Jamfは、Apple製品の管理とセキュリティにおけるグローバルスタンダードとなっており、世界で75,300以上の組織が、3,300万台を超えるデバイスの管理と保護に同社のソリューションを活用しています。自己資金によるスタートアップとして始まった同社が、従業員2,500人以上を擁するグローバル企業へと成長するにつれ、社内外でのアイデンティティに関するニーズも飛躍的に拡大していきました。
急速に事業拡大しながらオンプレミス型のアイデンティティソリューションを使用していたため、ログインエクスペリエンスは統一されておらず、ガバナンス監査では7時間もかけて手作業でデータを収集する必要がありました。こうしたプロセスの断片化は、グローバル展開の足かせとなるだけでなく、非効率なワークフローがアイデンティティチームに負担をかけ、何百万台もの顧客デバイスを保護するためのIdentity Security Fabricを構築するというJamfの長期的な目標の達成を阻んでいました。
アイデンティティを戦略的なセキュリティ資産に転換
当初、JamfはMicrosoft Active Directory(AD)を利用していましたが、時間の経過とともにADの限界が明らかになっていきました。同社が俊敏性を維持するためには、クラウドネイティブのアイデンティティソリューションが必要だったのです。
そこでJamfが選んだのがOktaでした。その理由は、プラットフォームに依存しない設計思想にあります。OIDCやSAMLに対応していれば、どのようなツールでもエコシステムにシームレスに統合できます。この中立性によって、JamfはOkta Workforce IdentityとWorkdayを連携させ、人事情報に関する信頼できる情報源として位置づけ、アイデンティティのライフサイクルを自動化することで、俊敏性を取り戻すことができました。
運用の効率化にとどまらず、Oktaによる一元的な可視化が実現したことで、アイデンティティを単なる「管理対象」から「セキュリティの要」へとシフトさせることができました。「Oktaによって、アクセスポリシーを企業内SaaSアプリケーションからクラウドインフラストラクチャまで、全環境に一貫して適用できる集中型のコントロールプレーンを手に入れることができました」と述べるのは、バイスプレジデント兼最高情報セキュリティ責任者(CISO)のMario Villatoro氏です。
このコントロールプレーンを確立したことで、Jamfはリソース配分も戦略的に見直しました。「アイデンティティは私たちにとって最初の防御ラインです」と、シニアITシステム管理者のDaniel Bolens氏は語ります。「Oktaの導入によって、私たちのチームがセキュリティを担う体制となり、アイデンティティがセキュリティ戦略全体の中心であることがより明確になりました」
Jamfが現在活用しているOktaソリューションについて尋ねると、Villatoro氏は「使用していない機能をリストアップする方が簡単なくらいです」と答えました。同社のチームでは、Adaptive Multi-Factor Authentication(MFA)、Okta Workflows、Okta Identity Governance(OIG)、アイデンティティ脅威からの保護(ITP)など、Workforce Identityのほぼすべてのソリューションを導入しています。
従業員の生産性とM&Aの俊敏性の向上
特に大きな効果をもたらしたのがWorkflowsで、IT部門はアイデンティティフローにカスタム自動化を追加できるようになりました。この自動化によって、新入社員のプロビジョニングにかかる時間は90%短縮され、入社初日の生産性は60%向上しました。また、企業買収にも大きな変革をもたらし、従業員の移行にかかる時間を75%も短縮できました。
「以前は、手作業で各従業員のアカウントを作成していました。直近の買収では、新しいユーザーをインポートするだけで済み、3時間足らずで完了しました」とBolens氏は語っています。
ガバナンスの自動化とリアルタイムの脅威対策
新規採用者1名のオンボーディングであっても、買収先企業の従業員全体の移行であっても、次に課題となるのはアクセス権を長期にわたって安全に維持することです。Jamfは、ガバナンスを単なるコンプライアンス対応の業務から中核的なセキュリティ機能へと転換するという方針のもと、OIGを活用して監査とアクセス認定のプロセスを一元化しました。
OIGを活用することで、ITチームは手作業による監査を定期的な自動監査に置き換え、ユーザーが常に適切なリソースにアクセス可能な状態を維持できるようになりました。Bolens氏は次のように述べています。「OIGによって、監査の主導権をエンドユーザー側に委ねることができました。ユーザーは私たちにチケットを提出する必要はありません。自動的にレポートが生成されるため、監査役に提示する証跡もすぐに用意できます」
OIGがガバナンスレイヤーを保護する一方で、ITPはリアルタイムのコンテキストとリスク監視を提供します。ITPは、Jamfの組織全体において自動化された「ファーストレスポンダー」として機能します。リスクシグナルを検知すると、セキュリティチームがアラートを受け取るよりも早く、侵害されたセッションの無効化や悪意のあるIPのブロックを自律的に実行します。
「Oktaのログは確認できますが、以前のように自分で対応する必要はありません。かつて私が手作業で対応していた脅威に対して、ITPがすでに自動で対処してくれています」とBolens氏は説明します。
この自動対応モデルは、Shared Signals Framework(SSF)を通じてJamf ProがOktaと連携することで、さらに強化されています。この連携によって、デバイスに関するリスクシグナルや追加のコンテキストが顧客に提供され、アイデンティティ主導の対応が実現しています。
OIGとITPを連携させることで、Jamfはユーザーアクセスを優先順位に沿って可視化できるようになりました。これにより、迅速な対処とリスク緩和をOkta上で完結させる運用へと移行しています。
無秩序に広がるクラウド環境とデバイスの保護
Jamfは、ユーザーレベルの脅威を軽減するだけではなく、拡大するインフラストラクチャに潜む構造的なリスクにも対処する必要がありました。買収を重ねて事業規模を拡大する中で、Jamfのクラウド環境は何百ものAWSやGoogle Workspaceのアカウントが絡み合う複雑な構成になっていました。そこで、Jamfは統制を取り戻すためにIdentity Security Posture Management(ISPM)を導入し、クラウドインフラストラクチャ全体のリスクを監視・管理するコントロールプレーンとして活用しました。その結果、チームのガバナンスの外にあった700件ものシャドーGoogleアカウントを検出・登録し、管理下に置くことに成功したのです。
Bolens氏は次のように語ります。「誰でも好きなEメールアドレスやドメインでGoogleアカウントを作れてしまうことに気づいたのです。ISPMによってそのようなアカウントを特定し、管理下に取り込むことができました。作業は驚くほど早く進み、およそ2か月で完了しました」
JamfはOktaと連携してIdentity Security Fabricを構築することで、可視化・検知・対応のフローをシームレスにつなげることを目指しています。同社はISPMのテレメトリをITPに直接連携し、クラウド環境からのリスクシグナルをリアルタイムの修復に活用する計画です。
また、Jamfはエンドポイントアクセス管理にもOkta Device Access(ODA)を活用し、Identity Security Fabricをハードウェアレイヤーにまで拡張しています。ハードウェアレベルで信頼を確立することで、ODAによってクラウドの認証情報とMacのローカルパスワードを同期させ、一貫した安全なログインエクスペリエンスを従業員に提供しています。
Bolens氏は次のように述べています。「ODAによって、ハードウェアにもう一段階セキュリティを追加できます。さらに、従業員にとっての使い勝手もよくなり、統一されたログインエクスペリエンスを実現できます。朝Macにログインすれば、そのまますべてのアプリにアクセスできるのです」
Bolens氏はさらに、ODAは「Oktaがソフトウェア領域で強みとしてきた機能をハードウェアにも適用するものだ」と説明します。この機能によって、たとえデバイスが紛失した場合でもアイデンティティは安全に保たれ、エンドポイントもOktaの統合プラットフォームの一部として保護され続けます。
カスタマーエクスペリエンスの統一とエンジニアリングのスピード向上
アイデンティティに関する課題は、従業員の使い勝手だけにとどまりませんでした。Jamfのプロダクトエンジニアリングチームも、外部ユーザーに関して同様の課題を抱えていました。顧客の認証情報が6つの製品に分散して管理されていたため、チームは新機能の開発よりもSAML連携の管理に追われていたのです。JamfはJamf IDを立ち上げ、Auth0を通じて顧客のIdPフェデレーションに対応することで、分断していたアーキテクチャを統合しました。こうして単一の安全なアイデンティティレイヤーができたことで、認証情報を安全に保管し、シームレスに連携できるようになりました。
ソフトウェアエンジニアリング担当シニアバイスプレジデントのAkash Kamath氏は次のように述べています。「まず必要だったのは統一されたログインエクスペリエンスで、それがAuth0の検討を始めるきっかけになりました。私たちの目標は、Auth0をセキュアな正面玄関として活用し、ひとつに統一された利用体験をお客様に提供することです」
Auth0を利用することで、Jamfは高度なセキュリティ機能を最小限の運用負担で導入できるようになりました。こうした機能をテストするきっかけになったのは、Jamf Nationコミュニティサイトでスパム警告を受けたことです。
スタッフソフトウェアエンジニアのJake Schultz氏は次のように説明します。「長い間、スパムに悩まされていましたが、Auth0 Bot Detectionを有効にしたところ、約40%減少しました」
現在では、Jamf IDがすべての新規顧客に対するセキュアな標準ログイン方式となっています。同時に、顧客が希望するIdPをいつでも連携できる柔軟性も備えています。このアプローチにより、ユーザーエクスペリエンスを最適化しながら、強固なセキュリティ態勢を維持できます。「Auth0のおかげで、私たちは顧客に本来提供すべき機能の開発に集中できています。顧客がどのアイデンティティプロバイダーを使っているかを、私たちが気にする必要はありません。顧客側で設定を済ませれば、すぐに使い始めてもらえるのです」とSchultz氏は言います。
同社はすでにJamf IDの次の段階に目を向けています。それは、完全なパスワードレス環境への移行です。Schultz氏は次のように語ります。「来月予定している機能の1つがパスキーです。Auth0がなければ、その統合をゼロから自分たちで構築しなければなりませんでした。今では設定を有効にするだけで、お客様がJamf IDでパスキーを利用できるようになります」
「4つのA」とNHIという新たな領域のガバナンス
Jamfはすでに導入の効果を実感していますが、チームは現在の導入成果を、アイデンティティセキュリティの取り組みの出発点にすぎないと考えています。今後はApp、API、AI、Agentという「4つのA」がもたらす課題にも対応できるよう、取り組みを拡張していく予定です。「非人間アイデンティティ(NHI)は、現在とりわけ管理が難しい領域です。1人のユーザーに紐づいているわけではないからです」とBolens氏は説明します。
現在、Jamfは、こうしたアイデンティティを検出・管理するために3つのツールを組み合わせたアプローチを採用しています。この戦略では、ISPMを用いてクラウドインフラストラクチャ全体の可視化を行い、Okta Privileged Access(OPA)でNHIの認証情報をボールト管理して自動ローテーションを適用します。さらにOIGで継続的な監査を行いながらNHIの所有者を明確に割り当てることで、サービスアカウントの継続性におけるギャップを解消しています。
今後、Jamfは、これらの機能をさらに拡張することも検討しています。具体的には、OIGをイベントベースのアクセスレビューに対応させるとともに、ISPMやJamf Trustから得られる詳細なセキュリティテレメトリをITPに連携させることで、脅威を特定して無効化するリアルタイムのフィードバックループを構築し、ゼロスタンディング特権モデルへの移行も進めていく考えです。
Bolens氏は次のように述べています。「Oktaを利用していなければ、Jamfの今の成長はなかったでしょう。Oktaは顧客のフィードバックに耳を傾け、私たちの成功を本気で支援してくれています。Oktaとともに進めているすべての取り組みに、大きな価値を感じています」
Villatoro氏にとって、この協力関係はJamfが自社のエコシステムを保護する方法が根本的に変化したことを意味しています。同氏は次のように語ります。「アイデンティティは、当社のセキュリティアーキテクチャ全体を貫く糸のような存在です。アーキテクチャが進化するにつれて、Oktaの役割も進化していきます。私たちはOktaを基盤として、人間のユーザーだけでなく、非人間アイデンティティやデジタルワーカーまで、あらゆるアクセスを統合的に管理していきます」
お客様について
Jamfの使命は、エンドユーザーが好み、組織が信頼できるApple体験を組織が管理・保護できるように支援して、働く環境をシンプルにすることです。Jamfは、Appleファースト環境において、企業にとって安全で、消費者にとってはシンプルで、しかも個人のプライバシーを保護する、総合管理とセキュリティソリューションを提供する世界で唯一の企業です。
