ネクストモード株式会社様は「クラウドであたらしい働き方を」をミッションに掲げ、すべての従業員がフルリモートで働きながら、「自分たちで実践して活用できると確信を持ったSaaS」の導入運用支援サービスを提供しています。社内にはゼロトラストネットワークの環境を整備し、Macのセキュリティ担保には「Okta Workforce Identity Cloud」と「Jamf Pro」、そして「Jamf Connect」を用いてセキュアなITインフラの構築と柔軟な働き方を実現しています。OktaとJamfをなぜ選択し、またどのように活用しているのか。「Okta×Jamf」で実現するMacのゼロトラストセキュリティと今後の展望について、SaaS事業部の久住陽介様と萩原淳様に伺いました。
効率と利益を最大化するためのフルリモートワーク
久住様(以下、敬称略):
当社では約40名の従業員全員がフルリモートで働いています。従業員が最大のパフォーマンスを発揮できる環境とは何かを考えたとき、メンバーが一堂に会して業務をおこなうほうが適している場合もあります。しかし、従業員が持つ能力を最大限引き出すためには多少の柔軟性があって然るべきです。人によっては通勤に時間を取られて、会社に来るだけで疲れてしまうこともあるでしょう。ですから、従業員が自ら一番良いと思える環境で働き、もっともパフォーマンスを発揮できるのであれば、家でも、ワーケーションしながらでも、どこでも働いて良いというのが当社の基本的なスタンスです。
また、業務に利用するデバイスも従業員が入社時に自由に選択できます。現在はWindows PCが7割、Macが3割で、近年はMacを使うメンバーが少しずつ増えています。
ゼロトラストネットワーク環境が自由な働き方を支える
久住:
フルリモートワーク、そしてマルチデバイスを前提にした働き方を実践するには、それを支えるためのシステム整備が必要不可欠です。現在「ゼロトラスト」という言葉がバズワードになっていますが、当社でもセキュアかつ効率的に働けるIT環境の構築に向けて、会社設立時からさまざまなSaaSの検証をおこなって製品を選定してきました。IDaaSとしてOktaのアイデンティティ管理ソリューション「Okta Workforce Identity Cloud(以下、Okta WIC)」を導入したあと、通常はEDRやMDMを導入する流れになりますが、当社では先にSASEの「Netskope」を導入。それに併せて業務システムとして必要な各SaaSも整えていきました。具体的には、コミュニケーションツールの「Slack」やグループウェアの「Google Workspace」、電子署名の「Docusign」、プロジェクト管理ツールの「Asana」、会計ソフトの「freee」、オールインワンワークスペースの「Notion」などです。
萩原様(以下、敬称略):
EDRとMDMに関しては当面の間は暫定的な製品を利用し、さまざまな製品の比較検討を繰り返しました。そして最終的にEDRとして「SentinelOne」を使い始めたのが創業2年目の2022年、MacのMDMとして「Jamf Pro」を正式採用したのが昨年2023年のことです。EDRとMDMの本格導入を遅らせることができたのは、当社の情報システムはフルクラウド化しているため、データがローカルにはなく、業務端末の侵害リスクが低かったからです。
「ベスト・オブ・ブリード」がOkta WIC採用の決め手
久住:
ゼロトラストネットワーク環境を構築するうえで、Okta WICを最初に導入したのはまずは各SaaSのセキュリティを確保するため、ログイン管理をする必要があると考えたからです。リモートワークをする/しないに関わらず、オンプレミスからクラウドへ移行してSaaSを業務にどんどん利用するようになると、セキュリティの強化や運用の効率化のためにID・パスワードを統合的に管理することが求められますので、Okta WICのようなIDaaSの導入は必須と言えます。
数あるIDaaSの中からOkta WICを選んだのは、「ベスト・オブ・ブリード」の製品として一番優れていると判断したからです。社内システムをMicrosoftやGoogleの製品群で固めることもできますが、そうすると特定ベンダーに過度に依存した状態になってしまい、将来的なシステム移行が困難になる「ベンダーロックイン」が発生してしまいます。ですから、当社ではさまざまなベンダーの製品の中から各分野でもっとも良いものを組み合わせるというベスト・オブ・ブリードのアプローチでシステムを構築することに決めました。そしてその結果、同じくベスト・オブ・ブリードの考え方のもと中立性と柔軟性を核とした製品展開をおこなうOkta WICを採用したのです。
Okta WICは「Okta Integration Network」によって7,000以上のクラウド/オンプレミスアプリに対応するなどほかのSaaSとの連携が容易にできますので、将来的にシステムを拡張していくことが容易です。また、管理者として楽しく効率的に業務をおこなえることや、パスワードレス認証などの最新技術へのキャッチアップが早い点なども魅力でした。
Jamf Proの導入理由は直感的な操作のしやすさ
久住:
Macのゼロトラストセキュリティを実現するには、まずはOkta WICのようなIDaaSを導入してSaaSにアクセスできる(認証可能な)端末を絞ることが重要です。ただし、IDaaSによる通常のアクセス制限はIPやブラウザの情報を元におこなっているため、デバイス自体の信頼性はチェックされません。Oktaの多要素認証要素アプリ「Okta Verify」を用いて簡易的なデバイス制御は可能ですが、さらにセキュリティを強化するにはIDaaSとMDMを連携させてデバイスベースの認証をおこなうのが正攻法のやり方です。
当社ではMacのMDMにJamf Proを採用していますが、当初はWindows PCとMacの両方を一元的に管理できる汎用的なMDMのほうがいいのではないかと考え、「VMware Workspace ONE」を使っていました。しかし、その後「Macのデバイス管理はJamf Pro一択」という声を多く耳にするようになり、実際に試したところ、その素晴らしさに驚かされました。VMware Workspace ONEもとても良いMDMなのですが、やはりJamf ProはApple製品に特化しているだけあって実にきめ細やかなMacの管理がおこなえます。
萩原:
Jamf Proのもっとも優れているところはやはりUIです。汎用的なMDMではMacを管理するにあたって、目的の設定が階層の深いところにあったり、メニュー名がわかりにくかったりするのに対して、Appleのユーザエクスペリエンスと同じようにデザインされているJamf Proは、直感的に操作できます。
久住:
Jamf Proのもう1ついいところは、「Jamf Pro Premium Onboarding」と呼ばれるオンボーディングサービスが受けられる点です。当社ではTooさんの中に在籍されているJamf認定のインテグレーターの方に3日間おこなってもらったのですが、Apple製品やJamf Proについて詳しくレクチャーいただき、スムースに導入を終えてすぐに使い出すことができました。
萩原:
運用においてわからないことが出てきた場合も、Tooさんのサポートの方とSlackで気軽にコミュニケーションでき、とても助けられました。どのような質問であっても、実にスピーディかつ丁寧に対応いただけます。こうしたオンボーディングの仕組みやサポートが充実していることも、Jamf Proの大きな魅力だと思います。
Macのセキュリティを強化するためのOkta WICとJamf Proの統合
久住:
Okta WICの「Okta Device Trust」というソリューションを利用すると、Jamf Proと連携してOktaに登録されている各SaaSのアクセス条件に「Jamf Proに登録されていること」を追加することができます。これにより管理者は、たとえばリモートで働いている従業員の(安全性が担保されていない)プライベート端末や野良端末からのアクセスは拒否し、Jamf Proで管理されている「信頼できるMac」だけに認証を制限できます。
お客様とお話していると、今はハイブリッドワークを採用している企業が多いような印象を受けます。リモートワークでもオフィスにいるときと同じようにセキュアな環境で働いてもらうにはどうしたらいいかという課題感から、IDaaSとMDMを連携させたデバイスベースでの制御へのニーズが最近高まっているように感じます。
萩原:
Okta WIC×Jamf Proのデバイス認証をおこなうにはOkta Verifyを用います。Jamf Proによって発行された証明書をデバイス上のOkta Verifyでチェックして、正しければOktaの各SaaSへのアクセスを認可します。また、このOkta Verifyは、ディスクが暗号化されているかや最新OSがインストールされているか、Touch IDが有効/無効になっているか、端末がJailbreakされていないかなど、デバイスのさまざまな情報をチェックすることも可能です。さらに、Google Workspaceの「コンテキストアウェア アクセス」と連携すれば、Google Workspaceに登録された端末に対してより細かい粒度でデバイスベースのアクセス制御をおこなうことができます。
Jamf ConnectでIDaaSとMacの認証情報を統合
久住:
Okta WICでSaaSのIDを統合管理していれば、Macの認証(Macへのログイン)もOktaのID/パスワードで統合したくなります。そこで当社で導入したのが「Jamf Connect」です。Jamf Connectを利用すればOktaなどのIDaaSの認証情報を用いてMacのローカルアカウントの作成やログインができます。また、Jamf ConnectではMacのローカルパスワードとOkta WICの認証情報を同期したり、Macへのログイン時にOktaの多要素認証 (MFA) を組み込むことでセキュリティを強化できます。Jamf ConnectによってOkta WICとMacの認証情報を統合すれば、ゼロトラスト環境においてさらにユーザエクスペリエンスが向上し、Macのアカウント設定や管理にまつわる管理者の負担を軽減できます。
萩原:
Jamf ConnectでOkta WICの認証情報とMacのローカルパスワードを統合していれば、Macログイン時に表示されるログインウインドウでOktaのIDとパスワードを入力することでMacにログインできます。ただし、Mac標準のディスク暗号化機能であるFileVaultを有効にしている場合は留意すべき点があります。それはMacへのログイン時に最初にFileVaultのログインウィンドウが表示され、ID・パスワードを入力してディスクのロックを解除する必要があることです。そしてその後、Oktaの認証画面が表示されるので結果的に2回ログインパスワードを入力しなければなりません。そのためユーザの利便性は落ちますが、このあたりはセキュリティを重視するMacの仕様であるため、それを理解したうえで導入の判断をすべきでしょう。
自動化の仕組みやAPI連携でさらなるスマートな環境を
久住:
Okta WICでIDを統合管理して各SaaSにプロビジョニングをおこなっていれば、従業員の入退社の際にSaaS側のユーザも自動的に作成・削除されます。現在はしっかりとそれがおこなわれているかをOkta WIC上で目視で確認しているのですが、今後は「Okta Workflows」を使って自動化することを考えています。具体的には、Okta WICでユーザを無効化したことをトリガーにして、対象ユーザの削除が成功したアプリケーション名をOkta WICのシステムログから取得。そして、それをすべてSlackで通知させるのです。このようにOkta Workflowsを使ってAPIでOktaと複数のアプリをつないで操作を自動化できれば、管理業務をさらに効率化できます。
また、Jamf ProにもさまざまなAPIが提供されていますので、その活用も今後おこなっていく予定です。たとえば、現在はパソコンの資産管理を手動でおこなっているのですが、Jamf Pro APIを叩いてJamf Proに登録されているMacのデバイス情報を取得し、それをGoogleスプレッドシートやNotionなどに出力して自動的に更新される仕組みを構築したいと考えています。それが実現できれば、現在のように人間が手作業で管理するよりもだいぶ楽になりますし、従業員の入退社のたびに確認しやすくなります。また、スプレッドシートに出力したものをLooker StudioやAWS上のAmazon QuickSightで可視化するなど、さらなる応用も考えられます。
萩原:
Okta WICやSentinelOneなどでセキュリティの脅威を検知したら自動的にJamf Proに登録されたデバイスをロックするなど、セキュリティをさらに強化することも可能ですので、いろいろと取り組んでいきたいと思います。
Macのゼロトラストを実現するOktaとJamfの価値
萩原:
Okta WICやJamf Proを選定する一番の理由は「ベスト・オブ・ブリード」に尽きると思います。というのも、IDaaSの場合はそこが取られてしまうと影響は各SaaSに及ぶわけですから、一製品への投資と考えるのではなく、自社で導入しているすべてのSaaSのためにもっとも良い製品を導入する必要があります。当社でOkta WICを採用したのも「一番リスクが高い部分だから、一番良いものを入れる」というシンプルな理由からです。また、Jamf Proを導入したのも同様の意味で、Macを制御・コントロールするうえで現在もっとも優れている製品だからです。
久住:
IDaaSやMDMを導入する際は、投資収益率(ROI)や費用対効果が気になると思います。そのため当初は安価な製品を選びたくなる気持ちはわかりますが、その後ビジネスが拡大してIDaaSやMDMの移行を迫られると、それこそがビジネス的なリスクになります。ユーザアカウントの移行や端末のプロファイルの入れ替えなどの大掛かりな作業が発生し、管理者にもユーザにも大きな負担を強います。また、当然ながら移行費用もかかります。将来的な会社の成長を見越してそうした手間やコストを考えれば、Okta WICやJamf Proは決して高くない製品です。そしてそう思えるかどうかは、生意気な言い方をすれば、「どのくらい会社を成長させようと思っているか」次第だと思います。
※記載の内容は2024年4月現在のものです。内容は予告無く変更になる場合がございます。
