Mac業界の最新動向はもちろん、読者の皆様にいち早くお伝えしたい重要な情報、
日々の取材活動や編集作業を通して感じた雑感などを読みやすいスタイルで提供します。

Mac Fan メールマガジン

掲載日:

MDM+αのソリューション

【TOPICS3】毎日のMac運用・管理の決定版「キャスパースイート」が超便利(2)

著者: 牧野武文

【TOPICS3】毎日のMac運用・管理の決定版「キャスパースイート」が超便利(2)

【Casper Suiteの特長?】配備&初期設定

ソフトウェア導入はデスクトップ内で完結

MDMの重要な機能がソフトの配付だ。キャスパースイートの場合、ソフトの配付にはさまざまな方法が用意されていて、うまく活用すると管理者の作業負担を大幅に軽減することができる。1つは一般のMDMと同じように一斉配付する方法。ユーザ全員が利用するグループウェアなどの必須ソフトウェアを自動配信する。また、ユーザあるいは機器をグルーピングして、たとえばクリエイティブ部門だけが使うレタッチソフト、営業部門だけが使うプレゼンソフトといった具合に特定のグループだけに配ることもできる。

ここまでは一般的なMDMにも備わっている機能だが、キャスパースイートはここからが違う。一斉配付の配信は、さまざまなスケジューリングを設定することが可能だ。大量の配付あるいは大型アップデートなどを一斉に行うと、社内ネットワークの負荷が上がり、業務に支障をきたすことも起こりえる。そこで、グループごとに配信時間を変えたり、あるいは各ユーザのログイン時、ログアウト時に配信を設定することで、ネットワークの負荷を分散させることが可能だ。

また、一部の人が使うというソフトは配付をせずにポータルに置いておき、セルフサービスでインストールしてもらうこともできる。ユーザから使用希望が挙がっているソフトの内容を管理者が確認し、問題ないとなったらポータルに上げておくだけ。あとは必要なユーザが勝手にインストールしてくれる。必要なユーザのグループを作成して、そのグループにだけ配付するという方法に比べて、作業負担が圧倒的に小さくなる。

ちなみに、キャスパースイートは、アップルのVPP(Volume Purchase Program)にも対応している。これはアップストアにあるMac用ソフト、iOSアプリを管理者が一括購入して配付できる仕組み。ビジネス用ソフトのほとんどはVPPに対応しているので、将来的にはVPPで一括購入→キャスパースイートの「コンポーザ」機能でソフトウェアを設定→配付またはセルフサービス、といった流れで作業が楽に行える。

管理下でアプリ制限をかけBYOD的な使い方も

ソフトウェア配付と対になる機能として、承認していないソフトウェアを無効化して起動できないようにする機能もある。アップルが提供しているプリインストールソフトウェアも無効化することができるので、アップストアを無効化する設定にしておけばユーザが勝手にソフトをインストールすることができなくなる。

この機能を利用して、BYOD的に機器を使うことも可能になる。承認していないソフトウェアが無効化されるのはキャスパースイートの管理下にあるときだけ、つまり社内ネットワークに接続しているときだけで、ネットワークを切断し、自宅のWi-Fiや4G回線経由でインターネット接続したときは、自由に使えるようになるといった具合だ。たとえば、社内ではファイル送信機能のあるメッセンジャソフトは無効化しておき、社内ネットワークを外れたら、自由に使って社外の関係者と連絡を取ることができるようになる。社内書類は、すべて社内クラウド化しておき、ローカルの機器には保存しない設計にしておけば、情報が誤って外部に漏れてしまう危険性もなくなる。

なお、キャスパースイートは電子書籍の配付にも対応しているのがユニークだ。iBooksで扱えるePub(iBookストアで販売されている電子書籍の形式)のほか、PDF書類もiBooksに配布をしてくれる。VPPはiBooksストアの電子書籍にも対応しているので、セミナーや研修会で必要な書籍や冊子を一括購入して配布するということも可能になる。この他、動画やポッドキャストの配付にも対応している。

シンプルなユーザインターフェイス

現在は英語のインターフェイス。基本的には左側のカラムから設定メニューを選び、右側ペインで詳細設定を行っていく。図は、名前などで検索して端末をグルーピングしているところ。社内だけでなく、支社単位等で分けるなど管理方法はさまざまだ。

スケジューリングの設定も行える。グループごとに配信時間を変えるなどの運用が可能だ。また、ユーザのログイン時、ログアウト時に配信を設定することで、ネットワークの負荷を分散させられるのも特徴だ。

アップルのVPPにも対応している。一括購入してそのまま配付という流れが実現すれば大幅に手間は減るだろう。

Casper Focus

無償オプションとして用意されている専用アプリ。教員用iPadから生徒用iPadをコントロール可能。生徒を適切なiPadコンテンツへ集中させ、円滑な授業運営を実現することが可能だ。

【Casper Suiteの特長?】法令遵守&セキュリティ

管理者にもユーザにも負担を与えないセキュリティ

キャスパースイートは、米国では政府機関などでも導入されるほど、セキュリティには定評がある。中でも、OS Xのディスク暗号化機能(ファイルボルト 2:FileVault 2)に対応しているため、管理下のMacに強制することが可能だ。これだけで、盗難や紛失の際の情報流出の可能性が限りなくゼロになる。また、リモートロック&リモートワイプにも対応しており、Macの場合はインターネットに接続した瞬間にロック、ワイプが行われる。さらにパスワードポリシーなどを設定しておくこともでき、ユーザが「Macintosh」などの単純なパスワードを使おうとすると、アラートを表示させたり、レポートを作成することなどもできる。

キャスパースイートが多くのMDMと根本から異なる点を挙げるとすれば、ユーザの行動履歴の収集をしないということだ。多くのMDMではユーザの行動履歴を蓄積し、万が一インシデントが発生した場合は、その行動履歴をたどって原因を特定することができる。しかし、キャスパースイートでは行動履歴を蓄積する機能が用意されていない。用意されていないというより、あえて収集しないのだ。ここがキャスパースイートのコンセプトを理解する鍵になる。

情報流出インシデントが発生した場合、行動履歴を分析すれば原因は特定できる。しかし、その原因の多くは人的要因だ。誰かが使用ルールを破って使ってはならないメッセンジャなどをインストールして、そこから情報が流出する。あるいはパスワードを設定し忘れて共有フォルダにデータを上げる。

このような人的要因によるインシデントは、流出経路が特定できても、必ずいつか別の経路で問題が生じることになる。なぜなら、ルール設定が合理的なものではなく、忙しい現場ではルールを守っていると仕事にならないという状況が生まれていることが真の原因だからだ。業務上、情報を外部に送信する必要があるのであれば、セキュアな送信方法を用意しておく。業務上、フォルダ共有をする必要があるならば、セキュアな共有フォルダを用意しておく。業務に必要な作業を、ユーザの負担なしでセキュアに行える環境をあらかじめ用意しておくことが管理者の本来の仕事なのだ。

キャスパースイートは自由度の高いセキュリティ設計ができるようになっており、セキュリティと現場の生産性を両立させるシステム設計が可能になる。

一般的なMDMは「リスクのあるソフト、サービスは原則使用禁止。使う場合は運用ルールを課す」という考え方だが、キャスパースイートが理想とする世界は「管理者が設計したシステムの中で、ユーザは自由に仕事ができ生産性が上がる」というものだ。ただし、それを実現するためには、管理者の高い設計能力が要求される。システムに対する深い知見が要求されるのはもちろんのこと、現場の業務がどのように行われているかも分析しなければならない。

メインメニューの[Policies]から社内の運用ポリシーを細かに定めることができる。MDMと比べると設定できる項目は実に多い。

[Disk Encryption]からファイルボルトの設定が可能だ。これで万が一盗まれてもデータは暗号化されているので安心だ。

Mac向けの一般的なMDMとの比較

*1 Macを探すを利用 *2 iOSのみサポート

Casper Suiteでしかできないこと

配布用OSインストールイメージ作成、配布用アプリパッケージ作成、NetBoot/OSインストールイメージ作成、OSの初期設定サポート、MCX/Managed Preferenceサポート(Managed Preference)、シェルスクリプトサポート、iBeaconsと連動したプロファイルの配付、管理者パスワードを必要としないSelf Serviceによるアプリ配信とインストール、指定したアプリの起動禁止/強制削除、.ibooks形式ファイルの配布と回収

主要MDMサービスとキャスパースイートの比較(上表)。キャスパースイートはMDMで可能なことをカバーしつつ、なおかつ細かな設定を施せるのが大きな違いである。