Jamf Pro と Jamf Connect ZTNA で安全かつ効率的に iPhone の BYOD を実現
ソフトバンクロボティクス株式会社
ソフトバンクロボティクスは、2014 年にいち早く人型ロボット「 Pepper 」を発表し、2018 年には清掃ロボット、2021 年には配膳・運搬ロボット、そして 2022 年には物流自動化ソリューションの展開を開始しました。多様な製品の取り扱いを通じて得た知見や稼働データを活かし、ロボットを効果的に導入するためのソリューションを提供することで、ロボットインテグレーター( RI )として先駆的な役割を果たしています。
https://www.softbankrobotics.com/ロボットの開発・販売・メンテナンスサービスを提供するソフトバンクロボティクス株式会社では、Jamf Pro を利用して Mac や iPhone のゼロタッチ導入を行い、効率的かつ安全なデバイス管理を実現しています。
また、Jamf Pro と Jamf Connect ZTNA を組み合わせて、海外の従業員向けに iPhone の BYOD も実施しています。ゼロトラストセキュリティを前提としたグローバルレベルの IT 統制に、“Jamf が欠かせなかった理由”を探ります。
情報セキュリティの脆弱性
- 従来のオンプレミス中心の境界型防御モデルでは、情報セキュリティを十分に担保できない。
- 個人スマートフォンからのアクセスや、端末紛失、シャドー IT の発生、ウイルス感染による情報漏洩リスクの懸念。
手動管理の負担
- 拠点ごとに異なる IT システムの利用により、オンサイトでの手動管理に多大な時間と労力が必要。
- 端末の初期設定(キッティング作業)が1台あたり1~2時間かかる。
セキュリティ意識のばらつき
- グローバル拠点間でのセキュリティ意識やルールの統一が困難であり、 IT 統制が不十分。
情報セキュリティの強化
- Jamf Pro のリモートロックやワイプ機能で情報漏洩リスクを大幅に低減。
- Jamf Connect ZTNA で会社領域と個人領域を分離し、セキュアな通信環境を実現。
管理業務の効率化
- ゼロタッチ導入により、キッティング作業時間を 1 台あたり 10 ~ 15 分に短縮。
- グローバル統一のIT環境を構築し、リモートでの対応を可能に。
セキュリティ意識とグローバル IT 統制の向上
- Jamf 製品を活用して、拠点間で統一されたセキュリティ基準を構築。
- セキュリティを「業務支援のアクセラレーター」として位置付け、従業員への説明や意識向上を実現。
目次
“ゼロトラスト”の構築への第一歩 – Jamf Pro 導入の理由と効果 –
グローバル志向の Apple デバイス管理
世界をリードする”ロボットインテグレーター”として知られるソフトバンクロボティクスでは、Jamf 製品を用いて、業務端末として利用する Apple デバイスの管理運用を行っています。Jamf 製品を初めて導入したのは、 2021 年 9 月。「 Jamf Pro 」を採用して Mac のゼロタッチ導入を行い、その後 2021 年 11 月には iPhone のゼロタッチ導入、 2022 年 1 月には海外拠点への Mac 展開、そして 2023 年 4 月には「 Jamf Connect ZTNA(導入当時の製品名は Jamf Private Access )」を採用し、 2023 年 7 月から海外の従業員向けに iPhone の BYOD( Bring Your Own Device )を実現しています。
こうした一連の取り組みを行ったのは、新型コロナウイルス感染症拡大やそれに伴う働き方の変化、そして海外拠点の増加などへ対応するために、企業のセキュリティモデルを”ゼロトラスト”へシフトする必要性があったため。特に、従来のオンプレミスを前提とした境界型防御モデルでは情報セキュリティの担保がもはや難しかったこと、また拠点ごとに利用する IT システムやツールが異なり、オンサイトかつ手動での管理運用に負担がかかっていたことから、今後のグローバル拡大も見据え、セキュリティ面でも、管理運用面でも統一した仕組みを導入し、グローバルレベルで IT ガバナンスを強化しようとしたのです。
ソフトバンクロボティクス株式会社
プロダクト統括 技術本部 IT技術部 デジタル推進課 課長
渡邉邦尚 氏
Jamf Pro でゼロタッチ導入を実現
ゼロトラストセキュリティ構築のために同社が IDaaS や CASB/SWG/DLP、EDR/NGAV などのソリューションと併せて導入したのが、Apple デバイス向け管理ソリューション( MDM )の Jamf Pro です。当時はスマートフォンよりもパソコンからアクセスできる情報資産のほうが多かったため、社内 PC の半数以上を占めていた Mac のデバイス管理から取り組みを開始しました。
プロダクト統括 技術本部 IT技術部 デジタル推進課 課長 渡邉邦尚様 (以下、敬称略)
Jamf Pro導入による大きな効果は、管理運用面での負荷が著しく低減したこと。特に拠点ごとに異なり、かつ手動で行っていたキッティング作業の時間を大きく改善できました。
Jamf Pro によるゼロタッチ導入を実現した今は、 Mac の箱を開けて本体に資産管理シールを貼って郵送するだけです。あとは従業員が Mac の電源を入れて初期設定でネットワークに接続された瞬間に Jamf Pro で作成したポリシーが自動的に適用されます。これまでは1台キッティングするのに 1 ~ 2 時間かかっていましたが、 10 分 ~ 15 分もあれば済むようになりました。また、端末の障害や故障、紛失時には代替機を送付するだけで従業員は素早く業務を再開できますし、退職後の再設定も簡単に行えます。オンボーディングから始まる端末のライフサイクル管理全体がとても楽になりました。
また、Jamf Pro ではリモートロックやワイプが可能なことから情報漏洩リスクを低減できたほか、アプリケーションの一括配付、豊富なインベントリ情報の取得も可能なため、業務効率化やセキュリティ強化にもつながっていると言います。そしてその結果、地理的に離れたグローバル拠点に対して、本社の東京にいながら IT 環境を統一でき、オンサイト対応することなく、拠点ごとのリクエストやニーズに柔軟に対応できる環境を実現したのです。
Jamf ProでMacの端末情報を定期的に自動取得できるのも重要なポイントです。たとえば、特定の端末情報が欲しい場合は、インベントリ情報取得の処理をチェックイン時に実施するように設定すれば約 15 分おきに情報が取得できます。
さらにユーザ対応の際は、管理端末に対してリモートから画面共有を行い、遠隔操作やコマンドの実行が可能な Jamf Pro の「 Jamf Remote Assist 」も便利に活用しています。
安全で効率的なBYOD運用
– 必須だった Jamf Connect ZTNA の選択 –
iPhone を「会社領域」と「個人領域」に分離
Mac や iPhone のゼロタッチ導入実現後、同社では海外拠点における iPhone の BYOD にも着手しました。これまで各国で異なるポリシーで運用され、複数の経路で情報資産にアクセスするケースがあり、脆弱な認証や端末紛失、シャドー IT 化、ウィルス感染などの情報漏洩のリスクがあったためです。
そこで、同社では Jamf Pro の「アカウント駆動型ユーザ登録」を有効化して個人所有デバイスを Jamf Pro に登録し、iPhone の中を「会社領域」と「個人領域」に分離。従業員が BYOD の利用規約に同意したうえで「設定」アプリを起動して[一般]→[ VPN とデバイス管理]と設定を辿り、会社管理の Apple ID(管理対象 Apple ID )および IDaaS のアカウントでサインインして認証を行うと、会社領域を構成するプロファイルが適用され、必要な業務用アプリがインストールされます。
会社として配布したアプリは会社の管理領域の中でしか動かなくなります。また、会社の情報資産を個人領域に移動・コピー・ペーストができなくなるので、情報漏洩のリスクを圧倒的に下げられます。さらに、会社領域におけるインベントリ収集が行えますし、会社管理の Apple ID でサインインしているので情報漏洩や不正が発覚したときは遠隔操作によって強制離脱させることも可能です。
iPhone x Jamf Connectで安全な通信を実現
さらに同社では iPhone を BYOD 運用するうえで、アプリの通信制御、すなわちゼロトラストネットワークアクセス( ZTNA )を実現するために Jamf Connect ZTNA の導入も行いました。その理由は、一般的な ZTNA ソリューションでは会社領域や個人領域にあるすべてのアプリの通信が同じネットワークサーバに VPN 経由で接続されてしまい、個人領域にインストールしたアプリから企業リソースにアクセスできてしまうから。これではまったくセキュリティ的なアドバンテージがないことから、会社領域にあるアプリからは必ず Jamf Connect ZTNA を経由して通信させることで業務リソースへのアクセスを制御しました。これにより、海外拠点の従業員の意思を尊重しながら、業務効率を落とすことなく、情報漏洩を防ぐことのできるセキュアな環境を構築したのです。
Jamf Connect ZTNA では専用ポータル( Jamf Security Cloud )からアプリ単位で通信の接続先などのきめ細やかなアクセスポリシーを作成できます。また、通信ログの可視化も可能で、情報漏洩につながる不正利用や不要な外部アクセスを確認できます。 Jamf Connect ZTNA から直接インターネットに接続させるのではなく、当社サーバを一度経由してから接続させることで、 Jamf Connect ZTNA とサーバによる2段階の通信ログを取得してセキュリティを高めています。
また、Jamf Connect ZTNA に実装されている次世代 VPN 「 WireGuard 」は一般的な VPN プロトコルと比較して約4倍のスループットを実現し、ほぼ途切れることのない安定通信が可能なこと、またデバイス側のオーバーヘッドが少なくバッテリ消費を抑えられることもメリットだと言います。
iPhone の BYOD を実現しようとしたとき、このような ZTNA によるアクセス制御やログ解析を行えるソリューションはほかには存在しません。
デバイストラストでセキュリティを向上
– Jamf Pro×Jamf Connectのメリット –
管理者にも利用者にも優しい導入
同社で Jamf Connect ZTNA を採用した理由には、Jamf Pro との親和性の高さもあります。
たとえば、Jamf Pro を利用すれば iPhone の環境分離を行ったうえで、Jamf Connect ZTNA の通信に必要なクライアントアプリ「 Jamf Trust 」を含めて業務に必要なアプリを一度に端末にインストールできます。ユーザ視点で見れば、iPhone に管理対象 Apple ID と IDaaS でログインすれば自動的に構成プロファイルが適用されて業務に必要なアプリを入手でき、Jamf Trust にログインするだけで、私物の iPhone でも個人領域のアプリからの通信が阻害されることなく、会社領域にセキュアに接続できる環境が整うわけです。
iPhone の BYOD 運用は従業員に一部設定を行ってもらう必要がありますが、基本的にはいつも利用しているメールアドレスでログインし、 Jamf Trust をオンにするだけなので非常に簡単です。従業員向けの説明用マニュアルも簡略化でき、とても楽になりました。
また、Jamf Pro と Jamf Connect ZTNA を組み合わせれば「デバイストラスト( MDM との連携によるデバイス認証)」によって、MDM に登録されている安全なデバイスのみ、または特定のグループのみアクセスを許可してセキュリティを強化できるのも利点です。
端末に証明書を配付してデバイス認証する方法もありますが、証明書サーバを運用するには年間数百万ほどのコストがかかりますし、その証明書を管理するのも非常に大変です。 Jamf Pro と Jamf Connect ZTNA の連携であれば Jamf Pro で適切に管理されたデバイスかつ、ユーザ認証に成功し、脅威にさらされていないことが確認されたデバイスにのみ、社内リソースへのアクセスを許可できます。他ソリューションを利用したデバイス認証よりも安価なので、 Jamf Pro と Jamf Connect ZTNA を組み合わせるのがもっとも合理的なのです
このように同社では「グローバルレベルでの端末管理には Jamf 製品が不可欠」と捉え、海外従業員の私物 iPhone に加え、コストパフォーマンスや管理運用面から標準機として採用するようになった Mac、および国内従業員向けに貸与する iPhone を Jamf 製品によって効率的かつ安全に管理しています。
社内セキュリティ意識の醸成にもつながる
今回の Jamf Pro × Jamf Connect ZTNA による iPhone の BYOD の実現は、単なるセキュリティ強化や管理運用の効率化のみならず、これまで各拠点で統一されていなかったレギュレーションやセキュリティ意識のばらつきを解消でき、「社内のセキュリティ意識をグローバルレベルで醸成し、共通化できたこと」にも大きな価値があったと言います。
グローバルで IT サービスを提供するうえで研修会や勉強会などは行っていますが、”どこまで安全か”の基準は個人や国ごとに異なりますので、グローバル全体で一定レベルまで引き上げるのは簡単ではありません。そうした中で当社では、ユーザができることを画一的に制限するのではなく、ユーザが気づかないうちに情報漏洩や不正利用してしまわないように”安全のレールを敷く”という考え方を大事にしています。また、制限を課すときでも、従業員に対してその理由を説明して、それによって業務を阻害することなく安全を担保していることをしっかりとコミュニケーションするようにしています
“セキュリティは業務をブロックするものではなく、業務を安全に支援する最大のアクセラレーター”。
Jamf Pro と Jamf Connect ZTNA は、そうした同社ならではのグローバルレベルの IT 統制に大きな役割を果たしているのです。
「マジックハットさんの導入支援があったからこそ、Jamf 製品を滞りなく設定構築し、ゼロタッチ導入の早期立ち上げを実現できました」
ソフトバンクロボティクス株式会社
プロダクト統括 技術本部 IT技術部 デジタル推進課 課長
渡邉邦尚 氏
ソフトバンクロボティクスでは Jamf 製品を導入するにあたり、マジックハットが提供する初期導入支援サービスを利用しました( Jamf Pro 導入時は約 4 ヵ月、 Jamf Connect ZTNA 導入時は約 3 ヵ月)。
「知識がゼロベースの状態でスタートしましたので、マジックハットさんの導入支援がなければ素早い環境構築は不可能だったと思います。当時は各拠点のトレーニングや環境調査のために海外へ行っていることもあったのですが、時差がある中でも即座に問い合わせに対応いただけたことが今でも印象に残っています」
また、マジックハットによる初期導入支援サービスの中でも特に役立ったと語るのが、 Jamf 認定インテグレーション資格を持つエンジニアが 2.5 日間にわたって Jamf Pro の実環境を使用して初期設定と運⽤操作をレクチャーする「 Jamf Pro 導⼊⽀援サービス for macOS & iOS 2.5day 」です。
「当社の細かな要件や要望をお伝えし、設定や運用に関する有益なアドバイスをいただきながら、プロファイルやポリシー、アプリ配付などの設定をその場で素早く終えることができました。 2021 年 8 月上旬に実施したのですが、翌月 9 月前半にはテストを行い、その後社内説明を行って全社員に Mac を一度初期化してもらったあと、 9 月中には全社の Mac に Jamf Pro を入れ始めることができました。他のゼロトラストソリューションの導入も並行して行っていたのにも関わらず、このように早期の立ち上げができたのは本当にマジックハットさんのおかげです」
また同社では、Jamf 製品導入後の安定運用をサポートする Jamf 社の無償サポートに加え、初期導入支援を行ったエンジニアが Jamf Pro の運用操作における技術サポートを電話・メール等で対応する「 Jamf 技術支援サポート」も利用しています。
「導入後は安定運用しているものの、疑問や問題があったときにチャットでフランクに相談させていただいています。オンボーディングで当社の環境を把握いただいているエンジニアの方に対応いただけるので説明する手間が省けるのがいいですね。また、マジックハットさん側で解決できないような問題に関しては、 Jamf 社の無償サポートも利用できるのも安心です。こうしたメーカーサポートを受けるうえでは回答の精度が一番重要ですが、その点マジックハットさんからはいつもピンポイントな回答をいただけますので、導入後も流れを止めることなく、 Jamf 製品の活用拡大につなげることができました」
Mac 向けの MDM を導入するうえで重視したのは運用面です。以前は別の MDM を利用していましたが、端末紛失時にワイプが行えなかったり、取得できるインベントリが限られていたりなど機能的な不十分さに課題を感じていました。 Jamf Pro は Mac のゼロタッチ導入に対応していますし、 macOS との親和性が高く、機能が豊富なのも特徴です。また、さまざまなソリューションと連携するため拡張性にも優れます。特に、当社が導入する IDaaS とシームレスに連携できることも採用の決め手になりました。