ROUTE06 で Jamf Connect を導入しました

こんにちは。情シスの @kaze3desu です。
このたびROUTE06では、ゼロトラストセキュリティの実現に向けて、Jamf Connectを導入しました。
Jamf Connectの導入を検討している方向けに、ポイントをまとめました。

Jamf Connectとは

Jamf Connectは、Appleデバイス向けに特化したツールで、IdP(アイデンティティプロバイダー)との連携を実現します。
Jamf Connectを使用することで、ユーザーはOktaなどのIdPを通じてMacにサインインでき、セキュリティと利便性が向上します。また、Jamf ProやJamf Protectとの連携により、デバイス管理やセキュリティポリシーの適用がスムーズに行われます。
このように、Appleデバイスを多く使用する企業にとって、ゼロトラストセキュリティの実現に大きく貢献するツールです。

Jamf Connectの導入効果

Jamf Connectを導入した事で、以下のような効果を得ました。

1. Oktaの認証情報でMacにログイン

Jamf Connectを導入することで、ユーザーはOktaの認証情報を使ってMacにログインできるようになりました。これにより、Macのローカルアカウントのパスワード管理が不要となり、ユーザーの負担が軽減されます。また、Oktaの認証はMFA(多要素認証)が必須となっているため、実質的にMacのローカルアカウントにもMFAが適用されている状態となります。
デバイスを紛失した際には、Oktaの管理画面から該当デバイスへのアクセスを即座に停止できるため、セキュリティが大幅に向上します。

一方で、FileVaultを有効化している場合は、上記の画像のようにMacの起動時に追加の手順が必要になるため、少々手間が増える点がデメリットです。

2. Macのローカルアカウントをデフォルトで「通常」権限にする

Jamf Connectを使用することで、Macのローカルアカウントをデフォルトで「標準」権限に設定できます。
ローカルアカウントに常時管理者権限を付与することは、セキュリティリスクが増大します。
特に、管理者権限を持つユーザーがマルウェアに感染すると、悪意のあるソフトウェアがシステム全体に影響を及ぼす恐れがあります。
リスクを軽減するため、管理者権限を付与しないことが推奨されます。

ユーザーに管理者権限を付与する必要がある場合、以下の方法が利用可能です。

  • 特定のOktaグループに所属している間、そのユーザーのローカルアカウントを管理者権限に設定する
  • メニューバーに常駐するJamf Connectアプリから、Oktaの認証を経て管理者権限へ自己昇格が可能
  • Jamf Self Service.appに登録したポリシーを実行することで、管理者権限への自己昇格が可能

これらの方法を、社内の承認プロセスと組み合わせることで、セキュリティリスクを最小限に抑えた柔軟な運用を実現できます。

3. ゼロタッチデプロイがよりスマートになった

Jamf Proだけを使用したゼロタッチデプロイでは、ユーザー自身がコンピューターアカウントを作成するプロセスが含まれていました。
しかし、Jamf Connectを導入すると、Macの初期セットアップ時にOktaのサインイン画面が表示されるようになります。ユーザーがOktaでサインインすると、Oktaアカウントの情報をもとにローカルアカウントが自動的に作成されます。

つまり、ユーザーはMacの電源を入れて画面の指示に従い、Oktaでサインインするだけで、Macのセットアップが自動的に完了します。これにより、このプロセスはOktaを利用するため、ユーザー情報の一元管理や多要素認証(MFA)の導入が容易になり、セキュリティも強化されます。

もちろん、組織ごとのセキュリティポリシーやソフトウェアも自動的に適用されるため、迅速かつセキュアなデプロイが実現します。

4. ZTNA(ゼロトラストネットワークアクセス)機能が利用可能になる

Jamf Connectは、Oktaの認証とWireGuard技術を活用した次世代VPNにより、強力なゼロトラストネットワークアクセス(ZTNA)機能を提供します。この機能により、ネットワークへのアクセスが厳密に制御され、ユーザーやデバイスは常に認証され、認可されたリソースにのみアクセスできる環境が構築されます。これにより、外部からの攻撃や不正アクセスのリスクが大幅に低減され、セキュリティが強化されます。

引用: https://learn.jamf.com/ja-JP/bundle/jamf-connect-documentation-current/page/Private_Access_Architecture.html

デフォルト設定では、Jamfが提供する最寄りの共有インターネットゲートウェイを経由しますが、企業固有のグローバルIPアドレスを取得することで、デバイスの通信を特定のIPアドレス経由に設定することが可能です。

現在のゼロトラストモデル

こちらが、Jamf製品とOktaを活用した当社のゼロトラストモデルのシステム構成図です。
これは、当社が目指すゼロトラストアーキテクチャの一部を示した概念図であり、全体の概要を捉えるものとしてご覧ください。

当社は、創業時からフルリモートワーク前提の会社であり、デバイス構成が Mac 100%・iPhone 100% です。

最後に

ROUTE06では、IPOや自社プロダクトに対してSOC2 Type2等のセキュリティ認証を取得することも視野に入れています。
これらを円滑に進めるためにも、要件に合わせてゼロトラストモデルをアップデートしていく予定です。
この記事が皆さんにとって、何かしらの参考になれば幸いです。