2012年のvProはクライアント管理の決め手になるのか?【後編】
vPro対応のソフトウェアを試す
前編では、2012年のvProについて説明してきたが、後編では対応しているソフトウェアを紹介する。
とはいっても、統合管理ツールではなく、単機能(あるいは少ない機能)でもvProの機能をうまく生かしているソフトウェアを選んでみた。vProはすべての機能を使おうとすると非常に大がかりなインテグレートが必要になるが、単機能であれば導入がしやすいからだ。
■Intel AMTを簡単にセットアップしてくれる「PIT-Configurator」
リモートでのPC管理やリモートKVM機能を備えたIntel AMT(Active Management Technology)は、使いこなせれば非常に便利な機能だ。
例えば、Intel AMTの電源コントロール機能を使えば、電源を切り忘れたPCをリモートで電源オフにすることができる。節電が必要になる昨今においては、非常に便利な機能だ。またリモートKVMであるKVM Remote Control機能を利用すると、BIOSの設定をリモートから変更したり、起動したWindows OSのメンテナンスをしたりすることができる。
ただIntel AMTを使う上で面倒なのはそのセットアップだ。IntelではIntel AMTのセットアップを行うために、Intel Setup and Configuration Software(Intel SCS)を提供している。ただ、このセットアップソフトは大規模システム向けに作られているため、手軽に利用するのに適したソフトとはいえない。
そのため、これを補完するソフトがさまざま提供するようになった。その1つが、NECキャピタルソリューションが提供しているPIT-Configuratorだ。このソフトを利用すれば、複雑な初期設定を簡単にしてくれるし、何よりもうれしいのは無償で提供されていることだ(なおPIT-Configuratorは、ベストラスト株式会社が開発した「AMT設定上手」のOEMである)。
ダウンロードしたPIT-ConfiguratorをUSBメモリに保存し、セットアップするvPro対応PCで起動すれば、設定する項目がウインドウに表示される。後は、必要な項目を入力してすればOKだ。設定したデータがUSBメモリに保存され、PCが再起動する時にIntel AMTのセットアップを行ってくれる。
 |  |
| Intelが提供しているIntel AMT用のコンフィグレーションツール。大規模システム向きのため、中小企業が簡単に利用するのは難しい | NECキャピタルソリューションが無償で提供している、Intel AMTのコンフィグレーションツール「PIT-Configurator」。このソフトはベストラストのOEM製品で、9月4日の時点では、ベストラストのWebサイトで最新バージョンが提供されている |
 |  |
| 今回は、最新バージョンとなっているベストラストのvProコンフィグレーションソフト「AMT設定上手」を利用。テストで使用したDellのvPro対応ノートPC「Latitude E6430」でIntel AMTのコンフィグレーションを行う場合は、有線LANを接続しておく必要があった | 設定ファイルは、USBメモリに保存される。ソフトに従って、USBメモリを挿したまま再起動すれば、自動的にIntel AMTのコンフィグレーションが終了する |
■WebブラウザとリモートアクセスソフトでAMTを使う
いったんIntel AMTのセットアップが完了してしまえば、WebブラウザからマニュアルでvPro対応PCの電源のオン/オフを行ったり、IPアドレスなど各種の情報を確認したりすることも可能だ。
また、リモートKVM機能をブラウザから使うことはできないが、例えばRealVNC Plus(99ドル)などのvPro対応のリモートアクセスソフトを利用すれば、これも利用可能になる。RealVNC Plusでは、電源のオン/オフ、リブート、ISOイメージのマウントもリモートから行うことができる。
 |  |  |
| vProは、ブラウザを使って電源コントロールや機器情報を確認することができる。vPro対応PCのIPアドレスやコンピュータ名とポート番号16992を指定すれば、ログイン画面が表示される。ここで、vProのIDとパスワードを入力すれば、アクセスできる | ブラウザからリモートのクライアントPCの電源をオン/オフすることができる。ここで、BIOSのセットアップを選択することもできる | Dell Latitude E6430は、vPro対応のWireless LANをサポートしている。vProで利用するためには、Wireless LANの設定をvPro側でも行っておく必要がある。この設定は、ブラウザから行うことができる |
 |  |  |
| VNC Viewer Plusを使えば、vProのリモートKVM機能が利用できる。RealVNC Plusは90日間試用版が用意されている | VNC Viewer Plusを起動して、接続するクライアントPCのIPアドレスを入れて、vProのIDとパスワードを入れれば、クライアントPCにアクセスできる | VNC Viewer Plusを使ってDellのノートPCへアクセス。Windows 7のデスクトップが表示されている |
■電源管理やリモートKVM機能をサポートする2つのソフト
 |
| Intel AMTのKVM機能を使って、リモートからクライアントPCを操作できる |
1台1台のPCを管理するだけなら、こうしたツールやWebブラウザだけでも問題ないだろうが、多数のPCがある企業ではこうはいかない。中小企業でも、数百台のPCを保有している企業は多いだけに、できれば、単機能でも集中管理をしたい、というニーズはあるだろう。
そこでNECキャピタルソリューションでは、PCの電源管理を行うPIT-PowerController for AMT、リモートKVM機能をサポートしたPIT-RemoteRescue for AMTといったツールもリリースしている。
省エネが課題となっている昨今においては、PCの節電も重要なポイントだが、PIT-PowerController for AMTを利用すれば、vPro対応PCに専用のソフトを導入しなくても、管理PCから、PCの電源をリモート管理できるようになる。さらに、スケジュールによる自動オン/オフも可能だ。
特に、PIT-PowerController for AMTは、病院での実例が多いのだという。病院には医師が利用する電子カルテ用のPC、受付などの業務端末、キオスク端末などさまざまなPCが存在するが、それらの電源を自動的にオンにできるので、終業時にPCの電源をオフにしていても、スムーズに毎朝の業務が始められる、というわけだ。もちろん、PCの電源を自動的にオフすることもできるが、終業時間は必ずしも一様でないため、運用上は、自動電源オフを使うケースはそれほど多くないという。
一方のPIT-RemoteRescue for AMTでは、vProのリモートKVM機能を利用することで、エージェントレスで同じネットワークに存在するPCを操作できるため、クライアントPCでトラブルが起こった時に、サポート部門がそのPCの場所まで行かなくとも対処することが可能になる。また、PIT-PowerController for AMTのように電源オン/オフのスケジューリングはできないが、個々のPCについて電源のオン/オフを行うことは可能だ。
なおNECキャピタルソリューションでは、このPIT-RemoteRescue for AMTの利用権を月額5万円で提供している。同社からPCをリース/購入していることが条件になるが、その台数が1台であっても利用制限台数に制限はない。「下手に販売して価格競争に巻き込まれるよりも、中堅・中小企業が管理機能としてうまく利用してくれればいい」という位置づけだそうで、今後は他社からもこうした動きが出てきそうだ。
 |  |  |
| リモートから電源のオン/オフもサポートした。なお課金は、クライアントPCの台数ではなく、PIT-RemoteRescue for AMTをインストールする管理用PCの数で行われる形式で、1台の管理用PCで管理できるクライアントPCは無制限 | PIT-RemoteRescue for AMTを利用すれば、本社の情報システム担当者が、地方の営業所に設置されているクライアントPCを管理できる。海外の支社のクライアントPCも日本から管理可能 | Dell E6430をリモートで起動して、OSをリモートで操作する。KVM機能で、クライアントPCのトラブルをIT管理者がリモートで解消できる |
 |  |  |
| PIT-RemoteRescue for AMTの操作画面。クライアントPCをグループ化して管理できる。クライアントPCは、DNSに登録されている必要がある。IPアドレスでの指定はできない | アクセスするクライアントPCを指定して、KVM機能を動かす。電源が入っていない場合は、PIT-RemoteRescue for AMTで電源のオン/オフが可能 | 今回Dellからお借りしたvPro対応のLattitude E6430は、プロセッサーにCore i5-3360M、メモリは4GB、HDD320GB、1366×768ドットの14型液晶を搭載した企業向けのノートPCだ |
■ディスクの暗号化とポイズンピルをサポートするvPro
一方、Intel AT(Anti-Theft Technology)を利用する例としては、WinMagicのSecureDocがある。
個人情報保護法が施行されてから、重要な個人データが入っていたノートPCを紛失する事例が相次いで報告されるようになったが、その結果、ノートPC自体を社外に持ち出せなくなった企業も多い。モバイルで仕事ができるかどうかはビジネスにおいて重要な要素であり、データの保護といった面からノートPCを社外に持ち出せないのは、ビジネス面で大きな武器を失うのに等しい。
そこで、厳しいセキュリティ対策を施した上で社外へPCを持ち出すことを許可する、といったポリシーを採用する企業も多くなった。SecureDocも、そうしたノートPCのセキュリティを強化するソフトの1つで、PCのHDDやUSBメモリ、CD/DVDメディア、SDカードなどを暗号化して、保護してくれる。PCのディスクについては起動ドライブごと暗号化でき、起動時にパスワードやICカードの認証、生体認証(指紋など)をクリアしないと、PC自体が利用できなくなる。もちろんディスクが暗号化されているので、ノートPCを盗まれたり紛失したりした場合でも、ディスク内の重要なデータが流出することはない。
SecureDocで利用されている暗号は強固なAES-256ビットであり、セキュリティレベルとしては非常に高くなっている。さらに第3世代のCore iプロセッサでは、AESの暗号化/復号化をハードウェアを使って行う命令が用意されているため、ディスク暗号化を使っていてもPCの性能はほとんど落ちない。
ここまではSecureDocの機能として実現されているものだが、Intel ATの機能を利用したPCロック機能により、さらに高いセキュリティが確保できるという。例えば、Intel ATとSecureDocの連携により、一定期間、管理サーバーに接続しないPCをロックできるし、管理サーバーからノートPCへ起動停止命令(ポイズンピル)を送ることも可能。またロックするだけでなく、暗号鍵などの情報を保存した領域を削除してしまうこともできる。このようにIntel ATを使えば、非常に高いセキュリティ性を持たせることが可能なのだ。
 |  |  |
| WinMagicのSecureDocは、ディスクの暗号化が主な機能。Intel ATを使った起動停止(ポイズンピル)などはプラスアルファの機能といえる | SecureDocとIntel ATを組み合わせれば、ノートPCをコマンド一つで起動しないようにできる。 | vPro対応PCの起動を停止させ後、PCに内蔵されているGPSと連携して、盗まれたPCがどこにあるのかを探し出だすサービスも提供されている |
またSymantecが発売しているPGP Whole Disk Encryptionは、2012年のvProプロセッサがサポートしている暗号化支援機能(AES-NI)を利用するため、暗号化/復号化が高速に行える。
ディスク全体を暗号化している場合、ディスクへのアクセスを行う都度に、データの暗号化/復号が必要になる。いわば、ディスクアクセスに暗号化/復号というレイヤが追加されることになるため、この処理をできるだけプロセッサに負荷をかけずに、高速に行うことが必要になる。AES-NIをサポートしていればハードウェアによって高速な処理が行えるため、PC自体のパフォーマンスはほとんど落ちない。
またPGP Whole Disk Encryptionでは、Intel AMTの機能を使ってリモートのISOイメージからのブートをサポートしている。
なおこの製品では以前、Intel ATのオプションを提供していたが、現在では提供が中止されている。Intel ATを使ったPCのロック機能はIT管理者にとっては大きなメリットがあるため、再度Intel ATを利用した機能をサポートすることを期待したいところだ。
■Symantecと連携するIntel IPT
Intel IPTを使ったサービスとしては、Symantecが買収したベリサインが提供しているSymantec Validation&ID Protection(VIP)がある。
VIPは、自動的に生成される1回限り有効な使い捨てのワンタイムパスワードと、従来のパスワードと組み合わせることにより、非常に強固な二要素認証を実現できる。2つのパスワードを使ってサイトにアクセスしたり、オンラインショッピングの決済などに利用したりすることで、インターネット上でも高いセキュリティが実現する。
通常、ワンタイムパスワードを生成するにはUSBメモリ型の専用トークンなどが利用されるが、Intel IPTが搭載されていれば、PCをワンタイムパスワード発行トークンとして利用することができる。また2012年のvProでは、公開鍵のPKI(Symantec Managed PKI)との連携もサポートしている。
なおIntel IPTには、IPT With Protected Transaction Displayという機能が用意されている。この機能は、IPTの秘密鍵をスクリーンキーボードで入力する場合、スクリーンショットやリモートディスプレイで画面が表示されないようするもの。この機能が有効になっている場合は、PCがマルウェアに感染してしまい、スクリーンショットやリモートディスプレイが画面が犯人が運用しているサーバーやPCに転送されても、リモートキーボード部分が黒く表示されるため、秘密鍵が漏えいしないようになっている。
 |  |
| Symantecが買収したVeriSignでは、Intel IPTを利用する認証サービスを提供している | 2012年のvProでは公開鍵のPKIに対応している。Symantec Managed PKIと連携することで強固な認証が実現する |
 |  |
| Symantec PKI Clientでは標準でIntel IPTをサポートしている | Intel IPTでは、スクリーンキーボードの表示を盗まれないようにIntel IPT With Protected Transaction Display機能がサポートされている |
ここまで、いくつかのvPro対応ソリューションを試してみたが、Intel AMTで提供されているリモートからの電源コントロール、リモートKVM機能などは、クライアント管理においては非常に便利だった。ただ、簡単に利用できるツールが少ないことが問題だ。Intelからもいくつか情報は出されているが、まだまだ一般的とはいえない。
Intel ATやIntel IPTなどに関しても、企業のセキュリティにとって非常に有用だと思う。しかし現状では、多くのユーザーが積極的にIntel ATやIntel IPTを利用しているわけではない。
これは、vProというブランドにあるのかもしれない。Intelとしては、付加価値としてvPro対応PCを販売していきたいのだろうが、もし、Intelプロセッサを使用しているPCのすべてで、vProが提供している全機能を利用できるようになれば、多くのソフトウェアがvProの機能を必須にしてくるだろう。
本当にIntelが、vProの機能を普及させていこうと思うなら、vProというブランドを作るのではなく、すべてのPCでvProの機能が使えるようにするべきではないだろうか。