企業におけるMacの利用は、ここ数年で独自の発展を遂げてきました。iPhoneとiPadのハロー効果に端を発し、MacはITプロフェッショナルやエンドユーザーの間で最も人気のあるデバイスとなりました。 

Macの人気は、多くのITプロフェッショナルが企業における「ニューノーマル」と考えるものを生み出しました。Macは現在、クリエイティブな業務だけでなく、財務、営業、マーケティング、人事といった従来型のビジネスアプリケーションでも、組織全体で広く利用されています。 

ビジネスにおける Mac の使用が増えるにつれ、IT およびセキュリティの専門家は、それに応じて Mac を展開、構成、保護するのに役立つ新しいソリューション スタックを構築する必要があります。

残念ながら、ITおよびセキュリティ専門家が最初に選ぶ最も簡単な方法は、必ずしも最善の策ではありません。これまでWindows PCの管理と保護に携わってきたITおよびセキュリティ専門家は、まずWindowsで既に使用しているソフトウェアスタックの範囲を拡張し、Macも対象に含めようとします。

しかし、Macがエンドユーザーにとって特別な存在であるだけでなく、ITやセキュリティのタスクにも同様に当てはまることを理解するのに、それほど時間はかからないでしょう。Macを導入、管理、保護するための適切な方法は、Mac専用に開発されたソリューションを活用することです。

一見すると、Mac専用の新しいツールセットを追加するとなると、作業量が増えるように思えるかもしれません。しかし、後ほど説明するように、MacだけでなくiPhoneやiPadも含め、Appleデバイス向けのITおよびセキュリティスタックを構築する際に適切なアプローチを採用すれば、作業量は大幅に増える可能性があります。

では、職場で使用される Mac の IT およびセキュリティ スタックに統合する必要があるさまざまなソリューションとはどのようなものでしょうか。

#1 – Apple専用のデバイス管理ソリューション

すべては、Appleに特化した高品質なMDMから始まります。優れたApple専用MDMは、職場で使用されるMacに関してIT部門とセキュリティ部門が抱えるあらゆるニーズの約60%を解決します。

まず、Appleに特化したMDMによって、新しいMacの導入とプロビジョニングが完全に自動化されます。IT部門は、新入社員に新しいMacが入った未開封の箱を渡すだけで、たとえ基本的な技術知識しか持たないエンドユーザーであっても、数分以内にMacを正しく設定し、使い始めることができると確信できるようになります。 

優れた Apple 専用の MDM を使用すると、エンドユーザーが実際に実行する必要がある手順は Mac をインターネットに接続するだけであり、そこからは MDM が残りの処理を行います。

MDM を使用すると、IT 部門はデバイス構成の強制、必要なすべてのアプリのリモートインストール、プリンターのインストール、VPN の強制など、さまざまなことを実行できるようになります。 

複数のMDM構成を組み合わせることで、セキュリティチームの複数のタスクを解決できます。例えば、MDMを通じてデバイス暗号化（FileVault）の有効化、パスワードルールの適用など、様々な機能を実現できます。

優れたApple専用MDMは、AppleのネイティブMDMプロトコルと強力なローカルエージェントの組み合わせで動作します。この組み合わせが完璧なバランスを実現すれば、IT部門とエンドユーザーはどちらが動作しているかを意識することなく、すべてが「スムーズに」動作します。事実上、あらゆることがリモートで、自動的に、そして大規模に実行できるようになります。

そのため、予算の最初の資金は、Apple専用の優れたMDMに投入するべきです。しかも嬉しいことに、Apple専用の優れたMDMは、デバイス1台あたり月額わずか1ドルで導入できます。

#2 – macOSの強化とコンプライアンス

macOSが企業のパーソナルコンピュータにとって最も安全なオペレーティングシステムであることは誰もが知っています。しかし、それはどういう意味でしょうか？

これは、macOSが優れたセキュリティ制御と設定を豊富に備え、望ましくない物理アクセスやリモートアクセスから適切なレベルの保護を実現できることを意味します。セキュリティ専門家はこれを「コンピュータの強化」と呼んでいます。

しかし、それらのコントロールや設定とは一体何なのでしょうか？各企業のニーズを考慮しながら、Macを強化するためにそれらを正しく設定するにはどうすれば良いのでしょうか？そして、それらの設定を適用した後、ユーザーが故意にせよ誤ってせよ、それらを変更したり、将来のアップデートの影響を受けたりしないようにするにはどうすれば良いのでしょうか？これらは確かに難しい問題であり、企業内のMacの台数が増えるほど、この作業はより複雑になる可能性があります。

300台のMacを保有する中規模企業を考えてみましょう。高度なセキュリティ強化策を講じなくても、CISなどの組織が推奨する基本的な制御と設定を適用するだけで、デバイス1台あたり30個の異なる設定ポイントを簡単に設定できます。この例では、いつでも変更可能な9,000個の固有の制御ポイントが作成されます。

ご覧のとおり、上記の例にある 9,000 個の構成すべてのコンプライアンスをチェックし、コンプライアンス違反を修正することは、IT チームやセキュリティ チームのメンバーが何人いても、手動で行うことは不可能です。

ただし、macOS に特化した優れた強化およびコンプライアンス ツールを導入するだけで、このタスクは不可能から 100% 自動化へと変わります。

優れたmacOS強化およびコンプライアンスツールは、直感的に使用できるセキュリティコントロールのライブラリを提供します。適用する設定を選択すると、すべてのデバイスを有効化されたすべてのコントロールと照合し、特定された問題を自動的に修正することで、ITチームのために24時間365日体制で稼働します。 

結果はどうでしょうか? IT チームやセキュリティ チームに追加作業を一切かけずに、完全に準拠した Mac 群が実現します。

#3 – 次世代アンチウイルス

「Macはマルウェアに感染しない」という古い考えは現実とはかけ離れています。オペレーティングシステムがどれほど安全であっても、OSの正当な機能や望ましい機能でさえ、悪意のあるエージェントによってコンピュータを攻撃するために利用される可能性があります。

結局のところ、正規のアプリケーションとマルウェアの違いは、デバイス上で実行されるアクションだけではありません。デバイスユーザーや企業が、デバイス上でそのアクションを実行することを望むかどうかが、その違いを生み出しているのです。 

つまり、OSがどれほど安全であっても、共通の機能を悪用してあらゆるデバイスで悪意のある行為を実行する悪意のある人物は必ず存在するということです。15年前と現在の違いは、職場でMacが使用される機会が増えたことで、潜在的に悪用される可能性のあるデバイスがはるかに増えたことです。そのため、Macはハッカーにとってより魅力的な標的となり、Macを標的としたマルウェアの作成に多くの時間を費やす理由となっています。

これを踏まえると、企業にとっては、人工知能、動作、コンテキスト分析を使用して各 Mac で発生すると予想されるアクションから悪意のあるアクティビティを検出する次世代アンチウイルス ソリューションを通じて、セキュリティをさらに強化することが重要になります。

また、macOS は Windows とはまったく異なるため、当初は Windows を実行するデバイスを保護するために開発され、それらのデバイスの保護から収益の大部分を得ていたソリューションを選択するのは良いアプローチではありません。

もう一度言いますが、Mac を保護することが目的の場合、macOS の特化はセキュリティ ソリューションの品質に大きな役割を果たします。そのため、選択するソリューションが macOS に深く特化していること、そしてソリューションを提供する企業が Mac を優先していることを確認してください。

#4 – 権限管理

エンドユーザーが仕事で使用するコンピューターに対して管理者権限を持つべきかどうかという古くからのジレンマは、Mac でも存在します。 

この方程式の片側には、エンドユーザーが常に管理者として実行できるようにするという紛れもないリスクがあります。管理者アカウントはハッカーにとって空想的な標的です。なぜなら、ユーザーが管理者として実行しているMacが侵害されると、マルウェア（そしてハッカー）は管理者として実行できるすべての操作を実行する権限を継承してしまうからです。結局のところ、ローカル管理者はあらゆる設定を変更したり、あらゆるものをインストールしたり、ほぼ何でも好きなように実行できることを考えると、マルウェア（そしてハッカー）も同じ可能性を秘めていることになります。恐ろしいと思いませんか？

一方、特定のケースでは、エンドユーザーが潜在的な問題に対処したり、アプリケーションの権限を変更したり、ソフトウェアアップデートをより適切に管理したりするために、管理者レベルの権限を必要とする場合があります。これらの正当なニーズを合わせたとしても、 月あたり5分を超えることはないと推定されます。時間あたりでも日あたりでもなく、月あたりです。

そして、この 1 か月に 5 分間という例外的な時間によって、ユーザーには永続的に管理者権限が付与され、実際のビジネス ニーズとは不釣り合いな重大なセキュリティ リスクが生じます。

では、このジレンマにどう対処すればよいのでしょうか？そのためには、企業はどちらか一方を選び、もう一方の結果を負担するか、オンデマンドの一時的なエスカレーションを通じて管理者権限を制御された形で使用できるソリューションを実装する必要があります。 

#5 – アプリケーションとパッチ管理

効率的で安全な企業経営において、アプリケーションとパッチ管理は不可欠です。これはMacにも当てはまります。 

Mac で行う作業の大部分はさまざまなアプリケーションを通じて行われることを考慮すると、Mac を活用する企業が、エンドユーザーの操作に依存せずに仕事用の Mac 上でアプリケーションをインストール、更新、削除できるスケーラブルで信頼性の高い方法を持つことは、生産性とセキュリティにとって非常に重要です。

Mac の場合、これは 2 つの方法で実行できます。

AppleのMac向けApp Storeで入手可能なすべてのアプリケーションについて、企業はサイレントインストールやリモートインストール、アップデートのために、Apple APIを網羅的に実装したソリューションを活用する必要があります。ここでも、Macへの特化は非常に重要です。なぜなら、Appleデバイスに特化したソフトウェアプロバイダーだけが、App StoreアプリのリモートインストールにApple APIを完全かつ深く実装することを正当化できるからです。 

しかし、Google Chrome、Zoom、Microsoft Teamsなど、企業で一般的に使用されているMacアプリケーションの多く（あるいは大多数）は、Mac App Storeでは入手できません。これらのアプリの場合、企業はAppleのAPIを利用してリモートでアプリをインストール・アップデートすることができません。

Mac App Store で入手できないすべてのアプリに対する困難な解決策は、一部の Apple 固有の MDM プロバイダーが提供する機能を活用して、.pkg ファイルと .dmg ファイル (通常、Mac アプリケーションのインストーラーとして使用されるファイル拡張子) を配布およびインストールすることです。

しかし、この代替案では、各ソフトウェアプロバイダーからのファイルのダウンロード、クラウドCDNでのファイルのホスティング、インストール前およびインストール後のスクリプトの手動作成、各アプリに必要な権限（PPPC）の手動管理など、複数の手順が必要になります。さらに、各アプリをアップデートするたびに、同じフローを繰り返す必要があります。

可能だとしても、理想からは程遠く、複雑なワークフローは、相当数の IT 時間を消費するだけでなく、更新とそれに伴うすべてのセキュリティ パッチにも相当の遅延をもたらします。

したがって、Mac 用の IT ソフトウェア スタックに含めるべきソリューションとして、自動化されたアプリケーションおよびパッチ管理ソリューションも推奨されます。これは、App Store アプリ用の Apple API を完全に実装し、Mac App Store で入手できないアプリの自動インストールとパッチのすぐに使用できるライブラリを提供します。

#6 – オンラインプライバシーとセキュリティ 

私たちの最後の推奨事項は、エンドユーザーがオンライン時に悪意のある Web サイト、フィッシング、詐欺、スパイウェア、スパムから保護し、同時にエンドユーザーのオンライン アクティビティがプライベートであり、会社のポリシーに準拠していることを保証することに関係しています。 

ハイブリッドワークの世界では、従業員が業務活動を行うために常に持ち歩くデバイスは、従業員が使用するデバイスのみとなります。そのため、これまで以上に、業務デバイスを通じてオンラインプライバシーとセキュリティ対策を強化することが極めて重要です。

では、なぜMacではこれが異なるのでしょうか？答えは簡単です。Macにオンラインフィルタリングをインストールして適用する技術的な方法は、Windowsで利用可能な方法とは大きく異なり、プロバイダーにある程度高度な専門知識が求められるからです。

そのため、「普遍的な方法」を実装しようとする汎用ソリューションは、接続速度の低下、保護の制限、Mac でのインターネット使用の中断など、重大な副作用を引き起こすことがよく知られています。

したがって、最後の推奨事項として、IT チームは、オンライン セキュリティとプライバシーのために Mac で利用できる最高のネイティブ オプションを活用する、Mac ベースのオンライン プライバシーおよびセキュリティ ソリューションを採用する必要があります。

これらすべてが Apple 独自のプラットフォームの一部になったらどうなるでしょうか?

職場で使用される Apple デバイスの管理と保護のソリューションに重点を置くソフトウェア プロバイダーは、Apple のオペレーティング システムに関する深い知識と専門知識を活用して、職場で使用される Apple デバイスを管理および保護するために IT チームとセキュリティ チームが必要とするすべての機能とソリューションを単一の Apple プラットフォームに統合できます。

このアプローチは、Apple Unified Platform として知られています。

最新の Apple エンドポイント ソリューションのリーダーである Mosyle は、Mosyle Fuse という製品を通じて Apple Unified Platform のリファレンスとなっています。

Mosyle Fuse は、完全かつ自動化された Apple デバイス管理、Mac 固有の次世代ウイルス対策、Mac 固有の強化とコンプライアンス、Mac 固有の権限管理、Mac ID 管理、Apple 固有のアプリケーションおよびパッチ管理を、App Store では入手できない完全に自動化されたアプリの完全なライブラリと暗号化されたオンライン プライバシーとセキュリティ ソリューションと統合します。

Mosyleは、すべてのソリューションを単一のプラットフォームに統合することで、ITおよびセキュリティ担当者にとって、職場で使用されるAppleデバイスの管理と保護を真に簡素化するだけでなく、個別のソリューションでは実現不可能なレベルの効率性と統合性を実現します。

最後に、Mosyle FuseのようなApple統合プラットフォームのコストメリットも重要です。Mac向けITソフトウェアスタックに含まれる個々のソリューションの平均コストを考慮すると、Mosyle FuseのようなApple統合プラットフォームを導入することで70%以上のコスト削減が可能になると推定されます。小規模なマシン群であっても、これは大きなメリットです。

したがって、職場で従業員が Mac を使用している場合は、Mosyle Fuse などの統合 Apple ソリューションを試してみることをお勧めします。これらのソリューションは、あなたとあなたの会社に素晴らしいメリットをもたらす可能性があります。

havebin.com を Google ニュース フィードに追加します。