管理をより一層強化する狙いがありました。

「当社はSBIグループ全体のデジタルアセット事業をITの側面から支えている会社です。仮想通貨、デジタルアセットに関するソリューションの開発であったり、当社で開発したシステムがグループ内外の金融機関で採用されておりますので、金融機関並みの強固なセキュリティが求められます。そのため、情報セキュリティに関しては一切妥協することなく、もっとも重要な経営方針の1つに掲げています」そのように語るのは、SBIセキュリティ・ソリューションズの代表取締役、またSBIデジタルアセットホールディングス株式会社とSBIデジトラスト株式会社の代表取締役を兼務するフェルナンド・ルイス・バスケス・カオ氏（以下、バスケス氏）。SBIグループにおいて、SBIグループ各社のITを統括するIT戦略本部長を含む数々の要職を歴任したほか、Linuxの商用利用に貢献した第一人者としても知られる人物です。

●Liunx端末からMacへの移行

SBIセキュリティ・ソリューションズはSBIグループ全体の一連のデジタルアセット事業において、主に金融機関向けのシステムインテグレーション業務を行っています。そのため社内には多くのエンジニアや開発者を抱えており、従来は従業員の好むマシンとして主にLinux端末とWindows端末を活用していました。

しかし、端末管理の強化のためにMDMを導入しようとすると1つの問題が立ちはだかりました。Windows端末の管理はすでにMDMを導入し運用をしていましたが、Linux向けのMDM製品で端末のリモートワイプをできるものが中々見つからなかったので導入を断念せざるを得なかったのです。

「そこで、同じUNIX系OSを搭載したMacを導入することにしたのです。Macであれば『ターミナル』からLinuxコマンドを扱えるので、これまでLinux端末を使っていた従業員もすぐに慣れることができます。そして同時にJamf Proによって端末管理を行えば、エンジニアや開発者の業務効率を下げることなく、セキュリティも強化できます。エンジニアや開発者が気持ちよく働ける環境を構築しようとすると、Mac一択しかなかったのです」（バスケス氏）

Macの導入に関して、同社の情報システム部にあたる「オフィスIT」部門でオフィステクノロジーヘッドを務める佐藤亮太氏は次のようにも語ります。

「当社は2018年10月に設立された、まだ歴史の浅い会社です。私が約1年前に入社したときは、エンジニアの3割がWindowsを使っていて、あとはLinuxでした。MacはiOSアプリの開発等で1〜2台はあったものの、開発会社としてはとても導入台数が少なくて疑問に感じたことを覚えています。そこでエンジニアに尋ねてみたところ、プライベートでMacを使っていて会社でも使いたいという声が多かったので、私のほうからMacの導入を提案したのです」

このような理由から業務用パソコンの刷新を行ったSBIセキュリティ・ソリューションズ。現在導入しているMacの台数は計70台（在庫含む）で、メモリ16GB／ストレージ512GBのMacBook Proの13インチを標準スペックのマシンとして配付しています。開発上の制約からIntelCPU搭載マシンを利用しているメンバーがいるものの、すでに半数以上はAppleシリコン搭載のMacBook Proを利用しています。「私もLinuxのデベロッパーなので引き続きLinux端末を使い続けたかったのですが、自分だけ例外を作るわけにはいきません。Linuxを使い続けたいというメンバーに対しては説得する必要があったものの、現在はエンジニアや開発者の9割以上がMacへとシフトしています。今後Linuxで適切なMDMソリューションが見つからない限り、年内中にすべての端末をMacへ寄せていくことになると思います」（バスケス氏）

Jamf Proを選択した理由 -使いやすさとセキュリティを両立-

●端末の可視化に成功

バスケス氏は過去にSBIグループ全体のセキュリティを統括する立場を務めるなどIT業界に精通していたため、Jamf Proの存在については以前から知っていたと言います。では、実際にMacの管理ソリューションとして数あるMDMの中からJamf Proを選択した理由は何だったのでしょうか？

「Jamf Proは使いやすさとセキュリティのバランスがもっとも優れているソリューションだと思います。実際の検証はテクノロジーヘッドの佐藤に行ってもらいましたが、彼も同意見でした。また、運用のしやすさも大事なポイントです。機能がたとえ優れていたとしても、たとえば新入社員のオンボーディングに数日かかるようだと話にならないので、バックオフィスで効率的に運用できるかも重要視しました」（バスケス氏）

Jamf Proを導入したことによるメリットはさまざまありますが、特に端末の可視化が行えるようになったことが大きいと語ります。

「以前から端末管理はしっかりと行っていましたが、それを証明する手立てがなかったのです。たとえば、従業員の端末にどのようなアプリが入っているかがわからないなど、いわばブラックボックス状態でした。コロナ渦によってリモートワークが当たり前になると端末を持ち歩くことが不可欠ですので、その中でいかに端末管理を徹底するかが重要です。Jamf Proによって端末で何が起きているかを可視化することでリスク判断でき、企業としてしっかと監査にも耐えられる仕組み作りが行えました」（バスケス氏）

また、Mac向けのMDMを比較した際、以前の会社でJamfProを利用したことのある佐藤氏はJamf Proの機能面の高さを評価します。

「Jamf Proが優れているのは、端末のポリシー確認をするためのチェックイン頻度を短く設定できる点です。Jamf Proはネットワークに接続されていればJamf Proサーバと端末が15分に1回デフォルトで同期します。管理コンソールで端末の最新状態を常に把握でき、端末側で何か問題が起きたときもすぐに知ることができるのです」（佐藤氏）

●Mac専用だから使いやすい

SBIセキュリティ・ソリューションズでは「ISMS」（Information Security Management System）をはじめとする各種認証を取得する必要性があることから、端末管理においても一定のセキュリティ要件を設定しています。

「たとえば、従業員には業務用パソコンの管理者権限を渡さずに運用しています。また、Apple IDを用いたApp Storeからのアプリのインストールは許可しておらず、業務に必要な基本的なアプリは『オフィスIT』部門で端末へ一斉インストールしています。そして、それ以外で業務に必要なアプリはJamf Proの『セルフサービス』の機能を用いることで従業員自らダウンロードしてもらっています」（佐藤氏）

また、どうしてもユーザ側でアプリをインストールするときに管理者権限が必要な場合に関しては、Jamf Proの機能を利用することで、一定時間だけ管理者権限を付与するポリシーを作成することで対処しているそうです。　

「こうした端末制限は一般的なMDMでもできると思いますが、『操作のしやすさ』や『運用のしやすさ』を考えるとJamf Proが一番だと思います。Jamf ProはMacに特化した作りになっているので、直感的に操作が行える点が魅力です」（佐藤氏）

●初心者でも簡単に扱える

Jamf Proを導入してから約1年が経過した今、6名いる『オフィスIT』部門の中で、実際に端末の運用管理をしているのが、入社して1年半になるコーポレートエンジニアの洪欣宜（ホン・シンイー）氏です。企業の情報システム部門に勤務するのは初めての経験で、業務用パソコンの端末管理などを行ったことはなかったそうですが、Jamf Proはスムースに使いこなすことができたと言います。

「最初はわからないことがたくさんありましたが、Jamf Proはドキュメントやビデオなどのヘルプリソースがとても充実しています。ですので、わからないことがあればそれらを参照できるので、操作面で難しさを感じたことはありません」

また、Jamf専任のトレーナーがJamf Proの操作やセットアップ、環境に合わせたカスタマイズなどを手助けしてくれるオンボーディングプログラム「JumpStart」に参加したことも大きな助けになったと言います。

「Jamf Proの機能をいちから説明してもらえたり、当社の環境にマッチした活用方法を教えてもらえたりすることができたので、とても役立ちました。特に、端末にアプリを配付する際に特定のアプリはキッティング時にパッケージにして配付する必要があることなどの具体的なノウハウを教えていただけたのが有り難かったです」（洪氏）

「私の場合、以前の会社ではJamf Proがすでに導入されていたので、ゼロベースでJamf Proの使い方を習得する必要がありました。社内に詳しい人がいたので聞くことができたものの、JumpStartを最初に体験していたらもっと楽だったはずです。特にJamf Proをまったく触ったことがないメンバーがいる場合は、とても有意義なプログラムだと思います」（佐藤氏）

加えて、世界最大のApple ITコミュニティである「Jamf Nation」に参加することで、Jamf Proを使ってAppleデバイスを管理する世界中の専門家や仲間とさまざまな情報交換を行える点も他のMDMにはない魅力だと言います。

「英語ではありますが、何か知りたいことがあった場合、メーカーに問い合わせるのではなく、Jamf Nationにアクセスすることでほかの製品よりもすぐに回答やヒントを得られるのは運用するうえでの大きな強みだと思います」（佐藤氏）

オフィスITの今後の動き -Jamf Connect／Protectを検討-

●簡便なパスワード管理のために

SBIセキュリティ・ソリューションズで今後導入を検討しているものにJamf Connectがあります。Macのキッティングを行うために現在は「オフィスIT」部門で端末設定をしたあと従業員に配付していますが、Jamf Connectを活用してIDaaSの認証情報を用いてMacのログインを可能にすることで、「オフィスIT」部門で一切端末に触ることなくキッティング作業を自動化できる「ゼロタッチキッティング」を実現するためです。

「また、それよりも大きな理由はパスワード管理のためです。MacのローカルアカウントとIDaaSの認証情報を同期させることで、従業員が複数のID／パスワードを覚えなくてもいいようにしたいです。なぜなら、従業員がIDaaSのID／パスワードをMacのログインID／パスワードと同じにしてしまう可能性があるからです。その状態で万が一Macの紛失・盗難に遭うと端末を乗っ取られることになりますので、常にIDaaSの認証情報と同期した状態で管理したいのです」（佐藤氏）

現在SBIセキュリティ・ソリューションズではGoogle Workspaceを使用していますが、今後はIdP製品の導入を視野に入れていると言います。また、Jamf Connectに加えて、エンドポイントセキュリティを強化するためにJamf Protectも検討しているそうです。

「 私はSBIホールディングスがグループ各社に提供する端末の構築やシステムの運用も担当しています。業務用パソコンとしてはWindows端末がメインでMacは僅かしかないのですが、今後導入台数が増えたり、管理を徹底することになった場合はJamf Proを一番に勧めたいです。また、親会社のSBIデジタルアセットホールディングスが現在シンガポールに設立している新しい会社でもMacを使いたいという従業員がいるのでJamf Proを紹介したいと思います」（佐藤氏）