ROUTE06 で Jamf Connect を導入しました

こんにちは。情シスの @kaze3desu です。
このたびROUTE06では、ゼロトラストセキュリティの実現に向けて、Jamf Connectを導入しました。
Jamf Connectの導入を検討している方向けに、ポイントをまとめました。

Jamf Connectとは

Jamf Connectは、Appleデバイス向けに特化したツールで、IdP（アイデンティティプロバイダー）との連携を実現します。
Jamf Connectを使用することで、ユーザーはOktaなどのIdPを通じてMacにサインインでき、セキュリティと利便性が向上します。また、Jamf ProやJamf Protectとの連携により、デバイス管理やセキュリティポリシーの適用がスムーズに行われます。
このように、Appleデバイスを多く使用する企業にとって、ゼロトラストセキュリティの実現に大きく貢献するツールです。

Jamf Connectの導入効果

Jamf Connectを導入した事で、以下のような効果を得ました。

1. Oktaの認証情報でMacにログイン

Jamf Connectを導入することで、ユーザーはOktaの認証情報を使ってMacにログインできるようになりました。これにより、Macのローカルアカウントのパスワード管理が不要となり、ユーザーの負担が軽減されます。また、Oktaの認証はMFA（多要素認証）が必須となっているため、実質的にMacのローカルアカウントにもMFAが適用されている状態となります。
デバイスを紛失した際には、Oktaの管理画面から該当デバイスへのアクセスを即座に停止できるため、セキュリティが大幅に向上します。

一方で、FileVaultを有効化している場合は、上記の画像のようにMacの起動時に追加の手順が必要になるため、少々手間が増える点がデメリットです。

2. Macのローカルアカウントをデフォルトで「通常」権限にする

Jamf Connectを使用することで、Macのローカルアカウントをデフォルトで「標準」権限に設定できます。
ローカルアカウントに常時管理者権限を付与することは、セキュリティリスクが増大します。
特に、管理者権限を持つユーザーがマルウェアに感染すると、悪意のあるソフトウェアがシステム全体に影響を及ぼす恐れがあります。
リスクを軽減するため、管理者権限を付与しないことが推奨されます。

ユーザーに管理者権限を付与する必要がある場合、以下の方法が利用可能です。

特定のOktaグループに所属している間、そのユーザーのローカルアカウントを管理者権限に設定する
メニューバーに常駐するJamf Connectアプリから、Oktaの認証を経て管理者権限へ自己昇格が可能
Jamf Self Service.appに登録したポリシーを実行することで、管理者権限への自己昇格が可能

これらの方法を、社内の承認プロセスと組み合わせることで、セキュリティリスクを最小限に抑えた柔軟な運用を実現できます。

3. ゼロタッチデプロイがよりスマートになった

Jamf Proだけを使用したゼロタッチデプロイでは、ユーザー自身がコンピューターアカウントを作成するプロセスが含まれていました。
しかし、Jamf Connectを導入すると、Macの初期セットアップ時にOktaのサインイン画面が表示されるようになります。ユーザーがOktaでサインインすると、Oktaアカウントの情報をもとにローカルアカウントが自動的に作成されます。

つまり、ユーザーはMacの電源を入れて画面の指示に従い、Oktaでサインインするだけで、Macのセットアップが自動的に完了します。これにより、このプロセスはOktaを利用するため、ユーザー情報の一元管理や多要素認証（MFA）の導入が容易になり、セキュリティも強化されます。

もちろん、組織ごとのセキュリティポリシーやソフトウェアも自動的に適用されるため、迅速かつセキュアなデプロイが実現します。

4. ZTNA（ゼロトラストネットワークアクセス）機能が利用可能になる

Jamf Connectは、Oktaの認証とWireGuard技術を活用した次世代VPNにより、強力なゼロトラストネットワークアクセス（ZTNA）機能を提供します。この機能により、ネットワークへのアクセスが厳密に制御され、ユーザーやデバイスは常に認証され、認可されたリソースにのみアクセスできる環境が構築されます。これにより、外部からの攻撃や不正アクセスのリスクが大幅に低減され、セキュリティが強化されます。