Octopus Moneyがエンドポイントスタックをわずか1ヶ月で自動化した方法

課題

Octopus Moneyは、英国全土の個人および従業員を対象に、1対1の財務アドバイスやコーチングを提供しています。同社は金融行動監視機構の規制対象であり、ISO 27001認証を取得し、一般データ保護規則の適用範囲内にあるため、データ保護が任意ではなく法的および規制上の義務となる、規制対象の金融サービス企業としてのすべてのコンプライアンスの重責を担っています。

Luke Sprayは、同社初のインハウスの情報セキュリティ担当者として入社しました。急成長中の規制対象の金融サービス企業で最初の専任担当者になるということは、200台を超えるすべてのMacコンピューターの管理と、彼1人の手にかかっているセキュリティ体制の強化を意味していました。

Octopus Moneyが必要としていた管理態勢は整っていました。しかし実際には、そのすべてが手作業による運用に依存していました。ISO 27001の証明データ、CISに準拠したベースライン、脆弱性対応、パッチ適用、そしてオンボーディングのすべてが、Lukeのスケジュールを圧迫していました。「私たちにとって、この体制を維持していくのは不可能な状態でした」と彼は語ります。

以前のMDMツールが、さらに負担を大きくしていました。パッチ適用は途中で停止し、エンドユーザーは復旧のためにマシンの再起動を余儀なくされ、必要なパッチが完了しないこともありました。オンボーディングには、新入社員ごとに手作業での部署選択と設定が必要で、20分から30分かかっていました。CISレベル1のベンチマークも、ポリシーを一つずつ手作業で組み立てる必要がありました。規制対象の企業内にある小さなセキュリティ部門にとって、それはLukeが維持し続けられるような安定した状態ではありませんでした。

解決策

Iruの選定

四半期ではなく、わずか1日で完了したシステム構築

Iruの全環境の立ち上げは、最初から最後までわずか1営業日で完了しました。

私たちがIruを導入したとき、わずか1日で設定をすべて完了させました。自動アプリケーション配布、パッチ管理、脆弱性管理にいたるまで、最初から最後までの一連の設定が対象です。実際にデバイスの登録を進めていた、まさにその1日での出来事でした。

Luke Spray
情報セキュリティマネージャー, Octopus Money

情報セキュリティ部門は、他の業務の合間にプラットフォームを立ち上げることができました。大規模な導入プロジェクトも、外部コンサルタントの起用も、四半期にわたる長期の展開計画も必要ありませんでした。

クリック操作だけで適用できるセキュリティベースライン

以前のMDMでは、組織全体へのCISレベル1ベンチマークの適用はポリシーを一つずつ手作業で構築する仕組みでした。しかしIruでは、Lukeはワンクリックでベンチマークを組織全体に適用することができました。

私が入社したときにやりたかったことの一つが、すべてのデバイスへのCISレベル1コンプライアンスポリシーの適用でした。以前のMDMでは、それが本当に手作業で……。しかしIruなら、文字通りCISレベル1をクリックするだけでベンチマークを開始でき、すべての設定を自動で行ってくれます。そのため、以前とは雲泥の差です。

Luke Spray
情報セキュリティマネージャー, Octopus Money

かつては一大設定プロジェクトだったセキュリティベースラインの構築が、今では1回の設定だけで完了するようになります。

共通脆弱性評価システム(CVSS)を基準とした、アグレッシブなパッチ適用の自動化

以前のMDMでは、パッチ適用が展開の途中で停止してしまい、エンドユーザーは復旧のためにマシンの再起動を余儀なくされていました。ユーザー側からは、何がいつパッチ適用されているのかがほとんど、あるいはまったく見えない状態でした。LukeはIruを導入し、CVSSの深刻度を基準としたモデルに再構築しました。スコアが8を超える脆弱性はすべて即座に配信されます。深刻度がそれより低いアップデートには長めの猶予期間が設けられ、エンドユーザーは何がいつパッチ適用されるのかを確認できるようになっています。Lukeによると、「これは非常にうまくいっている」とのことです。

現在、組織全体における自動パッチ適用の約80%は、標準機能の「Auto Apps」によってカバーされています。それ以外の部分（主にHomebrew経由でインストールされた開発者向けの依存関係）についても、Iruが脆弱性を検知してダッシュボードに表示します。Lukeは開発者と月次で連携し、予定されたスケジュールに沿ってBrewパッケージのアップデートを実施しています。

結果

Lukeはおよそ6週間のうちに、200台以上のデバイスを以前のMDMからIruへと移行させました。これにはパッチ管理、脆弱性対応、EDR、MDMのすべてが含まれており、業務を長期間中断させることもありませんでした。新入社員のオンボーディングにかかる時間は、1人あたり20分から30分かかっていたところから、わずか10分へと短縮されました。新しい参加者はGoogle Workspaceを通じて認証され、適切なBlueprintと呼ばれる構成テンプレートに自動的に割り当てられます。これに伴い、アプリケーションの一覧、Dock、壁紙の設定までが同時に自動プロビジョニングされるようになりました。

以前のMDMでは、ノートPCのオンボーディングに20分から30分ほどかかることもありました。しかしIruの導入により、それを10分にまで短縮できました。新しい参加者は入社時に覚えることが多くて大変な状況にあるため、ノートPCをわずか10分で使える状態にし、他の情報の吸収に早く注力してもらえるようにすることは、非常に重要な意味を持っています。

Luke Spray
情報セキュリティマネージャー, Octopus Money

デバイスのオフボーディング（退職処理）は、現在では人の手を介さず、最初から最後まで完全に自動で実行されています。人事労務システム（HRIS）からSaaS管理ツールへデータが連携され、退職者の最終出社日にオフボーディングの処理が自動で起動します。Google WorkspaceやSlackへのアクセス権限が即座に剥奪された後、IruのAPIが呼び出され、パソコンの返却を促すメッセージとともに画面がロックされ、デバイスPINが設定されます。退職日の午後5時になるとデバイスは自動的にロックされるため、Lukeがわざわざ進捗を確認する必要はありません。

同社にとって必須要件であった「EU域内でのデータ保管」についても、AWSのEUリージョンを利用しているIruによって標準機能のままでクリアされました。また、シンプルなワンプランの料金モデルであるため、SAMLやSCIMによるプロビジョニングといった機能も、エンタープライズ版へのアップセルの壁に阻まれることなく、最初から標準搭載されていました。

Iru MCPを活用することで、監査や報告に必要な証明データもプラットフォームから直接出力できるようになりました。パッチ適用状況やバージョン遵守の統計データがレポートにそのまま反映されるため、個別の事前準備をすることなく、FCA（金融行為監督庁）、ISO 27001、GDPRのコンプライアンス要件を満たす体制を維持できています。コンプライアンスの遵守は、上乗せされる重荷ではなく、自動化によって自然に得られる成果となっています。

今後の展望

Mac環境の自動運用が軌道に乗ったことを受け、Lukeは同じ運用モデルをWindows環境にも拡張しようとしています。これにより、別のMDMを新たに構築することなく、同じIruコンソール上で一元管理が可能になります。Windows専用ツールを必要とするユーザーに対して、選択できるデバイスの選択肢を広げられるようになります。

自動化の仕組みは、人事、アイデンティティ管理、デバイス管理にわたるオフボーディングの証跡、いわゆる監査トレイルを、さらに強固なものにし続けています。プラットフォームの準備はすでに整っており、管理を担当するIT部門の人数を増やすことなく、次のフェーズの従業員数拡大に対応できるようになっています。

Octopus Moneyについて