Jamf Protectを活用してUSBストレージの制御を検討する

USBcontrol_mini.png

MacでUSBストレージを制御するためには?

PCに接続するUSBストレージは、不正なデータ持ち出しを防ぐために誰がどこで使用したかを把握する必要があります。

BoxやGoogle Driveなどクラウドストレージの利活用が進んだこともあり、USBストレージの利用頻度は以前に比べると減ってきています。とはいえ、情報漏えいやセキュリティ対策などの観点から、会社支給デバイスに対する事前の制限適用は引き続き重要なポイントと言えます。

この記事では、Jamf Protectを活用してMacで外部ストレージを制御する方法をご説明します!

はじめに

MacにおけるUSBストレージの制御を考えるとき、これまではMDMの基本機能のひとつである「構成プロファイル」を使用することで、接続されるすべてのUSBストレージを禁止もしくは読み出しのみ許可、といった大まかな制御のみが行えていました。

しかし、特定のUSBストレージのみ許可など細かい制御が必要な場合は、MDMの構成プロファイルでの実装は難しいため、サードパーティ製品で制御する必要がありました。

MediaManagementAllowedMedia | Apple Developer Documentation外部サイト

また、AppleのドキュメントによるとmacOS 11 Big Sur以降については、構成プロファイルによるUSB制御機能の使用が非推奨になってしまいました。

代替の選択肢としてはMaLion CloudやLanScope Cat、SKYSEAといったいわゆる「資産管理」に主眼がおかれた製品が挙がります。
最近では、Microsoft Defender for Endpointでも同様の制御が可能なため、セキュリティソフトの選定と併せて、USBストレージの制御を運用されているケースが増えています。

Microsoft Defender for Endpoint on macOSでUSBデバイス制御試してみた ‒ CloudNative Inc. BLOGs外部サイト

そんな中、Appleデバイス管理に特化したJamf社のセキュリティソフトJamf Protectにおいても同様の機能が実装されましたので、今回はそちらの検証を行っていきたいと思います。

今回ご紹介するJamf ProtectのUSBストレージ制御機能は、2022年4月にリリースされたバージョン3.2.0.557より実装されました。

リリース履歴 - Jamf Protect ドキュメント | Jamf外部サイト

これまではUSBストレージの接続を検知してアラートを表示する、といった機能にとどまっていたため、大きなアップデートと言えます。

禁止されている USB 接続の検出と構成 - Jamf Protect ドキュメント | Jamf外部サイト

準備

ということで以下のドキュメントの内容に沿って、実際に設定を行っていきます。

リムーバブルストレージコントロール - Jamf Protect ドキュメント | Jamf外部サイト

前提として、今回検証に使用するMacはJamf Proに登録されており、Jamf Protectも展開済となっています。
※Jamf ProとJamf Protectの統合、Jamf Protect Planの基本的な作成方法などについては今回は割愛させて頂きます。

Jamf Pro との Jamf Protect 統合 - Jamf Pro を使用して Jamf プラットフォームの製品を展開し、Mac コンピュータの接続、管理、および保護を行う | Jamf外部サイト

ステップ1:リムーバブルストレージコントロールセットの作成

まずはJamf Protect上でリムーバブルストレージコントロールセットを作成し、USBストレージに適用される制限レベルを決定していきます。

  • Jamf Protectの管理コンソールからDevice Controlsにアクセスし、Createをクリックします。

スクリーンショット 2022-05-18 18.16.03.png
  • Nameに任意の名前を入力した後、Default Permissionからデフォルトの制限レベルを選択します。(今回は「Prevent(禁止)」を選択しています。)
  1. Prevent(禁止)
  2. Read Only(読み出しのみ)
  3. Read and Write(読み/書き)
  • その後、Default Local Notification Messageに任意のメッセージを入力します。

こちらはDefault Permissionで「Prevent(禁止)」もしくは「Read Only(読み出しのみ)」を選択している場合に、ユーザがUSBストレージを接続すると表示される通知を定義する項目です。

スクリーンショット 2022-05-18 21.09.46.png

ステップ2:リムーバブルストレージコントロールへのオーバーライドルールの追加

  • 次にTotal Overridesの+Addをクリックし、リムーバブルストレージコントロールセットにオーバーライドルールを追加していきます。

これにより、以下の条件にもとづいて特定のUSBストレージを禁止または許可することが可能となります。

条件  
Encrypted Devices USBストレージの暗号化ステータス
Vendor ID USBストレージの特定の会社の識別子
Serial Number USBストレージの一意の識別子
Product ID USBストレージの個別製品の識別子

今回はシンプルに、シリアルナンバーによって特定のUSBストレージのみ接続を許可する設定を定義します。

  • ermissionを「Read and Write」、Apply toを「All」に選択します。
  • Serial Number Overridesの+Addボタンをクリックし、検証用USBストレージのシリアルナンバーを入力します。

スクリーンショット 2022-05-18 23.53.15.png

リムーバブルストレージコントロールセットの設定は以上となります。Saveボタンをクリックして、設定を保存します。

ちなみに、USBストレージの各種情報については、
メニューバー左上のAppleロゴ ▶ このMacについて ▶ システムレポート ▶ USB
から確認することが可能です。

スクリーンショット 2022-05-18 23.51.06.png

ステップ3:Planへのリムーバブルストレージコントロールセットの追加

いよいよラストスパートです。作成したリムーバブルストレージコントロールセットをJamf Protect Planに反映していきます。

  • Plansにアクセスし、検証用Macに展開しているPlanを選択します。
  • Editタブをクリックし、Removable Storage Control Setから先程作成したリムーバブルストレージコントロールセットを選択した後、最後にSaveボタンをクリックします。

スクリーンショット 2022-05-18 23.55.48.png

Jamf Protect Planの設定は以上となります。任意の展開方法で、今回編集した新しいPlanを検証用Macに反映させてください。

適用確認

それでは、実際に検証用Macで挙動を確認してみましょう。

まずは、リムーバブルストレージコントロールセットのオーバーライドルールにシリアルナンバーが定義されていないUSBストレージを接続してみます。 ステップ1の設定内容にもとづいて接続が制限され、通知が表示されていることが確認できます。

スクリーンショット 2022-05-19 0.01.11.png

次にオーバーライドルールにシリアルナンバーを定義したUSBストレージを接続してみます。 こちらについても想定通り、読み/書きが許可された状態で正常に接続できています。

スクリーンショット 2022-05-19 0.02.59.png

まとめ

Jamf ProtectでMDfE同様、複数の条件にもとづいて特定のUSBストレージのみ許可する、といった制御は問題なく実装することができました!

Jamf ProtectによるUSBストレージの制御を行うメリットは2つ挙げられます。

1つ目は、特定のUSBストレージを容易に指定できる点です。 今回は1台のみ許可しましたが、実際には複数台のストレージを定義する必要があるかと思います。その際、管理コンソール上で直接定義していくことも可能ですし、以下のようにCSVで一括アップロードすることも可能となっています。

スクリーンショット 2022-05-19 0.18.28.png

※MDfEの場合、XML形式のプロパティリストで定義していく必要があるため、少し面倒な部分があります。(冒頭に引用させて頂いたブログ記事をご参照ください。)

機器台帳等で、すでに会社支給のUSBストレージ情報を管理頂いている状況であれば、Jamf Protectによって比較的容易に実運用に移行していくことができるのでは無いかと思われます。

2つ目は(今回は詳しい手順は割愛しましたが、)Jamf ProとJamf Protectを統合しておくことにより、Jamf Protectで編集したPlanの内容をJamf Proに同期、デバイスに反映までの流れが非常にシンプルかつスムーズに実現できるという点です。Jamf製品同士の連携力の高さを感じることができました。

...とはいえ、この機能のためだけにMacのセキュリティソフトのみJamf Protectに切り替える、というのは価格などの面からもハードルが高い、と思われるかもしれません。WindowsですでにMDfEを導入しているとすれば、なおさら必要性は感じづらいことでしょう。

その際、もしひとつ検討のテーブルに乗せる要素があるとすれば「Jamf Business Plan」による導入です。

製品 | Jamf Business Plan | Jamf外部サイト

Jamf製品は通常、デバイスライセンス(=管理するデバイス毎に費用が発生するライセンス形式)です。

「Jamf Business Plan」は、複数のJamf製品をまとめて契約できるパッケージプランで、ユーザライセンスで提供されます。
つまり、1人のユーザに対してMac、iPhoneなど最低2台のAppleデバイスが貸与されている場合は、こちらの方が費用を抑えられる場合があります。

「Jamf Business Plan」では1ユーザあたり最大5デバイスまで登録することができ、Jamf Pro、Connect、Protectすべての製品が付帯しています。

貸与している複数端末の管理をJamf Proで行う場合は、Jamf Business Planに切り替えることでライセンス費用の総額が抑えられる可能性が高く、Jamf ConnectやJamf Protectまで使用できるようになります。

Jamf Proだけでは対処できない管理要件がある企業には特におすすめのプランです。

Tooはお客様の導入形態と叶えたい管理項目に応じて最適なプランを提案いたします。 今回の機能についてはもちろん、Jamf Business Planに関するご相談など、気になることがございましたらぜひお気軽にお問い合わせください!

記事は2022年5月23日現在の内容です。

おすすめ記事を見る