スマホ新法に対応してiPhoneアプリのサイドローディングを制限しておこう
はじめに どーもみなさんこんにちは。ねもてぃです。 2025/12/18よりスマホソフトウェア競争促進法(通称:スマホ新法)が施行されるということで、EUのDMA(デジタル市場法)に続き、…
AppleIntuneiOS
Jamfとは
About
Jamfは、Apple製品の管理に最適化されたUnified Endpoint Management (UEM)ソリューションです。創業以来20年以上Apple製品の管理のみに特化しており、Appleの最新機能に即座に対応します。世界70,000社以上、3,000万台以上のAppleデバイスで採用されています。
Apple Business ManagerまたはApple School Managerと連携し、デバイスを箱から開けた瞬間から自動的に企業ポリシーを適用する「 ゼロタッチデプロイメント 」を実現。従業員はデバイスを受け取り、電源を入れるだけで、会社のWi-Fi設定、VPN、必要なアプリケーション、セキュリティ設定が自動インストールされます。
さらに、 Jamf Protect によるmacOS専用のエンドポイントセキュリティ、 セルフサービスポータル によるIT部門の負荷軽減など、Apple環境を最大限に活かした管理を実現します。
エンドポイントセキュリティとMDMの関係
閉域網が前提だった以前とは異なり、現代のセキュリティではネットワークが持っていた機能をエンドポイントに寄せることで、場所やネットワークに依存しないセキュアな環境を実現することが求められています。
そのためには、デバイスをいかに適切で理想的な状態に保ち、信用できるようにするかがエンドポイントセキュリティとして最も重要な要素となります。様々なセキュリティ製品がありますが、デバイスへのインストール、ネットワークの設定、証明書の発行、アップデートなど様々な前提条件がほとんどの場合で必要であり、その条件をクリアして期待された状態にするためにMDMは必須のソリューションです。
MDMフレームワークとJamf Agentフレームワーク
Jamf Proをはじめとした一般的なMDM製品は、構成プロファイル(Configuration Profile)やMDMコマンドといった、Appleが提供しているMDMフレームワークを配布・実行することによって統制を実現しています。
macOS製品においては、MDMフレームワークに加え、Jamf Proではさらに独自のフレームワークである「Jamf Agent」によって、より深いレベルのインベントリ収集や制御が可能です。
MDMフレームワーク(Apple標準)
| 機能 | 説明 |
|---|---|
| 構成プロファイル | Appleデバイスの設定を定義したXMLファイル。iCloudの禁止といった制限、Wi-FiやVPNの設定など多岐にわたる設定が可能。エンドユーザーによる変更を不可にできる |
| MDMコマンド | APNs(Apple Push Notification Service)を介してデバイスへ送信される命令。リモートロック、リモートワイプ、紛失モードの有効化、アクティベーションロックの解除などを任意のタイミングで実行可能 |
Jamf Agentフレームワーク(Jamf独自)
| 機能 | 説明 |
|---|---|
| ポリシー | MacにインストールされたJamf Agentによって管理者権限が必要な深いレベルでの設定と制御が可能。.pkgや.dmgファイルのバックグラウンドインストール、FileVault復旧キーの再発行と収集など |
| スクリプト | Shell、Python、Perlなどをadmin権限で実行可能。スクリプトの結果を拡張属性としてインベントリに保存し、インストールされているPythonのバージョンを収集するなどの高度な情報収集が可能 |
| スマートグループ | 収集されたインベントリを元に動的にデバイスをグループ化。OSバージョン、アプリのインストール状況、バッテリーの充電回数、接続しているIPアドレスなど、デバイスの状態によって動的に変化するグループを作成し、自動的に設定を適用することでデバイスを常に理想の状態に保つ |
ゼロタッチデプロイの本質
ゼロタッチデプロイは単なる工数削減ではなく、デバイスの信頼度を維持するソリューションです。
ゼロトラストの思想では、デバイスが最も信頼できる状態は箱から取り出す前の状態であり、キッティングなどでデバイスに誰かが触れた瞬間に信頼度は下がっていきます。キッティングを担当する管理者や委託先が不正をするリスクがあるだけでなく、設定のミスや漏れのリスクも高まります。
リモートワークが一般的になっている現在、箱を開けて仕事を始めるその瞬間から、デバイスの状態を担保することが求められています。ユーザーにデバイスが届くまでに外部からの影響を最小限にできるゼロタッチデプロイは、利便性とセキュリティを両立する新しい常識になりつつあります。
Jamf導入を依頼するメリット
Jamfの導入では、Apple Business Managerとの連携設定、構成プロファイルの設計、ゼロタッチデプロイの初期構築に専門知識が求められます。特にOktaとのデバイストラスト連携やCrowdStrikeとの併用設計は、ゼロトラストの要です。
株式会社クラウドネイティブは、Jamfの導入から運用まで一貫して支援する専門企業です。代表の齊藤愼仁(文部科学省 最高情報セキュリティアドバイザー、著書「ゼロトラスト概論」技術評論社)が率いる専門チームが、Appleデバイス管理体制の構築をサポートします。
クラウドネイティブが選ばれる理由
1. ゼロトラストにおけるデバイストラストの実現
Jamfで管理されたデバイス情報をOktaに連携し、「管理されたデバイスからのみアクセスを許可する」デバイストラストを実現します。
2. エンドポイントセキュリティとの統合
CrowdStrikeやSentinelOneと組み合わせ、デバイス管理とエンドポイント保護を統合的に運用します。
3. 導入後の運用もワンストップ
情シス運用支援でデバイス管理業務を代行。Professional Support Serviceで複数サービスをパッケージ化することも可能です。
こんな課題を解決します
Challenges
お悩みの課題をクリックしてください。
Jamfによる解決方法をご紹介します。
デバイスキッティングの作業負荷が膨大
新入社員・異動・増員の度に、IT管理者が手動でMacやiPhoneの初期設定を行う負担が大きく、対応に時間がかかります。
セキュリティポリシーの適用漏れ
個別設定による適用漏れやバージョン不整合を防止できず、セキュリティリスクが残ります。
デバイス紛失時の情報漏洩リスク
紛失・盗難時のリモートロック・データワイプが迅速に実行できず、情報漏洩リスクが高まります。
OS・アプリのアップデート管理
手動アップデートによる適用遅延やセキュリティ脆弱性が放置され、リスクが増大します。
主な機能
Features
導入メリット
Benefits
キッティング時間を1台15分に短縮
ゼロタッチデプロイメントにより、1台あたり数時間かかっていたキッティングが15分以下に短縮。年間500時間以上の工数削減効果があります。
全デバイスでFileVault有効化を実現
セキュリティポリシーを強制適用し、全Mac でFileVault暗号化を100%有効化。監査対応も万全です。
IT問い合わせを大幅削減
セルフサービス機能により、アプリインストールやパスワードリセットの問い合わせを削減し、IT部門の負荷を軽減します。
リモートワーク環境でも完全管理
インターネット経由で全デバイスを管理。VPN不要でセキュリティポリシーを適用し、トラブルシューティングも遠隔で実施可能です。
導入の流れ
Flow
要件定義
現状の課題を整理し、Apple Business Manager設定、Jamf Pro初期設定の計画を策定します。
構築・設定
Jamf Proテナント構築、構成プロファイル設計(Wi-Fi・VPN・証明書・セキュリティ)を実施します。
既存デバイス登録
既存デバイスのJamf登録、アプリケーション配信設定を行い、パイロット運用を開始します。
運用開始・トレーニング
本番運用を開始し、管理者向けトレーニングを実施。継続的な最適化支援を提供します。
よくあるご質問
FAQ
JamfはApple製品専用に設計されており、Declarative Device ManagementなどAppleの最新機能にいち早く対応します。macOSの細かなセキュリティ設定もJamfの方が詳細に管理可能です。Windows混在環境ではIntuneと併用するケースも多いです。
ゼロタッチデプロイメントを利用する場合は必須です。Apple Business Managerは無料で登録できるため、Jamf導入時には同時セットアップを推奨します。
はい、既存Macに管理エージェントをインストールすることでJamf管理下に登録できます。新規購入デバイスはApple Business Manager経由での購入を推奨します。
はい、User Enrollmentモードで個人データに一切アクセスせず、業務アプリとデータのみを管理できます。退職時には業務データのみをリモートワイプできます。
JamfはApple管理市場で20年以上の実績があり、大規模企業での導入実績が豊富です。Kandjiはよりモダンなアプローチで、自動化機能に特化しています。どちらも優れた製品ですが、導入規模や要件に応じて最適な選択をご提案します。
はい、Jamf ProとMicrosoft Intuneを連携させることで、Microsoft Entra ID(旧 Azure AD)の条件付きアクセスを活用できます。MacやiPhoneのコンプライアンス状態をIntuneに送信し、準拠していないデバイスからのMicrosoft 365へのアクセスをブロックするなど、お互いの強みを活かしたより強固で利便性の高い環境を構築できます。
Jamf Proに収集されたインベントリを元に、動的にデバイスをグループ化する機能です。OSバージョン、アプリのインストール状況、バッテリーの充電回数、接続しているIPアドレスなど、デバイスの状態によって自動的にグループが変化し、そのグループに対して構成プロファイルやポリシーを適用できます。例えば、アップデートが適用されていないデバイスだけに更新を促すことが可能です。
関連ブログ
Blog
まずはお気軽にご相談ください
ご相談は無料です。インシデント対応から本格的なゼロトラスト導入まで、技術的な質問から具体的な導入計画まで、エンジニアが直接お答えします。