今年も情シスSlackアドベントカレンダーの開催、おめでとうございます!
株式会社Kyash でCorporate Engineeringの統括をしております、 @rela1470 です。
昨年は謎のネタ記事を書いてしまいましたが、今年の個人テーマは「まじめにふまじめ」なので、真面目なテーマで1日目記事、担当させていただきます。
adventar.org
(2026年のrela1470さんへ、12月1日は早すぎてブログを書くのがしんどいので、どうか後ろの日程で登録してください...)
- 12月1日
- Jamf Nation Live Tokyo 2025で登壇してきました
- なぜJamf Connect ZTNAを導入したのか?
- そして Jamf Connect ZTNA へ
- Jamf 新Suiteプラン爆誕
- 2026年も頑張るぞ
12月1日
さて突然ですが本日、12月1日はなんの日か、ご存知でしょうか。
そう、なんと弊社のJamf年間契約更新日です!
いやーめでたい*1。
Jamf Pro、Jamf Connect Basicを導入してしばらく経ちました。大好きJamf。
そして昨年、新たにJamf Connect ZTNAを導入しました。
Jamf Nation Live Tokyo 2025で登壇してきました
日本の導入事例はまだまだ少なく、金融機関としても珍しい事例とのことで、先日開催されたJamf Nation Live Tokyo 2025にお呼ばれしてきました。
macfan.book.mynavi.jp
x.comわいわい #JNL pic.twitter.com/HiFCIpDSS1
— Jun Watanabe@rela (@rela1470) 2025年8月8日
資料もこちらにアップしてあります。
Jamfさんが主催するちゃんとした企業カンファレンスですので、数年ぶりに真面目度100%な登壇をしてきました....!
いや、ちょっとは我慢できなくてネタに走っているな。我慢できなかった。まじすいません。
YouTubeにも上がってますが、ちょっと恥ずかしくなってきたのでリンクはやめときます。
speakerdeck.com
なぜJamf Connect ZTNAを導入したのか?
今回、固定IPアクセスとデバイストラストの用途でJamf Connect ZTNAを導入しました。
今まで別々のサービスで導入・運用してきたのを、今回統一した形になります。
良い機会なので、社内の歴史を振り返ろうかなって思います!
Jamf Connect ZTNAの話しか興味ないよって方はここまでスクロールしてくださいな!
IP制限は今後も需要がある
2020年のコロナ禍以降、オフィス出社を前提としたシステム設計にはせず、所謂ゼロトラストセキュリティモデルを意識したシステムづくりを心掛けています。
社内システムはすべてOneLoginのOpenID Connect認証で実装しており、オフィスにも固定IPはありません*2。
とはいえ、やはりIP制限は令和の今も需要があります。
自分の記憶によるとすべてのWebサービスはOpenID ConnectやSAML対応をしなければいけない法律ができたはずなのですが...。夢だったかな。
全然守られていないようなので、IP制限対応は実務上しょうがないですね。
IP固定用として2020年から運用していたのは、フォワードプロキシサーバーです。
SquidのサーバーをAWS上に用意し、OneLoginのRADIUSサーバー機能で社員の認証を行う仕組みです。
当時VPNを用意しなかった理由としては、各拠点に特にオンプレサーバーがなく、拠点間接続等の需要がなかったことです。
フォワードプロキシであれば固定IP利用以外の機能がなく、もし侵害事案があっても被害が最小限で済むと判断していました。
先日までなんのトラブルもなく運用していましたが、自社運用であるため、アップデートなどの保守工数はそれなりに掛かっていました。
最近になって何度もクリティカルなCVEが出たりしており、その度に対応に追われていました。
そのため、今回フルマネージドであるJamf Connect ZTNAに乗り換える判断をしました。
天下のJamfさんならCVE対応きちんとやってくれますからね!わいわい。
そして社員認証として利用していたOneLoginのRADIUSですが、ID/PASS認証であるがゆえ、デバイストラストは実現できていませんでした。OneLoginのIDとパスワードさえ知っていれば、私用PCからでも固定IPを利用できてしまっていたわけです。
社内開発のツールは前述した通りOpenID Connectを利用しており、ミッションクリティカルではありません。
ただ、やはり固定IPという利用用途を考えると、好ましくはありません。これも今回リプレイスを考えた理由の一つです。
デバイストラストは茨の道
デバイストラストの実現に向けて2019年から色々試行錯誤しており、最初はOneLogin Desktop Proを導入しました。
これはOSのログイン画面をOneLogin独自のものに差し替え、デバイス証明書も配ってくれるという常駐ツールになります。
有償オプションですが、ワンコインなので安価で便利だったのです。
ただしWindowsはEntra ID Joinedと併用できなかったり、Jamf製品群と違ってSame-day Supportを謳っていないので、Mac OS MontereyにアップデートしたタイミングでMacの社員がログインできなくなってしまったり...と、じわじわと乗り換えの機運が。
ということで2021年にWindowsはEntra ID Joinedに、MacはJamf Connect Basicに乗り換えてしまいました。
デバイス証明書も茨の道
さて、OneLogin Desktop Proから製品を乗り換えると、今まで付いてきたデバイス証明書がなくなってしまいます。
OneLoginの通常プランはユーザー証明書のみの提供になっており、またオプションであるOneLogin Desktop Proをインストールしない状態ではデバイス証明書も配れません。OSログインを提供しないOneLogin Desktopというまた別のアプリケーションもあるのですが、そちらも同じくWindowsとMac OSのみの提供です。こっちはあまり触れてこなかったのでわかりませんが。
また以前からBYODとしてiOS/Androidの利用もあり、今まではごく限られたサービスだけ別手段でログイン手段を提供していたのですが、このタイミングでログイン手段を統一し、デバイストラストをiOS/Androidにも拡張すべく、別のデバイス証明書運用サービスを導入することにしました。
デバイス証明書ってそもそもいるのか?
2022年からはSecureW2というフルマネージド認証局を利用していました。
WindowsとiOSはIntune、Mac OSはJamf Pro経由のSCEPでデバイス証明書を発行。AndroidだけはSecure W2の独自ツール経由で発行していました。
ただ、証明書が予期せぬタイミングでRevokeされてしまったり、AndroidがSCEP経由の配布がうまく動かなかったりと、このツールにはだいぶ振り回されていました。
非常に強力なツールであるゆえ、運用が難しいんですよね。
でこれ、デバイス証明書って実はオーバースペックなのではないか、と開き直り...いや、思い直したわけです。
無線LAN認証やVPN認証文脈でもデバイス証明書を利用している会社であれば、もう少し頑張る必要があったのかもしれません。
ただ、弊社ではOneLoginのログイン時、所謂デバイストラスト文脈でしか利用していません。そして個人的には使い勝手が良いわけでもない、と...
iOSとの相性も悪い
そして最大の原因、iOSでデバイス証明書が冷遇されている、というお話が。
iOSはSafari上でしかデバイス証明書を利用ができないんですよね... いま令和7年やぞ?
証明書もiPhoneもあんなに高い商品なのに、なにを考えているんでしょうか。
WebViewの対応も、きちんと動作するアプリは肌感半分くらい。
そしてわたなべはGoogle Chrome派なのでSafariをわざわざ起動しないし、もっと辛い。
なのでやめました。高くて辛いのって本当に辛いので辛かったです。
そして Jamf Connect ZTNA へ
前置きで5000文字も使ってしまいましたが、結論として、フォワードプロキシであるSquid、デバイス証明書局であるSecureW2の2製品の用途を統合し、Jamf Connect ZTNAを導入したわけです。
2ヶ月ほど部署で検証を進め、2月から全社展開。
Slackに残っていた「Jamf Trustをインストールするまで抜けられない魔法のちゃんねる」を見返したところ、2月6日に社内展開を始めて、2月28日に全社員無事抜け出せたようです。
脱出成功率は94%でした。すごい簡単な脱出ゲームですね。
で脱出失敗した6%はなにかといいますと...
Intuneとの相性の悪さ
Jamfエコシステムは非常に優秀なのですが、いかんせん他社サービスと連携して動くツールなので、その先でトラブルになることが多いです。
自分はIntuneがあまり好きではないのですが、それがIntuneちゃんに多分バレてて、結構トラブルが起きてます。例えばアプリ配信とか。
Windowsも弱い
Windows、ちょうど24H2のメジャーアップデートと導入時期が重なってしまったんですよね。
うちの導入PCはLenevo ThinkPad E14 (AMD)とLenevo ThinkPad X1 Carbon (Intel)の2種類なのですが、E14 (AMD)のほうだけ駄目でした。Gen3らへんのメンバーだったかな。
サポートに問い合わせするも、ここで導入事例が少ないことが災いし、代理店さん、日本サポートさん、本社サポートさん共に原因がわからず全滅。
結局PCの交換を行うことにしたのでした。まあOSのメジャーアップデートをしなくてはいけないくらい古い機種だったので...しょうがないっちゃしょうがないんですが。
まーーーーー、JamfさんのMac OSの完成度と比較しちゃうと、やっぱり残念ですよねえ。
Windowsは今後もSame-Day Supportしてくれないでしょうし、正直不安が残りながら運用しています。
それでも、証明書の運用よりは楽だし、トラブルは少ないんですよね...
それ以外はいい感じ
Macは全く問題ないですね。さすがJamfさん。Jamf Proとの連携もほとんど自動化されています。便利。
デバイストラスト文脈のデバイスコンテキストはどう取得しているかというと、MDMのカテゴリと連動させています。
MDMに登録されていない端末はもちろんグループがありませんし、またウイルス対策が入っていなかったり、OSのバージョンが古い端末もグループを分ければ、一定のデバイスコンテキストに応じた処理ができるわけです。
同期が1時間に1回くらいなので、リアルタイム性がちょっとないのですが、そこはオプションであるJamf Protectを導入すると実現できるそうです。
Jamf 新Suiteプラン爆誕
ってあれ? Jamf Protectって文字、最近見たなあ。
ああそうでした。Jamfの全部入りプランが新しく出たんでした。Jamf ProtectもJamf Connectも全部入ってるじゃん。しかも今までのプランにJamf Connectオプション付けるより安いとかどういうことだってばよ... これは買うしかない。
あ、このブログ書いてたら12月1日になってますね。
12月1日はなんの日でしたっけ?
そうです。弊社のJamf更新日です。
Jamf for MacとJamf for Mobileがいま納品されました。やったあ。
Jamf for MacとJamf for Mobileを入れるぞ!
さきほど、Mac用にJamf for Mac、BYODの携帯端末用にJamf for Mobile、そしてWindows用に単品のJamf Connect ZTNAを契約更新しました。
いままではJamf ProとJamf Connect Basic + ZTNAのみの契約でしたが、今回新スイートに移行することによって、新たにJamf Protectが付いてきました。
Jamf Protect、弊社ではPC用にCrowdStrike Falconを契約しているので全く導入を考えていなかったのですが、携帯端末向けのCrowdStrike Falcon for Mobileは契約していませんでした。
今回新プランになったことによって、携帯端末にも安価にJamf Protectが導入できますね。メンバーの個人携帯でもあるのでプライバシーとの兼ね合いも最大限考えつつ、セキュリティを更に強化していきたいと思います。
そして今までIntuneを使っていたため、契約していなかった携帯側のJamf Pro。iPhoneはもちろん語らずもがな最高ですし、Andoridもこの前対応されましたね。流石に周りに誰もまだ導入している人が居ないので完成度は未知数ですが、Intuneちゃんには嫌われているので、もうこの際乗り換えてやろうかと思っています。人柱上等。Jamfさん信じてるぞ。
2026年も頑張るぞ
ということでJamf漬けの2025年でした。
Jamfさんの製品は触ってて楽しいので、とても楽しい1年でしたね!
...と、これ以外にももちろんやったお仕事、たしかあるはずなので、まだ思い出せませんが、20日後くらいにKyash側のアドベントカレンダーで改めてまとめようと思います。また後日。
やばい。前フリで真面目に書くって書いたのに本当に真面目に書いてしまった。無念。
