2022年、Macを使用する企業や学校を含むあらゆる組織にとって、セキュリティは最優先事項です。Macは非常に安全ですが、フィッシング攻撃やマルウェアなどの脅威に対して依然として脆弱です。セキュリティはもはや技術的な問題ではなく、ビジネス上の問題です。macOSのセキュリティに関する議論は、ソフトウェアアップデート、エンドポイントセキュリティソフトウェア、その他の高度なトピックに集中しています。

十分に議論されていないのは、ユーザー権限です。すべてのCISOは、エンドユーザーがMacでローカル管理者として実行しているかどうかをITチームに確認する必要があります。もしそうであれば、昇格された権限によって生じる重大なリスクと比較して、それが本当に必要なのかをITチームに確認する必要があります。 

肝心なのは、Mac ユーザーが 24 時間 365 日管理権限を持つ必要はないということです。 

macOS ITの観点から見ると、導入と継続的な管理におけるこの部分を適切に行うことは、Macのセキュリティ維持において非常に重要です。特にリモートワークやハイブリッドワーク環境では、IT管理者が従来のオフィス環境のようにローカルネットワークを制御できない場合があります。新しい働き方では、セキュリティのベストプラクティスも進化する必要があります。企業ネットワークのセキュリティに重点を置くのではなく、エンドポイント（つまりデバイス）がセキュリティの焦点となるのです。

「もちろん、ユーザーにはローカルマシンへの管理者レベルのアクセス権が必要です。管理者アカウントが必要な状況に陥っても、私がサポートするわけではありません」と思うかもしれません。確かにその通りかもしれませんが、このような考え方はセキュリティ上の潜在的な問題も生み出します。

管理者は、他のユーザーアカウントの作成と管理、ソフトウェアのインストール、システム設定の変更、重要なセキュリティ機能の無効化、Mac上のすべてのファイルへのアクセスなど、さまざまな権限を行使できます。つまり、ローカル管理者はあらゆる設定の変更、あらゆるインストール、そしてほぼあらゆる操作を実行できるのです。 

これを踏まえると、管理者アカウントはハッカーにとって空想的な標的です。なぜなら、ユーザーが管理者としてMacを実行しているときに侵入されると、マルウェア（とハッカー）は管理者権限で実行できるすべての操作を実行する権限を継承してしまうからです。これは、たった10ドルしか使わないのに、貯金口座の全額を現金でポケットに入れて持ち歩くのと同じです。まさにトラブルを招くだけです。

ご覧のとおり、管理者権限を持つユーザーとして実行することを選択した場合は、多くの責任が伴います。

この現実を理解した時の即座の反応は、ユーザーにシステムへのアクセスが制限された標準アカウントの使用を強制することです。したがって、標準ユーザーとして実行することで、マルウェアに感染した場合でもMacを深刻な被害から守ることができます。さらに、ユーザーへの権限が少ないため、望ましくない変更や誤った設定が行われる可能性も低くなります。

理想的な世界では、ユーザーは常にデバイス上で最小権限のユーザーとして動作し続けるべきです。ユーザーはMacに管理者権限を必要とするアプリケーションをインストールしたり、ファイルシステムを変更したりする必要があるかもしれませんが、そのようなニーズはごく稀です。 

正直に言って、毎月どれくらいの新しいアプリを手動でインストールしていますか？ビジネス環境では、アプリと設定は通常MDMソリューションを通じて自動的に展開され、エンドユーザーによる手動操作が不要になるため、管理者の要件はさらに不要です。

しかし、特定のケースでは、潜在的な問題への対処、アプリケーションの権限変更、ソフトウェアアップデートのより適切な制御などのために、ユーザーが管理者レベルの権限を必要とする正当な理由がある場合があります。Mosyleは徹底的な調査の結果、平均的なMacユーザーが管理者レベルの権限を必要とする時間は月に約5分であると判断しました。時間単位や日単位でなく、月単位です。

そして、この 1 か月に 5 分間という例外的な時間のために、ユーザーには永続的に管理者権限が付与され、実際のビジネス ニーズとは不釣り合いな重大なセキュリティ リスクが生じます。

では、このジレンマにどう対処すればいいのでしょうか？ユーザーが管理者権限を必要な時に、必要な期間だけ付与できるようにするにはどうすればいいのでしょうか？

2022年初頭、Mosyleはついにこの問題を解決しました。同社は新しい「Admin On-Demand」ソリューションを構築し、IT部門がユーザーに一定期間管理者権限を与え、その後自動的に標準ユーザーに戻れるようにしました。

MosyleのAdmin On-Demandを使用すると、ユーザーは必要なときに完全な管理者アクセス権限を取得できます。Mosyle Admin On-Demandは、管理者ユーザーを標準ユーザーに自動的に変換し、承認されたユーザーのみが必要に応じて一時的にユーザー権限を昇格できるようにします。昇格期間中、MosyleのAdmin On-Demandは詳細なシステムログを取得し、期間終了時にユーザーを標準レベルのセキュリティアクセスに自動的に戻します。 

Admin On-Demand を使用すると、IT 管理者は 1 日あたりの権限昇格の回数や許可される期間を制御し、ユーザーにアップグレードの正当性を証明するよう要求できます。 

Mosyle の Admin On-Demand は、Mac のセキュリティを確保しながら、従業員がデバイスの完全な使いやすさを体験できるようにするための完璧なバランスを IT チームに提供します。 

Admin On-Demandは、Appleエンタープライズ管理およびセキュリティ市場に革命をもたらす革新的なソリューション、Mosyle Fuseでご利用いただけます。Mosyle Fuseは、市場で最も包括的なApple MDM、高度なエンドポイントセキュリティツール、Appleデバイス向けに構築された唯一のインターネットプライバシーおよびセキュリティソリューション、デバイスレベルのシングルサインオン、そしてmacOS、iOS、iPadOS向けの自動アプリケーション管理機能を備えています。

havebin.com を Google ニュース フィードに追加します。