QCDを基盤とするDeNAの端末管理メソッド

はじめに

はじめまして、IT本部IT戦略部エンプロイーエクスペリエンスグループの秋葉です。現在、社内で使用するPCやOSの運用・管理およびトラブル対応を担当しています。所属するグループには2つのチームがあり、それぞれ以下の役割を持っています。

ヘルプデスクチーム：社内からの各種問い合わせに対応するチーム
端末管理チーム　　：社内のPCやOS管理、運用、トラブルに対応するチーム

今回は、端末管理チームが行っている ”DeNAの端末管理” について紹介します。

前提

DeNAのIT本部ではミッションとして「QCDの鼎立（ていりつ）」を掲げており、IT戦略部では社内ITについて「高いクオリティ（Quality）」、「低コスト（Cost）」、「より早いデリバリーまたは適切なタイミング（Delivery）」を最適なバランスで提供すべく日々活動しています。本記事では、上述した環境を構築するために端末管理チームが日々行っている業務を、下記のセクションに分けてご紹介します。

標準機PCの選定
PCの調達/キッティング
OS/パッチ管理
各種ソフトウェアの監視

オフィスワークとテレワークを組み合わせた「ハイブリッドワーク」が導入されており、管理対象のPCは約5,000台、管理対象のOSはWindows OSもしくはmacOSが対象となっております。 PCやツールを利用する従業員を"ユーザー"と定義し、以降この用語を使用します。

標準機PCの選定

■業務の概要

PCは業務要件にあわせて複数のスペックから選択が可能です。これらのPCを、多くのユーザーに使用してもらう標準的なスペックを持ったPC＝標準機PC として定めております。現標準機PCの終売、値上げなど再選定不可避なイベントの発生、コストの見直しなどをトリガーに標準機PCを選定する業務です。

■どのような観点やルールに基づいて、その業務が遂行されているのか

必要スペックの決定
基本的には現行以上のスペックを基準とします。また、全社アンケートや窓口、問い合わせ対応から得たユーザーの声を反映します。

・ 重たくて持ち運びにくい場合は、軽量化を優先
・ ZoomやGoogle Meet中の作業が重たい場合は、CPUやメモリを増強
・ ディスク容量不足の声が多ければ、SSDの容量を拡張

メーカー、機種の選定
性能比較表を作成して候補を比較します。各メーカーには以下の様な内容で確認を行っています。

・ 標準機の再選定を実施していること
・ 必要スペック
・ 年度の調達予定台数
・ 終売の予定時期（無いことが望ましい）
・ 最低購入台数（無いことが望ましい）
・ 検証機のレンタル可否（借りられることが望ましい）
・ 発注からの納期（短いことが望ましい）
・ 予算の関係上、1台あたりの目標金額が事前にわかっている場合は明確に金額を伝えること

実機での検証
Web会議等の想定する業務を実施し、充電の持ちやベンチマークスコアを測定します。また、PCをキッティングした上で、実際に利用してもらい使用感をヒアリングします。

■QCDのどの部分に寄与しているか

Q：通常業務に耐えうるPCスペックの定期的な見直し
C：PC調達価格の定期的な見直し
D：発注からユーザーへ貸与渡るまでのリードタイム改善

PCの調達/キッティング

■業務の概要

上述した標準機の申請に加えて、個別で調達が必要になるPCはカスタム機申請として、2つの入口からユーザーより申請が上がります。申請からユーザーに貸与されるまでの日数を 5営業日 とする独自のSLAを設けており、それらのルールに則りPC調達（購入からキッティング済みのPCをユーザーのもとに届ける）を行います。セルフキッティング環境も整備しており、ユーザーにPCが届いた後は、ユーザーのみで最終的なキッティング（標準のアプリのインストールや設定）をして完了となります。

■どのような観点やルールに基づいて、その業務が遂行されているのか

調達
標準機だけで月あたり 90件 ほどの申請があります。標準機に関してはマスター機をリース会社に提供し、キッティングを行っていただくことで、あらかじめベースとなるキッティング（以下「ベースキッティング」とする）が完了したPCを社内の倉庫に確保しています。ベースキッティング済みのPCを確保することにより、申請から引渡までの日数を最短にしています。直近では、リース会社から直接ユーザーの自宅へPCを届ける 自宅直送 も軌道に乗っており、リース会社から取り寄せ→箱詰め→発送（月あたり約8時間） という工数を削減できています。平均SLAを見ても 3日以内で推移していることがわかります。また、ムダな在庫を発生させないように倉庫の棚卸は日次で実施し、申請の傾向を確認しながら機種ごとにリース会社へ発注することで効率的な在庫管理を実現しています。

平均SLAの集計画面
キッティング
PCの受取はオフィスまたは自宅から選べます。そのため、PCを受け取る場所に関係なくキッティングができる環境を整えています。Windows OSとmacOSについてそれぞれご紹介します。
Windowsはベースキッティングが実施されているため、ユーザーがPCを受け取った後は、開梱からVPN接続をするだけで、自動でプロファイルが作成されるネットワークサインイン機能を活用しています。ネットワークサインイン後はGoogleアカウントのログインや必要な初期設定を5分程度行うだけで利用可能です。

ネットワークサインイン機能

MacはApple Business ManagerとJamf Proの macOS Onboarding を活用し、IT戦略部の手を介さずにユーザー自身でキッティングできます。 Macへのログイン後、 Self Service が起動し、ログインすると自動的にmacOS Onboardingが実行され、必要なアプリケーションのインストールが始まります。視覚的にもわかりやすく、属人化していたMac管理からも脱却し、双方（IT/ユーザー）の工数削減につながっています。

macOS Onboardingが実行中の画面

macOS Onboardingが完了した画面

■QCDのどの部分に寄与しているか

Q：ユーザーの手元に届いてから少ない手数でPCの利用が開始できる
C：キッティングを自動化していくことでITサポート工数の削減
D：短納期でユーザーのもとに届ける

OS/パッチ管理

■業務の概要

Windows OSとmacOSが混在しているため、Jamf ProとLANSCOPE エンドポイントマネージャーの2つのMDM製品を活用し、PCやモバイルデバイスのOSおよびパッチ管理をしています。エンジニアが多数在籍し、アプリの動作テストにも使われるため、新OSは可能な限り早めに検証を完了させ社内解禁する必要があります。 DeNAとしてサポートするOSの世代を設定し、パッチ配布や公開されているEOLに基づくOSアップデートの依頼ではなく、DeNA独自のスケジュールに基づいて進めます。脆弱な環境を作らないようにすることを目的としています。

■どのような観点やルールに基づいて、その業務が遂行されているのか

OS管理（macOS）

Beta版での動作検証
ここではmacOSを例に上げます。新OSが発表された後に、Jamf Proの構成プロファイルを使用してメジャーソフトウェア・アップデートを延期する設定を配布します。この設定を配布することで社員のMacは新OS公開後も自動ダウンロードされなくなります。 Jamf Pro管理下の端末に制限が実施されたところで社内での検証を進めていきます。基本的にmacOSは以下スケジュールに沿って公開されるのが通例のため、まずはApple Beta Software ProgramよりDeveloper Betaを検証メンバーのPCにインストールします。

macOSのリリーススケジュール

インストール後は、以下のような検証シナリオを実施しています。

  ・キッティングが可能か
  ・標準ソフトウェアが動作するか
  ・社内のWi-Fiに接続できるか
  ・Jamf Proでの制御が可能か

並行して、アプリ側のサポート状況も確認します。正式リリースまでにDeveloperBeta版、PublicBeta版、ReleaseCandidate版ごとに検証をします。

動作検証を踏まえたリリース日の決定
上述した既存動作に加えて、リリースノートから新OSより実装される新機能を確認しDeNAとして利用に問題がある機能を確認します。例として、2024年9月にリリースされたmacOS Sequoiaに関してはApple InteligenceやiPhoneミラーリング、プライベートWi-Fiアドレス、ローカルネットワーク等の機能が議論すべき内容に該当しました。セキュリティ部門や法務部門も巻き込み、それぞれの機能に対して DeNAとしての利用可否＋リリース予定日 を確定させて社内向けのwikiに記載します。

議論を行ったmacOS Sequoiaの新機能
社内リリース
MDMで制御していた延期設定を解除することで作業自体は完了です。解禁後は自動的にOSがダウンロードされてしまうので、リリース直後のOSは不具合を含んでおり、PCを初期化する可能性がある前提のもと利用を許可しています。 macOS SequoiaではプライベートWi-Fiアドレスの制御方法を検討するのに時間を要し、当初2週間ほどでリリースする予定だったものを2ヶ月ほど延期しました。 1世代前のmacOS Sonomaに関しては、DeNAとして初の試みである ゼロデイリリース＝正式版リリース後に即時社内解禁すること を実施したこともあります。社内からのリアクションが良かった反面、やはりリリース後の不具合が多く、問い合わせ対応に時間を要しました。その結果からmacOS Sequoiaは入念な検証を実施し、解禁から2ヶ月経過しておりますが、検証不足による問い合わせ件数は0件で推移できております。
サポート対象外OSの撲滅
管理工数の削減やセキュリティ面の観点からDeNAとしてサポートするOSを決定して運用しています。 macOSの場合、最新から2世代前までをサポート対象OSとして定義しています。そのため、2025年1月現在ですと、最新のmacOS SequoiaからmacOS Venturaまでがサポート対象です。これらに該当しないPC所有者には個別で連絡しアップデートを実施してもらっています。 Self Serviceにサポート対象OSを公開しておき、対象者はそこからアップデートを実施します。検証端末等の特別な理由を除き、対象端末が0台になるまで追い込みをかけていきます。

Self Serviceからサポート対象OSをダウンロードできる画面

パッチ管理（Windows OS）

パッチの検証と承認
ここではWindows OSを例に上げます。 Windows OSのパッチ管理にはWSUS（Windows Server Update Services）を使用しています。OU(Organizational Unit)の構成としては、ざっくりIT戦略部のオブジェクトのみが所属するOUとそれ以外のOUとして構成しており、IT戦略部のオブジェクトのみが所属するOUには自動承認の設定を追加しています。そのため、毎月第2火曜日（日本時間の場合第2水曜日または第3水曜日）にパッチが公開されるとWSUS上で自動承認され当日中の適用が義務付けられています。承認から1週間後の水曜日を目安として社内外の情報を鑑みながら社内に展開するかを決定します。 DeNAにとって影響のある不具合がない場合は承認作業を実施して終了です。

OUの構成
承認後の運用
展開後はWindows Updateが適用されていない方への連絡やトラブルシューティングを実施します。

Windows Updateが適用されていない方に届くメール

■QCDのどの部分に寄与しているか

Q：不具合や仕様変更への影響を最小限にする
C：世代を決めてOSのサポートすることでITサポートコストの削減
D：OSリリースから最短で社内解禁する

各種ソフトウェアの監視

■業務の概要

PCにインストールされているセキュリティソフトおよび端末管理ソフト（以下「各種ソフトウェア」とする）の動作ログが直近30日以降（30日より古い）のユーザーにはPCの起動を依頼し、且つ各種ソフトウェアの通信ログを最新化する業務を行っています。また、これらの業務を自動化することを目標に進めています。

■どのような観点やルールに基づいて、その業務が遂行されているのか

環境情報
まず、監視をするにあたってどのような構成になっているのかをご説明します。画像左側（①）のようにユーザーはPCを起動し、インターネットに接続することで各種ソフトウェア群との通信が行われます。そして、その通信ログはServiceNowの通信ログ欄に連携されます。（②と赤枠部分）

ログ連携の簡易フロー図（現在）
対象端末の特定
IT戦略部はServiceNowの情報を抽出して対象端末を特定します。（上記画像③）力技ですが、こちらはGAS等を使用して機械的に抽出します。人事情報なども組み合わせ、部門や利用者の分析をしつつ、対象者へログを最新化するための手順を添えて連絡します。（上記画像④）分析の結果、過去にも連絡済みの端末や、返信のないユーザーが存在するため、上長を巻き込んだり各部門のIT担当者と協力して再発防止や（使用されていないPCであれば）PC返却依頼を行っていきます。これらを行うことで、貸与PCの所在確認＝棚卸、貸与PCの継続利用確認＝未使用PCの返却に伴う資産コストの最適化+在庫PCの枯渇防止、貸与PCの正常化＝安心安全なIT環境作り の3つが同時に行われます。
ServiceNowでの自動化
これらの作業はIT戦略部の工数をかなり必要とします。そのため、現在はServiceNowのWorkflow Studioを使用して自動的に連絡がされる仕組みを検証中です。

ServiceNowのWorkflow Studioで実装しているロジックの一部

ログ連携の簡易フロー図（目標）