Jamf for Mac導入事例 株式会社ニーリー 様

---

---

---

---

古屋様（以下、敬称略）：
当社では、事業目標に沿って数年を見据えた情報セキュリティ戦略を策定しています。その中で、今年特に力を入れているのが、個人情報の漏洩対策です。その背景には、2019年に提供を開始した「Park Direct」の急成長があります。月極駐車場のオンライン契約サービスとして導入社数・契約可能台数の両面で3年連続業界No.1*を獲得し、取り扱う個人情報も飛躍的に増加しているため、個人情報の保護を最重要課題に位置づけ、エンドポイントセキュリティの強化を進めてきました。

小島様（以下、敬称略）：
当社で利用している業務用パソコンの比率は、Windows85%、Mac15%と、Windows PCが大多数を占めます。そのため、まずはWindows PCを優先して対策を進め、従来導入していたセキュリティソフトに加えて、他社製のWindows PCとMac両方に対応したクラウド型のIT資産管理・セキュリティサービスを導入しました。これによって、Windows PCでは不審なサイトをカテゴリ単位でフィルタリングできる等、管理効率の向上とエンドポイントセキュリティの強化を実現しました。

---

---

古屋：
しかし一方で、Macに導入していたセキュリティソフトはフィルタリング機能ひとつを取っても個別に手動設定が必要な状況であったため、管理効率が低いだけでなく、リスクに即応できない課題がありました。こういった課題を解決できるMac向けソリューションを探した結果、Jamf Protectに辿り着きました。当初は、セキュリティ強化に特化した Jamf Protectのみを導入するか、Macのデバイス管理を強化できるJamf Proも併せて導入するかで検討していました。結果、Jamf Protectで設定したセキュリティルールや監視項目を、管理対象のMacに一括で適用することの便利さに加え、管理業務の効率も大幅に向上することから、両方を導入することにしました。

当社はハイブリッドワークを採用しており、オフィス出社は必須ではありません。エンジニアも基本的にはリモートワークです。そのため、「オフィス内＝安全」とする従来の境界型防御（ファイアウォール中心の考え方）は通用せず、ゼロトラストアーキテクチャーを前提としたセキュリティ対策が不可欠です。そうした観点から、Macでもデバイス管理を徹底する必要がありました。

また、Macの導入台数は今後増える可能性があります。これまで標準端末として安価な Windows PC を採用していましたが、業務をよりスムーズに行うために端末をアップグレードする必要が出てきました。その結果、Mac と Windows PC との価格差はより縮まっていくと考えています。こうした事情から「Windows PCである必然性がない従業員には、MacBook Airを導入してもよいのではないか」という意見も出てきており、実際に、経営管理本部ではすでにMacを利用しているメンバーもいます。すぐに全デバイスをMacに置き換えるわけではありませんが、段階的にMacが増えていく余地は十分にあると考えています。

こうした背景から、当社では最終的にJamf Protect、Jamf Proを含む「Jamf for Mac」を選定しました。Jamf ProtectとJamf Proを個別に契約するのではなく、Jamf for Macを選んだのは、そのほうが費用面で安価だったことと、後ほど触れるJamf Connect も含まれているためでした。

---

---

---

小島：
Jamf Protectはカテゴリ単位でサイトを制御できます。URLを個別登録する手間がないため、運用負担を大幅に軽減できます。自動更新により常に最新の状態を保てる点も魅力です。

さらにJamf Protect導入による一番の効果は、エンドポイントの脆弱性を可視化できるようになったことです。Jamf Protectのセキュリティ機能をクラウド上で統合管理できる「Jamf Security Cloud」にアクセスすると、どのデバイスがどれぐらいCVSS（共通脆弱性評価システム）のリスクを抱えているかがわかります。そしてこのアップデートは強制しなくてもいいなどを判断したり、CVSSスコアがHighに該当するデバイスの使用者にすぐに対応をお願いしたりできます。それでもアップデートが未対応の場合は、将来的にJamf Proを利用して強制アップデートすることも考えています。

古屋：
昨年末からSOC業務も開始しましたが、Jamf Protectを導入したことで、リスクスコアという客観的なデータに基づいて評価できるようになりました。「スコアがこの水準以上で、理由はこうだから対応してください」と、根拠を示して伝えられる分析基盤を手に入れたことは非常に大きな価値です。

小島：
さらに、Jamf Protectではマルウェアや危険なサイトを検出してブロックしたり、macOS上で発生する不審なユーザの挙動や悪意のあるふるまいを検出したりしてくれます。現在は、検出されたアラートの精査をおこなっている段階ですが、たとえばセルフデリート（ユーザによるJamf Protectエージェントのアンインストールなど）のアラートが出たときにヒアリングしたりなども始めています。

そのほか、Jamf Protectは外部記憶装置の使用を禁止して偶発的なデータ損失や不正アクセスをブロックしています。今後は、CISベンチマークにもとづいてデバイスの準拠状態を可視化したり、SIEMと連携して管理効率を高めたりしていきたいです。

---

---

小島：
Jamf Proに関しては「Setup Manager」の機能を利用したゼロタッチ導入の実現が一番の導入メリットに感じています。これにより各種設定やアプリの配布などが自動でおこなえるようになり、キッティングの作業が簡略化されました。以前はMac1台の設定に約50分かかっていましたが、Setup Managerで10分程度に短縮でき、作業負荷が大幅に軽減されました。

これまで導入していたセキュリティサービスでもリモートロック・ワイプといった最低限のMDM機能は利用できましたが、デバイスの位置情報や操作ログまでは確認できませんでした。個人情報保護の観点からは、Macの紛失・盗難時に情報漏洩がなかったことを確認したり、どのような状況で紛失したかを追跡したりすることも必要不可欠でしたので、それが可能になったことも大きな効果です。

古屋：
導入からわずか3ヵ月ですが、Jamf Proは使うたびに「こんなこともできるのか」と新たな発見があります。必須要件を満たすだけでなく、想像以上に細かなニーズにも応えてくれる点に驚かされ、「Jamfでできないことは他製品でも難しい」という安心感を得ています。

私たちの要件には最初入っていなかった、Jamf ConnectがJamf for Macに含まれていることも大きな利点でした。ゼロトラストアーキテクチャーを構築していくにあたり、クラウドIdPやゼロトラストネットワークアクセスのソリューションはいずれ導入せざるを得ません。さまざまなクラウドIdPと親和性の高いJamf Connectを利用できる状態になっていることは、我々の今後の選択肢を増やす観点で重要な意味を持ちます。

なお、今後Windows PC向けにはOSのアップデート管理をおこなうために、Microsoft Intuneの導入を検討しています。WindowsとmacOSではそもそもプラットフォームの設計思想が大きく異なるので、汎用的な製品でどちらもカバーしようとすること自体に無理があります。MDMはOSに合ったものを導入することが重要です。

---

小島：
Jamf for Mac導入にあたり、Tooさんには製品比較表や経営層向け資料の作成など多くの支援をいただき、大変助かりました。また、オンボーディングでは当社の運用に沿った具体的な設定方法をレクチャーしてもらい、終了時にはほぼ全設定が完了し、すぐに利用できる状態になっていました。

さらにコーポレートエンジニアリンググループの人員が限られる中、運用面では「あんしんMDM運用」も役立っており、導入当初のトラブルもチャットを通じて迅速に解決できました。Tooさんの魅力は対応スピードで、相談から1時間以内、速い時には30分以内に回答をいただけることもある点が特に心強いと感じています。

---

---

---