セキュリティ推奨事項
常にデバイスを監視対象にする(ABM/DEPの使用)
監視はMDMセキュリティの基盤です。Apple Business Manager(ABM)またはApple School Manager(ASM)とAutomated Device Enrollment(DEP)を組み合わせてデバイスを登録してください。これにより、デバイスが開封された瞬間から監視対象となり、制限、構成、リモートロックやワイプ機能を完全に制御できます。ABM/DEP経由で登録されていないデバイスは、エンドユーザーがMDMから削除できるため、セキュリティ体制が損なわれます。
強力なパスコードを強制する
すべての管理対象デバイスにデバイスパスコードを要求します。最小長(6桁以上、できれば8桁以上)を設定し、複雑な英数字コードを要求し、ワイプをトリガーする最大失敗試行回数を設定します。macOSでは、短い猶予時間でスクリーンセーバーパスワードを強制します。強力なパスコードは、不正な物理アクセスに対する最も効果的な防御策です。
macOSでFileVaultを有効にする
FileVaultはmacOSでフルディスク暗号化を提供します。Blueprintを介してすべてのMacに展開します。個人用回復キーのエスクロー機能を有効にすると、MDMが回復キーを保管するため、デバイスが紛失または盗難された場合でもデータへのアクセスを防ぎつつ、ユーザーがパスワードを忘れた場合でもIT部門がデバイスを復旧できます。
デバイスを最新の状態に保つ
MDMを通じて強制OSアップデートポリシーを設定します。延期期間を設定して広範な展開前にアップデートを検証しますが、無期限の延期は許可しないでください。可能な場合は自動バックグラウンドアップデートを有効にします。パッチ未適用のデバイスは、最も一般的なエクスプロイトの侵入経路です。
Blueprintを使用して一貫したセキュリティを確保する
個々のデバイスにアドホックに設定を適用するのではなく、Blueprint(デバイスの役割やユーザータイプごとにグループ化された構成プロファイル)を定義します。Blueprintにより、特定のクラスのすべてのデバイスが同じセキュリティベースライン(パスコードポリシー、TLS対応Wi-Fi、VPN、証明書信頼設定、制限ペイロード)を確実に受け取れます。Blueprintは四半期ごとに監査して設定のずれを検出します。
デバイスコンプライアンスを定期的に監視する
スケジュール(例:毎日)で実行されるコンプライアンスチェックを設定します。以下の項目を確認します:パスコードステータス、暗号化ステータス、OSバージョン、デバイスがジェイルブレイク/ルート化されていないか、制限対象アプリがインストールされていないか。非準拠デバイスに対して自動アクション(ユーザーへの通知、ネットワークアクセスの制限、またはデバイスの隔離)を設定し、是正されるまで対応します。
紛失モードの手順を準備する
デバイスが紛失する前に、明確な紛失モードのワークフローを定義します。MDMは、カスタムメッセージと連絡先番号によるデバイスのロック、ロック画面へのメッセージ表示、デバイスの位置情報追跡をサポートしている必要があります。この手順を年に一度練習し、チームがプレッシャー下でも実行できるようにします。
定期的なセキュリティ監査
MDM環境の四半期監査を実施します:管理者アカウントとそのロールの確認、構成プロファイルの変更の監査、孤立したデバイスが登録されたままになっていないかの確認、期限切れの証明書がローテーションされているかの確認。コンプライアンス記録としてMDMから監査ログをエクスポートしてアーカイブします。
管理者ユーザーに対する最小権限の原則
MDM管理者アカウントには、そのロールに必要な最小限の権限のみを付与します。ロールベースのアクセス制御(RBAC)を使用して、読み取り専用オペレーター、デバイス登録技術者、フル管理者を分離します。すべての管理者アカウントに多要素認証(MFA)を要求します。管理者リストを四半期ごとに確認し、不要になったユーザーのアクセス権を削除します。
