こちらは バイセルテクノロジーズ Advent Calendar 2023 の15日目の記事です。

昨日は加藤さんによるデータ拡大に伴う長期運用プロダクトの改善事例紹介でした。 バイセルでのチーム内でのプロダクトへの向き合い方や、いわゆる技術負債解消に向けての取り組みがよくわかる記事でしたね！

はじめに

師走の候、寒さも厳しくなって参りましたがいかがお過ごしでしょうか。 バイセルで情報システム部に所属している甲田と申します。SaaS管理をメインで担当しています。

モバイルデバイスやMDMの管理を経験したことがなかった私ですが、他部署から運用を引き継ぐことになり、最終的にMDMの移行まで経験させて頂きました。その時のエピソードを公開することで、同じ情報システム部の方やデバイス管理をされる方へ、エールを送りたい、そしてあわよくば業務改善の糸口になればと思っております。

• はじめに
  • モバイルデバイスの引継ぎから始まり、Jamf Proを導入した経緯
  • バイセルについて
    • バイセルのモバイルデバイスの運用状況
• 結論、何をやったのか
  • 台帳・部内の運用フローの整備
    • 既に導入されていたABM（Apple Business Manager）の活用
    • Wi-Fiモデルの端末への対処
  • MDMの移行を検討、移行先の選定
  • 移行先MDMの選定
    • 検証環境と検証結果
  • MDM移行の実施
• 最後に

モバイルデバイスの引継ぎから始まり、Jamf Proを導入した経緯

• 他部署から引き継いだあと、情報が集約されている場所がなかったため、最新のデバイス情報を参照することができなかった

• 情報を整理していく中で、現行MDMの機能不足を感じることがあった

• 会社の規模が大きくなり、今後デバイスの台数も増えていく中で、求められるセキュリティ要件が変わった

• 将来的にデバイス認証を実施するにあたっても、現行MDMの機能では不十分だった

バイセルについて

本題に入る前に、私が所属しているバイセルについて紹介させてください。バイセルはその名のごとく、中古品の売買を行っており、グループ全社で約2000人の従業員が在籍しています。出張買取(訪問査定)が行われており、モバイルデバイスが多く払い出されています。

バイセルのモバイルデバイスの運用状況

1. 全てiOSで、iPhone約1500台、iPad約800台が稼働している
2. 個人利用と共有利用の端末がある
3. 通信事業者からレンタルしているセルラーモデルと、別の会社からリース契約しているWi-Fiモデルの端末があり、契約先が複数に分かれている
4. セルラーモデルのデータ通信の契約プランは査定員（お客様宅へ訪問する社員）とそれ以外で契約プランが異なる
5. 業務アプリをMDMでカスタムアプリとして配布している
6. 貸与対象者は全国津々浦々にある拠点で活動している
7. PCを利用している人と、そうではない人がいる

結論、何をやったのか

• モバイルデバイスの台帳と部内の運用フローを整備
• MDMの移行を検討、移行先の選定
• MDM移行を実施

台帳・部内の運用フローの整備

情報を適切に管理するための第一歩として、まずは台帳を整備することから始めました。 契約を見るとデバイスが約2300台払い出されていましたが、最新の利用者が確認できない状態でした。1から大規模な台帳を作ることは珍しいので、やりがいを感じたことの一つです。

効率的な方法を模索した結果、社員全員をリストアップし、従業員一人一人に電話番号下4桁とシリアル番号を入力して頂くことにしました。

この方法にしたのは、まず打ち間違いが発生するだろうと見越していたことと、この段階では利用者と電話番号を公開したくない意図があったからです。下4桁とシリアル番号の組み合わせで大方の端末と利用者が特定できましたが、近似値が見つからない場合は最終的に個別でヒアリングして対処しました。 ちなみにバイセルではkintoneを利用していたので、台帳はkintoneで整備しました。

キッティング担当にも協力してもらい、部内の運用フローもドキュメント化を進めていきました。 ↓引継ぎ当初は新卒入社に合わせてみんなで協力して端末を設定しました。今ではいい思い出です。

また、既に導入されていたMDMの管理画面の項目を見つつ、業務フローを見直して行きました。

既に導入されていたABM（Apple Business Manager）の活用

基幹システムをバイセルは自社内で開発しています。その基幹システムのiOSアプリを既にMDMのアプリカタログで配布していました。 ABMに登録済みならこれを使わない手はない、ということでさっそくADE（Automated Device Enrollment）を利用することにしました。ABMへの端末の登録を回線業者にお願いし、新規払い出し端末が自動でセットアップされるような仕組みを作りました。同時に業務でよく使用するApp StoreのアプリをVPPを用いてアプリカタログで配布できるようにしました。（詳細な手順は先人たちが書き起こしているのでここでは触れません）

手動で行っていたWi-Fi設定やMDM登録の作業は不要になり、ユーザーに初期セットアップを行って頂くことで、キッティング業務の工数削減や端末払い出しまでの期間が短縮しました。ユーザーもApple IDを作成しなくても業務に使用するアプリがダウンロードできるようになり、負担を減らすことができました。

Wi-Fiモデルの端末への対処

バイセルにはWi-FiモデルのiPadが存在していたのですが、Wi-Fiモデルは回線業者から調達しておらず、ABMへ自動で登録されません。

MDMは各自手動で登録を促しており、インストールが完了していない方も見受けられました。また、査定員はWi-FiモデルのiPadをiPhoneからのテザリングで使用しており、不便を感じていました。 最終的に効率化を優先し、査定員のWi-Fiモデルはセルラーモデルに交換し、難局を乗り越えることができました。 Wi-FiモデルのiPadはリース契約の残期間を考慮し、倉庫業務などの屋内での業務に活用されています。(ABMへの登録はApple Configratorを用いています)

MDMの移行を検討、移行先の選定

MDMの活用にあたってもう一つ課題が出てきました。緊急時の端末対応として、ワイプしか実施できるコマンドがなかったことです。 というのも、遠隔ロックや端末の位置情報を追うための紛失モードは、端末が監視モードであることが条件でした。手動でMDM登録をして払い出していた多くの端末は監視モードになっていませんでした。

一方、MDMの知見を深めていくにつれて、将来的に条件付きアクセスを実現したいという思いも芽生えました。よりセキュリティレベルが高く、効率化に貢献できると考えたからです。

この2点が主要な理由で、MDMの移行を実施する運びとなりました。

移行先MDMの選定

様々なMDMが世に出回っている中で、全てのサービスを比較するには時間も限られていたので、既に別のプラットフォームで利用しており、実績のある2つのMDMに絞って比較を行いました。 事前知識としては以下のとおりです。

• M社製MDM
  • 既に別のプラットフォームで契約しており、追加費用がかからない
  • バイセルで利用しているIdPと親和性が高そう
• Jamf Pro
  • Apple製品との相性がよい、コマンドの種類や取得できるインベントリが比較的多そう
  • コンソールがわかりやすい

検証環境と検証結果

●検証デバイス

• iPhone 13（MLND3J/A）　128GB
• iOS 16.4.1
• 監視モードにてデバイスを登録した状態で検証

※2023年6月時点の情報を元に検証を行っています。

先述の通り、新しいMDMには遠隔ロックや紛失モード、ディレクトリ連携の機能を求めていましたが、双方この条件は満たしていました。そのため、情報システム部での業務フローやユーザーストーリーを順に追っていき、特に以下の3つの項目に注目して比較していきました。

1 .デバイスの自動登録

毎月何十台もデバイスを払い出すバイセルでは、払い出しまでの時間短縮は重要な課題でした。そのため、ABMにデバイスが登録されてからMDMにデバイスが登録されるまでの時間を調べたところ、 両方手動で同期が可能であるものの、自動同期の間隔が大幅に短いJamf Proの方がバイセルには向いていました。 *1

2 .プロファイル配布：Wi-Fi設定

必要最低限のプロファイルの検証として、Wi-Fi接続情報の配布についても検証しました。 配布自体はどちらもスムーズに実施できましたが、M社のMDMではSSIDごとにプロファイルが必要となることに比べ、Jamf Proでは1つのプロファイル内で複数のSSIDが設定できるため、よりシンプルに管理することができました。

M社製MDM

Jamf Pro

3 .インベントリ自動収集

インシデント発生時、最新のインベントリ情報が取得できていることは重要だと考えています。 M社のMDMは登録日から7日ごとに自動収集し、Jamfは毎日一度（毎週／毎月から選択可）でした。 頻度は多い方がいいのですが、通信にあたってデバイスへの負荷もかかるかもしれないので、柔軟に設定できるJamf Proの方がより便利に使用できそうでした。

*2

このように、各MDMの機能に細かな違いがありました。

• 台数が多い
• 関係する部署が多い
• 端末の安定稼働が会社の利益に直結する

この背景を持つバイセルの環境では、日常起こりうる小さな業務負荷を減らしていくことが大きな効率化に繋がることは間違いなく、今回はJamf Proを上申させて頂きました。

MDM移行の実施

無事Jamf Proを導入することが決定しました。 MDMには監視モードでのみ使用できる機能があります。そのため、MDMを最大限活用するにはデバイスを監視モードにすること＝初期化(正確には初期設定時に自動登録でMDMに登録されること)が不可欠でした。 運用中の2300台の初期化を実施することは、ご想像の通り一朝一夕には完遂できません。

Jamf Proのドキュメントにも書いてありました。

「私たちが提供できる一番のアドバイスは、慎重に計画を立てるということ」

部メンバーとも意見を交わし、可能な限り慎重に計画を立てて行きました。

①端末の初期化をどうするか問題

運用を止めることはできないので、端末を交換するか、利用中の端末を初期化するしかありませんでした。費用、人的コストの面から利用中の端末を初期化することがベストな選択なのではないかということで、専用マニュアルや問い合わせ窓口を設けてミニマムスタートで開始したところ、思ったより自分たちの出番がなく、各ユーザーで初期化を実施して頂けそうだという判断に至りました。従業員の皆様に感謝です！

②ステークホルダーへの説明会実施

事前説明会を複数回実施。実施することの必要性や得られるメリットの説明、スケジュール共有、質問の場を設けました。MDM移行へ向けて共通認識を持つことにより、運用や問い合わせ時の会話がスムーズになることを期待しての実施です。 また、初期化作業の負担がかかるので、事前に内容を共有することで、プロジェクト自体への抵抗を減らすことができると思いました。

➂スケジュール設定時の工夫

進行が中弛みしないよう、タスクの粒度を可能な限り細かくしました。また、万が一の場合に備え物理的に近い拠点同士で展開フェーズを組み、スムーズな進行ができるように努めました。 幸い大きい障害はなかったため、終盤に行くにつれ対象者を増やすなど柔軟に対応ができました。

④専用マニュアルの用意、問い合わせ専用Slackチャンネルの開設

対象者を区切るとはいえ、問い合わせが一度に来ると情報システム部がパンクしてしまうため、極力項目を網羅したマニュアルを作成しました。 また、対象者のみが参加したチャンネルを作成し、リマインドや問い合わせの対応が流れてしまわないような工夫もしました。

かくして、2300台のMDM移行を無事に実施することができました。

本プロジェクトで、従業員の方々がナレッジを共有してお互いに助け合う様子が観測できました。改めてご協力いただいた従業員の皆様には感謝です！

最後に

今回のプロジェクトは半年にわたって実施しました。業務の起点となるデバイス管理は事業の要といっても大袈裟ではないと思います。地道な作業が多いですが、工夫することでどれだけスムーズに進行できるか、その過程を楽しんだり、他の業務への応用ができたり、過程で事業への理解が深まったこと、なにより達成感を感じられるプロジェクトでした。

バイセルでは、情報システム部はテクノロジー戦略本部（Tech組織）に所属しています。バイセルの全ての事業部をテクノロジーで支えていく、そんな仕事がこれからもできたらいいなと思っています。お読み頂きありがとうございました。

そんなバイセルではエンジニアを随時募集しています。ご興味を頂けましたら、是非以下の採用サイトからご応募ください。 herp.careers

明日は同じく情報システム部前原さんによる無線サーベイツールを用いて無線LAN環境を可視化してみたです。お楽しみに！