デバイスコンプライアンスの確保は組織にとって重要な基盤となり、IT資産を保護し、重要なリソースへの制御された安全なアクセスを維持します。さまざまなベンダーおよびソリューションが、このコンプライアンス状態を達成するための独自のワークフローおよび機能を提供しています。Jamfは、Microsoft Entra Conditional Access、Okta Identity Threat Prevention、Google BeyondCorp Enterprise Context-Aware Policy、AWS Verified Accessなど、複数の統合を提供しており、各統合は、信頼できるユーザーのみが準拠デバイスから組織リソースへのアクセスを許可するという本質的なニーズをターゲットにしています。

組織は通常、クロスプラットフォーム統合に依存して、関連するデバイスステータス情報を交換します。これらのステータスに基づいて、さまざまなシステムがコンプライアンス制御を実施して、特定のリソースへのアクセスを許可または制限します。

既に上述のデバイスコンプライアンスワークフローに取り組んでいる組織の場合、Jamf ProおよびJamf Connect内のネイティブ機能とテクノロジーを活用することで、リソースアクセス制御をさらに強化できます。以下のソリューションは、Jamf Proを使用してDevice Complianceベースラインを定義する方法と、Jamf Connectを使用してSaaS またはオンプレミスリソースへのアプリごとの接続でセキュアなアクセス制御を自動化する方法について説明します。

コンプライアンスベースラインの確立

デバイスコンプライアンスを検討する場合、各組織には、準拠デバイスを構成するものを規定する独自のニーズと要件のセットがあることを認識することが重要です。その結果、すべての制御をカバーするワンサイズフィッツオールのコンプライアンスベースラインは存在しません。

ただし、安全で準拠したベースラインを確立するためのベストプラクティスに準拠する環境に存在する基本的な要因を考慮する必要があります。単一のコンプライアンスベースラインはすべての組織に対応できませんが、ベストプラクティスを構成するものについて、基本的なコンセンサスが存在します。このガイドの目的のため、デバイスコンプライアンスステータスを確立するための基本的なベースラインとして、以下の基準を使用します。

⚠️ 重要なお知らせ ⚠️

上記に記載された基準は、検討すべき例にすぎないことにご注意ください。Jamf内でキャプチャされた他のインベントリ値も、組織に合わせたコンプライアンスベースラインを策定するための基準として機能することができます。したがって、このリストを参考にして、特定のデバイスコンプライアンス要件に合わせて必要な調整を行ってください。

• 例:

デバイスのモデル

• 特定のコンフィグレーションが展開されているかどうかを定義

• 特定のアプリがインストールされているかどうかを定義

• その他

より規制の厳しい業界および政府機関の場合、Jamf Compliance Editorを活用して、CIS、NIST 800-53および800-171、DISA STIG、CNSSI、およびCMMCを含むセキュリティベンチマークまたはベースラインを確立することもできます。

ワークフロー概要

• Jamf Proのインベントリ情報がデバイスのコンプライアンス状態の基礎となります。

• 使用される特定の基準に応じて、macOSまたはiOSエンドポイントは、設定されたスマートグループの1つに該当し、Jamf Security CloudへのWebhookイベントをトリガーしてエンドポイントとグループステータスマッピングを同期します。

• macOSまたはIOSエンドポイントが、特定のリソースへのアクセスが制限されているJamf Security Cloud内の対応するグループに追加されます。

• Jamf Security Cloudのアクセスポリシーは、Device Group Mappingを使用してネットワーク接続の基礎を形成し、グループアサインメントに属さないデバイスは、Jamf Cloud Gateway経由でルーティングされず、目的のエグレスエンドポイントを使用します。

SaaS - IP Lockdown/Allow-Listing機能と組み合わせた場合、デバイスは信頼できるエグレスIPから解決されないため、SaaS テナントへのアクセスが制限されます。

• オンプレミス - デバイスがグループに属していない場合、オンプレミスネットワークへの接続は確立されません。

• 特定のコンプライアンス要件（例：OSアップデート）が修復され、インベントリ情報がJamf Proに同期されると、エンドポイントは対応するWebhookをトリガーして、デバイスを準拠グループに自動的に戻し、企業リソースへの信頼できる接続を再確立します。

使用事例

実際のワークフローに進む前に、まずこのワークフローを含む可能性のある関連する使用事例を確認しましょう。

• あらゆるアプリ、ブラウザ、プロトコル

• ログイン間でコントロールを適用 | | ZTNAフレームワークを採用して、セキュリティ対策を強化し、攻撃対象領域を最小化し、厳格なアクセス制御ポリシーを実施し、サードパーティリスクを低減し、資産保護を強化 | | エンドユーザーに対応し、準拠していないデバイス状態を解決するためのよりシームレスでガイド付きのエクスペリエンスを提供 |

ワークフロー前提条件

• Jamf ProおよびJamf Security Cloudへのアクセス

Jamf ProでmacOS拡張属性を作成するための権限

• Jamf Protect (Jamf Security Cloudポータル) でUEM Connect統合を編集し、アクセスポリシーを編集するための権限

• Jamf Protect (Jamf Security Cloud) とJamf Pro間に設定されたUEM Connect

• Jamf Pro WebhookをUEM Connect統合に有効化

• SaaS テナントへのアクセスでIP Lockdown/Allow-Listingを実施

ワークフローの作成

⚠️ 開始前に ⚠️

次の設定ガイドは、デバイスコンプライアンスの基本的なベースラインを確立するための基本的な技術的フレームワークとガイダンスを提供することを目的としています。

制御されたテスト環境外でこのソリューションを実装する前に、組織の情報セキュリティ要件に注意してください。Jamf管理デバイス全体でコンプライアンス基準の定義を適切に定義するために、内部ステークホルダーとの協力をお勧めします。

Jamf Pro: Jamf ProでmacOS拡張属性を作成

以下の設定は、macOSのワークフローを設定する場合にのみ必要です

Device Compliance Baselineの一部として、AV/EDRの状態（このガイドの一部として、Jamf Protectを活用します）をキャプチャする拡張属性を作成します。

• このワークフローに使用されるJamf Proインスタンスにログイン

• ナビゲーションメニューから「設定」に移動

Computer Managementに移動

• 拡張属性を選択して開く

• 右上隅で + New を選択

• 以下の詳細を入力します:

名前: Jamf Protect Installed

• データ型: String

• インベントリ表示: Extension Attribute

• 入力タイプ: Script

`#!/bin/bash

Jamf Pro Extension Attribute which checks and validates the following:

Jamf Protect is installed and located under /Applications

ProtectStatus="/Applications/JamfProtect.app"

if [ -e "$ProtectStatus" ]; then echo "Installed" else echo "Not Installed" fi

exit 0` 

• その後、保存を押します

手順(1-5)を繰り返し、手順4を次のパラメータで修正します

• 名前: Jamf Protect Status

• データ型: String

• インベントリ表示: Extension Attribute

• 入力タイプ: Script

`#!/bin/bash

Jamf Pro Extension Attribute which checks and validates the following:

Ensure Jamf Protect is active and running by checking for Jamf Protect process

JPProcess=$( pgrep JamfProtect ) ​ if [[ -n "$JPProcess" ]]; then echo "Active" else echo "Not Active" fi

exit 0` 

• その後、保存を押します

関連記事

Jamf Protectを使用した自動ネットワーク分離

ZTNAリスク信号の実装

コンプライアンスベースラインの確立