LANSCOPEをオンプレ版からクラウド版に移行してみよう

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

証跡管理を実施している企業さんも多いと思いますが、弊社もMOTEXさんの製品の「LANSCOPE Endpoint Manager」を利用しております。
LanScope Cat時代から利用しているので、かなり長く利用している企業の一つと思われます。
※MOTEXさんのプロダクト・サービスのすべての名称が2022年10月より「LANSCOPE」へ統一されております。

弊社の利用場面としては主に以下が該当します。
・管理端末の証跡管理
・管理端末のデバイス制御
・その他

新型コロナウイルス感染症の影響により、弊社もオフィスへの出社対応を取りやめ、テレワーク主体の業務に移行しておりましたが、現状は出社とテレワークのハイブリッドで業務にあたっております。

テレワーク主体となった時期はLANSCOPEの様な証跡管理はそのまま継続利用して、弊社情シスではより強固なセキュリティ対策を取るべく、土台の仕組みから見直しを行ってまいりました。これがOktaによるID管理であったり、PPAP対策のBox利用だったり、それ以外でもデーターセンターに設置している仕組みのクラウド化であったりと様々です。

前置きはこの辺にして本題

さて、今まで利用していたLANSCOPEですがオンプレミス版となります。
オンプレミス版はその名の通り、サーバーを立てて中にLANSCOPEをインストールして利用するもので、クライアント端末からはオフィスや自宅からVPN通信を利用して管理サーバーとやり取りを行います。

そこで問題になっていたのはテレワークを行っている方の証跡ログがクライアントVPNを利用した際しか管理サーバーに送信されない点です。もちろん管理サーバーに通信がされない状態の場合はクライアントPCに証跡ログが蓄積され、通信が正常に行われた際に管理サーバーへ送信されます。

端末利用者は意識せずに業務にあたっているのですが、証跡ログを管理する管理者(情シス)はそうでもありません。
なぜなら見たい証跡ログが管理サーバーへ送信されないとそもそものログ確認が取れないからです。
また、管理者(情シス)が新たにポリシーを変更したとしても、前述の様にクライアントVPNの接続がされない状態ですと、該当するPCにポリシーが行き届かない状態となります。

『でもまぁ、機密に関わる業務はVPN張らないと出来ないから大丈夫でしょ』と安易に考えてた時期もありましたが、見えないコストをあまり考えてませんでした。

「見えないコスト」とは、管理サーバーのバージョンアップなどに関わる工数となります。
オンプレミス版である限り、管理サーバーは管理者(情シス)で行う必要があります。幸いLANSCOPEオンプレミス版のバージョンアップは初期に比べ近年はバージョンアップが簡単に行える状態になっています。
問題はクライアントPCにて動作しているエージェントのバージョンアップです。

管理サーバーからクライアントへバージョンアップの指示を出しても、クライアント側がVPNを繋げてくれないとエージェントはバージョンアップされず、その内リトライ回数上限を過ぎてしまうことも。
クライアント全台対応し終える状態にするには、各利用者へ何度もリマインド告知し、その都度バージョンアップ指示を出し続けるという面倒な作業。全台完了するのに1か月とかそれ以上掛かるとかバージョンアップの度にその繰り返しとなります。

もう面倒作業から離れたい

ということで、面倒な作業から離れるために、真っ先に浮かんだのはLANSCOPE自体のクラウド化です。以前までのLANSCOPEクラウド版はスマホなどモバイルデバイス管理に特化しておりましたが、近年からWindows端末の他にMac端末も対応するするようになったので、そのままLANSCOPEを利用し続けることにしました。

製品機能もそうですが、オンプレミス版のポリシーなどもクラウド版に移行できるのが便利です。

どうせならMac端末もLANSCOPEにするか！？

弊社には数は少ないのですが、Mac端末利用者がいます。こちらの証跡管理は「MaLionCloud」を利用してます。
どうせならMacもLANSCOPEで証跡管理をしようと検証してみましたが、ここで問題が発生しました。

弊社の管理端末にはすでにMicrosoft IntuneがMDM(モバイルデバイス管理)として動作してます。Mac端末は複数のMDMを登録できないので、すでに他MDMを利用している状態では、Mac端末にLANSCOPEはインストールできません。
※おそらくJamfとか利用している企業も同様と思われます。