多くのスタートアップと同様に、Syndioでは社員が複数の役割を担う必要がある場合があります。職場の公平性を測定・実現するソリューションを提供する同社が、システムセキュリティエンジニアとしてAaron Baumanを採用した際も、まさにそのケースでした。
Aaronは入社前、コンプライアンス担当の契約社員としてSyndioで働いていました。しかし、米国海兵隊で数万台のモバイルデバイスを管理していた経験を評価され、正社員として入社する際に2つの役割を任されました。「1つは、すべてが安全に保たれていることを確実にすること。もう1つは、それらのデバイスをリモートで管理するためのソリューションを整備することです。」
米国海兵隊での業務では、Workspace ONE や BlackBerry Enterprise Server といったツールを扱っていました。「複数のプラットフォームに対応するための大規模なツールです」とAaronは振り返ります。
一方で、現在はハイブリッドな働き方の中で、すべてAppleデバイスの環境を管理することが求められていました(現在は全員リモートですが、将来的にはシアトルやニューヨークのオフィスへの出社も予定されており、さらに拠点が増える可能性もあります)。そのため、こうした環境に対応できるデバイス管理ソリューションが必要でした。
さらに、機密性の高い報酬データを扱う企業として、厳格なセキュリティ基準への準拠を支援できることも重要な要件でした。
是正措置が実行されず、継続的な監視や強制適用も行われていませんでした。
Aaron Bauman
Syndio シニア・システムセキュリティエンジニア
Aaronが入社する前にSyndioで使用されていた管理ソリューションは、要件を満たすには不十分でした。例えば、MacエンドポイントにおけるFileVaultの有効化を確実に担保することができませんでした。「是正措置が実行されず、継続的な監視や強制適用も行われていませんでした。」また、サードパーティ製アプリのインストールやアップデートも確実に管理できていませんでした。その結果、「ユーザがZoomのサイトからダウンロードしても、その後アップデートされないままになることがありました。」
Aaronは、スクリプトのスキルを活用すれば従来のソリューションを何とか運用することも可能でしたが、他にも多くの業務を抱えており、その余裕はありませんでした。米国海兵隊で使用していたような大規模でマルチプラットフォーム対応のツールは必要なく、デバイス管理の工数を削減しつつ、セキュリティ要件も満たせるモダンなツールを求めていました。つまり、2つの役割の両方を支援できるソリューションが必要だったのです。その結果として選ばれたのがIruでした。
パッチ適用とコンプライアンスの自動化e
Iruはソフトウェア展開の面で即座に効果を発揮しました。「正しくデプロイでき、その後も継続的な強制適用と監視ができるプラットフォームを探していました。」その点で、Iruのサードパーティ製Auto Appsのライブラリは「非常に優れている」と評価しています。また、CrowdStrike のようにAuto Appsで提供されていないアプリについても、Iruサポートが提供するスクリプトを活用して適切にセットアップすることができました。「これが事前インストール用スクリプト、これが事後スクリプト、そしてサポート記事もある——シンプルで分かりやすいです。」
Syndioでは、IruのAuto Appsにより27の重要アプリケーションが自動的に最新状態に保たれています。Baumanによると、Auto Appsがなければアプリの更新には月平均1.5時間、年間では最大486時間もの工数がかかる可能性があります。
コンプライアンス面では、Iruの組み込みBlueprintテンプレートをベースに必要に応じてカスタマイズし、数十におよぶセキュリティ設定を展開することができました。SyndioはSOC 2への準拠が求められていますが、Iruによりそれも容易になりました。「SOC 2でエンドポイントの暗号化が必要であれば、FileVault を展開すればいいのです。」
これが事前インストール用スクリプト、これが事後スクリプト、そしてサポート記事もある——シンプルで簡単です。
Aaron Bauman
Syndio シニア・システムセキュリティエンジニア
「これらがあらかじめパッケージ化されていて、すぐに使える状態になっているおかげで、ポリシーを構築する時間を大幅に削減できました。」
Iruはこれらのセキュリティ設定を全デバイスに対して継続的に強制適用します。何らかの理由で特定のコンピュータがコンプライアンスから外れた場合(「レポートが上がってこない、ユーザが電源を入れていない、といったケースです」)、アラートが通知されるため、調査が可能です。「常に全体のデバイス状況を把握できています。」
Baumanは、コンプライアンス対応において(PDFの突合やセキュリティ設定の監査・強制適用が不要になることで)毎月5〜10時間の工数削減ができていると見積もっており、年間ではさらに60時間の削減につながっています。
結論として、「120台以上のノートPCをすべて管理下に置き、SOC 2準拠も達成しています。」
ゼロタッチ導入でさらなる時間削減
アプリの展開やコンプライアンス対応で削減できた時間により、Aaronはゼロタッチ導入モデルへの移行といった他のプロジェクトに時間を割けるようになりました。
「以前は、新入社員ごとに一連の手順を案内していました。箱からノートPCを取り出し、FileVault を有効化し、ファイアウォールをオンにし、ゲストユーザを無効化するなど、必要な設定をすべて行ってもらっていました。」
「多くのユーザは『何を意味しているのか分からないし、なぜ必要なのかも分からない』という反応でした。」Aaronは Apple Business Manager への移行を主導し、現在ではユーザが適切に登録されるようになっています。
「理想は、ユーザが箱からノートPCを取り出し、ドキュメントを確認し、ブラウザを開いてHR関連の手続きを進めるだけにすることです。あとはMacBookを送付すれば、ゼロタッチで設定が完了します。」
Iruによるゼロタッチ導入により、新しいコンピュータ1台あたり少なくとも30分の管理工数削減が実現しました。今年Syndioが予定している115名の新規採用に対しては、オンボーディングだけで約60時間の削減効果となります(新入社員側の時間削減は含まず)。
さらに、エンドユーザはIruのSelf Serviceを使って必要なアプリを自分でインストールできるようになりました。「たまに『このアプリをダウンロードできますか?』と聞かれることがありますが、『Self Serviceにありますよ』と答えるだけです。」
総合すると、デバイス管理およびセキュリティ設定の適用において、チーム全体で年間約606時間の工数削減を達成しています。従業員の利便性向上は金額換算が難しいものの、ITエンジニアの平均給与をベースに削減時間を換算すると、投資対効果は約3倍に達します。
「私1人の専任セキュリティ担当でこれらすべてを運用できているのは、スタートアップ、しかもフルリモートの環境においてもIruの能力が非常に高いことの証明です。300〜400台規模に拡大しても、1人で十分対応できると思います。」