Skip to content

セキュリティ推奨事項

常にデバイスを監視対象にする(ABM/DEPの使用)

監視はMDMセキュリティの基盤です。Apple Business Manager(ABM)またはApple School Manager(ASM)とAutomated Device Enrollment(DEP)を組み合わせてデバイスを登録してください。これにより、デバイスが開封された瞬間から監視対象となり、制限、構成、リモートロックやワイプ機能を完全に制御できます。ABM/DEP経由で登録されていないデバイスは、エンドユーザーがMDMから削除できるため、セキュリティ体制が損なわれます。

強力なパスコードを強制する

すべての管理対象デバイスにデバイスパスコードを要求します。最小長(6桁以上、できれば8桁以上)を設定し、複雑な英数字コードを要求し、ワイプをトリガーする最大失敗試行回数を設定します。macOSでは、短い猶予時間でスクリーンセーバーパスワードを強制します。強力なパスコードは、不正な物理アクセスに対する最も効果的な防御策です。

macOSでFileVaultを有効にする

FileVaultはmacOSでフルディスク暗号化を提供します。Blueprintを介してすべてのMacに展開します。個人用回復キーのエスクロー機能を有効にすると、MDMが回復キーを保管するため、デバイスが紛失または盗難された場合でもデータへのアクセスを防ぎつつ、ユーザーがパスワードを忘れた場合でもIT部門がデバイスを復旧できます。

デバイスを最新の状態に保つ

MDMを通じて強制OSアップデートポリシーを設定します。延期期間を設定して広範な展開前にアップデートを検証しますが、無期限の延期は許可しないでください。可能な場合は自動バックグラウンドアップデートを有効にします。パッチ未適用のデバイスは、最も一般的なエクスプロイトの侵入経路です。

Blueprintを使用して一貫したセキュリティを確保する

個々のデバイスにアドホックに設定を適用するのではなく、Blueprint(デバイスの役割やユーザータイプごとにグループ化された構成プロファイル)を定義します。Blueprintにより、特定のクラスのすべてのデバイスが同じセキュリティベースライン(パスコードポリシー、TLS対応Wi-Fi、VPN、証明書信頼設定、制限ペイロード)を確実に受け取れます。Blueprintは四半期ごとに監査して設定のずれを検出します。

デバイスコンプライアンスを定期的に監視する

スケジュール(例:毎日)で実行されるコンプライアンスチェックを設定します。以下の項目を確認します:パスコードステータス、暗号化ステータス、OSバージョン、デバイスがジェイルブレイク/ルート化されていないか、制限対象アプリがインストールされていないか。非準拠デバイスに対して自動アクション(ユーザーへの通知、ネットワークアクセスの制限、またはデバイスの隔離)を設定し、是正されるまで対応します。

紛失モードの手順を準備する

デバイスが紛失する前に、明確な紛失モードのワークフローを定義します。MDMは、カスタムメッセージと連絡先番号によるデバイスのロック、ロック画面へのメッセージ表示、デバイスの位置情報追跡をサポートしている必要があります。この手順を年に一度練習し、チームがプレッシャー下でも実行できるようにします。

定期的なセキュリティ監査

MDM環境の四半期監査を実施します:管理者アカウントとそのロールの確認、構成プロファイルの変更の監査、孤立したデバイスが登録されたままになっていないかの確認、期限切れの証明書がローテーションされているかの確認。コンプライアンス記録としてMDMから監査ログをエクスポートしてアーカイブします。

管理者ユーザーに対する最小権限の原則

MDM管理者アカウントには、そのロールに必要な最小限の権限のみを付与します。ロールベースのアクセス制御(RBAC)を使用して、読み取り専用オペレーター、デバイス登録技術者、フル管理者を分離します。すべての管理者アカウントに多要素認証(MFA)を要求します。管理者リストを四半期ごとに確認し、不要になったユーザーのアクセス権を削除します。

MIT ライセンスの下で公開