教育・医療・Biz iOS導入事例

Casper Suiteが問いかける「IT管理者の本来の仕事」

最高のMac管理ソリューション

企業で、ユーザである社員が利用するMacやiOSデバイスを管理しようとするのであれば、現状での最高のソリューションはキャスパースイート（Casper Suite）であることに、議論の余地はないと思う。そう言い切れるほどに、キャスパースイートは優秀で柔軟性を持っている。しかし、だからといって、全員に両手放しでおすすめするわけにもいかない。なぜなら、キャスパースイートは、システム担当者に対して高い能力を要求するからだ。

それはITに関わる技術的な能力のことではなく、自社の業務プロセスを綿密に分析し、ユーザの業務とシステム管理業務を効率化する最適なシステムをデザインする能力だ。ここをおろそかにして導入すると、一般的なMDM（Mobile Device Managenet）と同程度の効果しか上がらないだろう。

 

 

 

そこで、実際にキャスパースイートを導入した株式会社ロボットを訪問して、導入の実情を取材した。

ロボットは、広告映像を制作するところからスタートしたが、「ALWAYS三丁目の夕日」などで映画制作会社としても有名になり、さらにアニメーション「つみきのいえ」では、日本で初のアカデミー賞短編アニメーション賞を受賞するという快挙まで成し遂げた。現在では、広告、映画、TVドラマ、アニメーションなどの制作とプロデュースを行い、さらにはグラフィック、CG、WEBコンテンツなども制作する。

中心となるのはクリエイターとプロデューサーで、クリエイターたちは、扱うコンテンツに合わせて、画像処理、映像処理、CG生成などの専門ソフトを使い、プロデューサーや間接部門は、スケジュール管理とコミュニケーションにMacを使っている。合計で250台のMacが使われており、そのうち150台がクリエイティブ、100台が一般的な使い方をしているという。使われ方は４ないし５パターンに分類できる。

ロボットで重要視されているのは情報セキュリティだ。広告案件が多いことから、情報漏洩は業績に甚大な影響を与えかねない。かといって、クリエイターやプロデューサーたちの使い勝手を大きく制限するようでは、業務のパフォーマンスが低下してしまう。

このような企業にとって、キャスパースイートはうってつけだ。キャスパースイートと一般のMDMを比べた場合の最大の違いは、柔軟にポリシー設定ができること。一般のMDMは極論をいってしまえば、開発元が想定した平均的なセキュリティポリシー、運用ポリシーが組み込まれていて、自社の実情と合わなくても、それを受け入れるしかない。一方で、キャスパースイートの場合、どのようなポリシーであっても構築できる柔軟な設計になっている。

ただし、最適ポリシーを設計するには、自社の業務プロセスの詳細な分析が当然ながら必要となり、ここがキャスパースイート導入が一見面倒で、難しく見える原因になっている。システム側から見た業務プロセス分析とポリシー設計は、システム担当者の重要な仕事だが、忙しいシステム管理者にとって、日々の仕事に追われてしまい、なかなかそういう本質的な仕事をする時間がとれないという現状もある。

 

 

 

１日8台から「ながら仕事」の25台へ

ロボットの経営企画／情報システム担当の藤巻正之氏もまさにこの状態に陥っていた。システム担当者として本質的な仕事をする時間がほとんど取れず、日々の仕事にばかり追われていた。この悪循環を断ち切ろうして、キャスパースイートの導入に注目をした。

「もっとも時間をとられるのがキッティング作業です。これをなんとかしたいと考えて、キャスパースイートの導入を考えました」

キッティング作業とは、Macの箱を開け、電源を入れて必要な設定を行い、必要なソフトをインストールしたり、ユーザ登録などをして、ユーザが使える状態にまでもっていく“キット作成”作業。さらに、MDMを導入する場合は、MDM関連のインストールや登録、設定も必要で、キャスパースイート導入前は、１日に８台のMacをキッティングするのが限界だった。

「弊社は50台から150台ぐらいまでの単位でMacをリース契約しています。150台の入れ替え時期には、キッティング作業が限界を超えてしまいます」

注目すべきは、キャスパースイートがアップルが提供しているDEP（Device Enrollment Program）に完全対応していることだった。これは購入したMacのシリアル番号または注文番号などを、アップルのDEPポータルに事前入力をしておくと、本体を開封してネットワークに接続した瞬間に、キャスパースイートの管理下に置かれ、事前に設定しておいたソフトのインストール、個人認証系の設定が行われるというものだ。

藤巻氏のキッティング能力は１日８台から、約３倍の25台程度に増加した。ほかに２人のシステム担当（兼任）がいるので、150台の大量導入であっても、２日間で作業が終了する計算だ。

「以前のキッティング作業では、途中でOKボタンをクリックしたり、うまく進んでいるかどうか確認する必要がありますし、個別設定の部分は結局手作業でやらざるを得ず、つきっきりになっていました。でも、DEP＋キャスパースイートでは、それがほとんど必要ない。手作業部分は合計しても２分程度なので、キッティング作業をしながら、別の仕事ができるのです」

 

 

 

 

誰もが業務に集中できる環境へ

「弊社のクリエイター、プロデューサーたちは、ITリテラシーが決して高いほうではありません」。当然だ。ユーザにとって、Macは仕事をするための道具であって、Macを使いこなすことは本来の仕事ではない。本質的な制作能力、プロデュース能力を高めるべきであり、“パソコンの使い方”などを学ぶことは本来しなくていいのだ。

以前のMDMを使っていた時代は、これが問題となって、システム担当者と現場両方の生産性を下げてしまう事態がたびたび起こっていた。たとえば、プリンタを新しいものに入れ替えたというような場合、システム担当がドライバのインストール方法をまとめたマニュアルを作成し、それを現場に渡し、セルフサービスでプリンタの入れ替え作業をしてもらう。しかし、たびたびユーザからトラブル解決を求める電話が藤巻氏の元にかかってきて、現場に急行して、自身の手で後始末をするということが起きていた。

また、システムのセキュリティポリシーを改善した場合、以前のMDMでは運用でカバーする部分が多かったので、やはりマニュアルを作成しなければならなかった。しかし、現場では悪意はなく、運用ルールの意味が理解できていないために、ルールから外れた操作をしてしまうこともあった。これも藤巻氏が直接出向いて、運用ルールの意味をしっかりと現場に理解してもらう仕事をしなければならなかった。

そこで、藤巻氏は面白い仕組みを導入した。キッティング時、あるいはあとからソフトをインストールするときは、あらかじめ作成してあるインストールイメージが自動的にインストールされていくようにしたのだ。ロボットの場合、インストールされるソフトは、マイクロソフト・オフィスとアドビ製品がほとんど。このとき、インストールイメージ内のアドビソフトと、アドビのクラウドにある最新のソフトのバージョンを比較して、自動的に新しいほうをインストールするスクリプトを導入した。これで、インストールイメージを更新しなくても、常に最新のソフトがインストールされる環境が整った。

「キャスパースイートの開発元であるJAMFソフトウェアのコミュニティに、このようなスクリプトがたくさん紹介されています。それをコピーして、ほとんど改変することなく使えました」

システム管理者の作業負担が激減したことももちろん大きいが、ユーザの視点から見ると、「よくわからないけど、ちゃんと使えているからOK」の状況が生まれていることも大きい。キャスパースイート導入後は、セキュリティポリシーなど気にしなくても、普通に使っているだけで、情報漏洩が起きない仕組みになっている。

つまり、ユーザに要求されるITリテラシーが限りなくゼロになり、「よく知らないけど、快適に使えている」状態になった。これこそ理想的なITシステムだ。ユーザであるクリエイター、プロデューサー、経理などの間接部門が学ぶべきことは、自分の業務に関する知識であって、コンピュータの知識ではない。キャスパースイートは、システム管理者の負担を軽減するが、同時にエンドユーザの負担も軽減し、両者を“本来の業務”に集中できる環境を実現してくれるのだ。

 

 

 

使いこなすポイント

キャスパースイートを導入した費用対効果などの評価を藤巻氏は「まだ導入したばかりなので、現状では費用対効果があがっているとは考えていません」と見ている。キャスパースイートの使用料そのものは低額だが、使いこなすうえで必要となるコンサルティングや業務分析作業があるのだ。ここでリセラーなどのサポートサービスを受けると、その分のコストが必要になる。

「もし、キッティング作業をしなくて済むというところだけでキャスパースイートを導入したのであれば、割高なものになっているかもしれません」

キャスパースイートを単なる「キッティング作業不要のMDM」と見るのであれば、決して費用対効果の上がる製品とは言えない。しかし、キャスパースイートの柔軟なポリシー設定、管理者にもユーザにも負担をかけない運用という理想的な環境が構築できることまで見通していれば、キャスパースイートは費用対効果が極めて高い製品だと藤巻氏は考えている。もちろん、藤巻氏にとって、それは導入前から想定していたことで、キャスパースイートの導入が一段落した今、次のステップを考えている。

大きな課題がひとつ、全社のMacをすべてキャスパースイートの管理下に置くことだ。新規に購入、リースしたMacは簡単にキャスパースイートの管理下に入れることができる。しかし、問題は導入前から存在しているMacだ。こちらは従来のMDMにより管理している。これをキャスパースイートの管理下に置くためには、既存のMDMの管理下から外して、MDMプロファイルを手作業でアンインストールして、それからキャスパースイートの管理下に置く作業をしなければならない。このアンインストール作業に時間がかかるのだ。

しかも、この作業の間ユーザはMacを使えないのだから、業務の閑散期を狙って手早く行う必要がある。このマンパワーをどうやって確保するか。いっそのこと割りきって、新規購入分だけを順次キャスパースイートの管理下に入れていき、時間をかけて置き換えていくという方法もあるが、それだとすべてがキャスパースイートの管理下になるのに数年かかることになる。その数年間は、既存のMDMも使わざるを得ず、使用料の二重払い状態となってしまう。さらに、藤巻氏の目標である「キッティング作業軽減以外のキャスパースイートの機能を使いこなす」状態になるのに時間がかかることになり、この点でも好ましくない。この置き換え問題が、現在の藤巻氏の最大の課題だ。

現状では、iOSデバイスに関しては、キャスパースイートではなく、キャリアの法人向けMDMで管理をしている。その理由は、万が一盗難や紛失等の事故があった場合のリモート操作（リモートロック、リモートワイプ）をキャリアに委託することができるためである。

ただし、このようなMDMでは柔軟な管理をすることはできない。利用できるソフトや操作の制限については、ユーザの教育によってセキュリティレベルの向上を図っている。

本来は、iOSもキャスパースイートの管理下に置いて一括管理できる状態が望ましい。では、どのような構成にすれば、ユーザは満足し、なおかつセキュリティも確保できるのか。

以前はこのような検証作業に割ける時間がほとんどないに等しかった。それがキャスパースイート導入により、ようやくこういったシステム管理者本来の仕事であるITシステムの戦略的立案に時間を割けるようになったのだ。

面倒をユーザに押しつけない

10年前を想像すると、「パソコンを触った経験が少ない」という人がほとんどだったものだったが、現在は生活の中でほとんどの人がスマートフォンやタブレットを使っている。

そのため、ユーザは「スマホではこんなことができるのに、なぜ会社ではできないのか？」というストレスを抱えてしまう。つまり、一般的な資産管理システム、セキュリティシステムのように「あれは駄目、これは使わないでください」という禁止を主体にした仕組みでは、ユーザのストレスを増幅していくだけのことになってしまう。

それどころか、ユーザはどのような便利なサービスがあるのかを、スマホの経験から知っているので、「急いでいるから」「便利だから」という理由で、隠れて便利なサービスを使ってしまうことも起きてくる。いくらシステム上のセキュリティを完璧にしても、運用上に大きなセキュリティホールが生まれることになり、そこから重大なインシデントが起きるリスクが生じる。

その意味で、キャスパースイートは、ユーザのITリテラシーが高くない、一般的な企業のほうがより効果が大きい。キャスパースイートの管理の考え方は、山野を自然公園として整備するような感覚で、ユーザがその中で自由に行動できるようにすることだからだ。たとえば、ユーザが業務上の必要があって、特殊なソフトを使いたいと考えたとする。従来のMDM的な発想では、ソフトのインストールは禁止し、必要なものは個別に検討するということになるだろう。システム担当者は、そのソフト使用によるリスクを検証し、許可を出し、さらにはインストール作業まで行わなければならない。システム担当者の作業も増えるし、なにより時間がかかり、ユーザの業務も滞ることになる。

一方で、キャスパースイートでは、あらかじめ検証済みのソフトを用意しておき、ユーザがセルフサービスでインストールできる環境が構築できる。もちろん、リスクの検証作業はどちらでも必要になるが、優先度の高いソフトから事前に検証作業をしておくことができるようになる。それが蓄積されていけば、ユーザが必要なときにインストール可能なソフトの一覧を見て、必要なものを自分でインストール（キャスパースイートでは、環境設定済みのソフトを配布できるので、ユーザはクリックするだけ）して、すぐに業務に活かすことが可能だ。それでいて、セキュリティリスクは生まれない。

ユーザにしてみたら、面倒なことは何も考えなくていい、メニューにあるソフトならどれを使ってもいいという状態が生まれ、なおかつそれでセキュリティは保たれているという理想的な状態を作れることになる。

システム担当者の能力が試される

ただし、藤巻氏によると、キャスパースイートの導入は簡単ではなかったという。開発元のJAMFソフトウェアでは、豊富すぎるサポート情報を発信し、サイト上にユーザコミュニティまであるので、情報が不足しているということはないが、そのほとんどが英語情報だ。また、従来のMDMや資産管理ソフトとは考え方がまったく違っているので、概念が理解しづらい部分もある。

「英語の文献が読める、ネイティブとコミュニケーションができるという能力がないと、導入に苦労することになるかもしれません」

株式会社Tooを始めとするキャスパースイートのリセラーは、まさにこの問題を解決する仕事をしていて、英語情報を日本語化する、導入のコンサルティングをする、さらにはキャスパースイートに詳しい日本人エンジニアが対応するなどのサービスを提供している。しかし、このようなサービスには当然ながらコストがかかる。

藤巻氏の感触では、キッティング作業の置き換えというだけでキャスパースイートを導入し、かつ有料コンサルティングを全面的に受けたとしたら、決して費用対効果が上がるとはいえないと語る。

ポイントは、キッティングから先のキャスパースイートの機能を使いこなすかどうかだ。藤巻氏の理想とする環境は「システム担当者が本来の業務に集中し、ユーザがセルフサービスで業務に必要な環境を整えられるようになる」ことだという。そこまで見据えてキャスパースイートを導入するのであれば、費用対効果は十分に納得できると考えている。

繰り返しになるが、キャスパースイートは、社員のITリテラシーが平均的な企業ほど、理想的なシステム環境を構築できる。しかし、一方で、導入を行うシステム担当者には、システムのデザイン能力、将来を見据えた立案能力、技術に対する知識が要求される。それをこの事例は教えてくれている。

 

 

 

 

【ファイルボルト】
アップルの暗号化ツール、ファイルボルト2に完全対応していることも、キャスパースイートを選んだ大きな理由になっている。ユーザに余計な手間をかけさせずに、「知らないうちに暗号化されている」状態が作れるからだ。

 

【一括変更】
システム管理には意外にも手作業でなければならない仕事がたくさん残されている。たとえば、コンピュータ名の変更。数百台を手作業で行うとなると、膨大な作業量になる。キャスパースイートでは、このような細かいところまで一括リモートで行える。

 

【イベントリ】
イベントリ（詳細なリポート機能）に関しては、現在のところあまり使っていないという。トラブルが発生したときに原因特定をするために使っている程度。しかし、今後、システム立案をするときには頻繁に使うことになるだろうという。

 

【VPP】
VPP（Volume Purchase Program)への対応も急がなければならないが、まだできていないという。導入は一段落したが、理想の環境構築へ向けて、やるべきことは山積みになっている。ようやく、建設的な仕事で“忙しい”と言えるようになった。