2012年のvProはクライアント管理の決め手になるのか?【前編】

最新のvProを知る


 vProは、Intelの企業向けクライアントPCのブランドだ。企業向けとはいっても、多くのPCメーカーがvProのロゴが入ったクライアントPCを販売しているし、UltrabookでもvProのロゴが入った製品が販売されているので、一般ユーザーでもvPro製品を目にする機会は多いのではないだろうか。

 しかしその一方で、実際にvProの機能を利用している、というケースはそれほど多くないのではないだろうか。そこで本稿では、vProの機能を紹介するとともに、企業においてどのようにvProを活用できるのかを、具体的なサードパーティの製品とともに紹介していく。

 1回目となる今回は、vProの機能をおさらいしよう。

 

5つのテクノロジーが含まれるvProの機能

Intel AMTはPCの運用管理、Intel ATは物理面でのセキュリティ、Intel ATはサイバー面でのセキュリティ対策を提供している

 vProは、ブランドとはいっても、ハードウェア要件が厳密に決まっている。vProを名乗るには、Intelが指定したプロセッサ、チップセット、LAN/Wireless LANチップ、TPチップなど組み合わせてPCとして構成する必要がある。

 またvProは、新しいプロセッサ/チップセットのリリースにより新しい世代にアップデートされていくので、世代ごとに新しい機能が入り、より複雑になってきた(後方互換性は維持している)。

 ここでは、最新世代となる2012年のvProの機能を紹介しよう。

 vProの機能は、大きく5つに分けられる。仮想化をハードウェアで支援するIntel VT(Virtualization Technology)、ソフトウェアを安全に起動するためのインフラとなるIntel TXT(Trusted Execution Technology)、運用管理、セキュリティ対策を強化するIntel AMT(Active Management Technology)、社外に持ち出したPCの安全性を高めるIntel AT(Anti-Theft Technology)、ハードウェアを使った強固な認証システムIntel IPT(Identity Protection Technology)が用意されている。

 ただし、Intelではこれらの機能をvProの特徴として紹介はしているが、実際にはvProのロゴがついていないPCでも動作する機能は多い。

 例えばIntel VT、Intel TXTは、第3世代のCore iプロセッサとチップセットの組み合わせならサポートされている。

 一方Intel AMTは、NICチップ内部に管理用のマイコンが搭載されていて、PCの電源がオフになっていても、NICの管理用マイコンにより電源のコントロールやハードウェア情報の取得ができるようになっている。逆にいえば、Intel AMTには、Intel製のNICチップ(有線/無線)が必ず必要になる。

 もう1つ、IntelはvProのさまざまな特徴を訴求しているが、これらの機能を実際に利用するためにはソフトウェアが必要になる。企業においてvProを導入する上では、ハードウェアコストだけでなく、vProを利用する上でのソフトウェアコストを計算に入れる必要がある(すでに導入している管理ソフトがvProをサポートしている場合もある。この場合は、それほどコストはかからないだろう)。


2006年に初めて提供されたvProは、プロセッサやチップセットのアップデートとともに機能が拡張されてきたvProは5つのテクノロジーで構成されている。これを実現するためには、プロセッサ、チップセット、NICチップなどがIntel製品で構成されている必要がある

 

リモート管理機能を提供するIntel AMT、リモートKVMにも対応

 さて、ここからは個々の機能を紹介していこう。

 vProでリモート管理機能を提供しているのが、Intel AMTだ。2012年世代のvProに搭載されているIntel AMTはバージョン8.0にまで機能アップされ、成熟された機能になっている。

 Intel AMTではPCの電源をオフにしていても、ネットワークが接続されていれば、管理用のコンピュータからリモートPCの電源をコントロールしたり、リモートPCのハードウェア情報(PCのメーカー名、CPU、メモリ容量、HDDなど)を取得したりできる。

 Intel AMTのハードウェア情報取得機能を利用すれば、PCの資産管理台帳を作成したり、チェックしたりすることが非常に簡単になる。もちろん、資産管理用の管理ソフトが必要になるが、IT管理者が会社の中を走り回ってクライアントPCを探し出して、チェックするということがなくなる。

 また、運用管理ソフトと組み合わせれば、就業時間後に電源が入っているクライアントPCを探し出して、自動的に電源をオフにすることも可能だ。


Intel AMTと運用管理アプリケーションを利用すれば、週末にクライアントPCの電源を自動的にオンにして、OSやアプリケーションのアップデートを行える。もちろん、アップデートが終了すればクライアントPCの電源をオフにもできる

 中でも注目すべきなのは、2009年のvPro(Intel AMT 5.0)から搭載されたKVM Remote Control機能だ。

 一般的にリモートKVMとは、PC/サーバーに接続されているキーボードやマウスをリモートから操作したり、画面を見たりできる機能を指す。つまり、これを使えば、離れた場所にあるPCやサーバーを簡単にコントロールできる。

 Intel AMT 5.0では、従来はKVMスイッチなどの専用ハードウェアが必要だったリモートKVM機能をvProに標準で搭載し、管理コンソールからリモートPCをLAN経由で起動したり、BIOSやOSのブート設定を変更したりすることを可能にした。ただし、Intel AMT 5.0のKVM Remote Controlはコンソール表示だけだったので、逆にいえば、BIOSの設定変更など限定された利用しかできなかった。

 続く2010年にリリースされたvPro(Intel AMT 6.0)では、グラフィック環境をサポートしたことで、Windows OS上でもリモートKVM機能が使用可能になった。AMT 6.0リリース2では1600×1200ドット、AMT 6.1では1920×1080ドット、AMT7では1920×1200ドットをサポートしている。

 リモートKVM機能を使えば、企業内のPCのドライバをユーザーが勝手にアップデートしたりBIOSの設定を変更したりしてWindows OSが動かなくなっても(ブルースクリーンなどが出てしまっても)、ソフトウェア的なトラブルなら解決することができる。ITヘルプデスクの担当者などが現場に行かなくてもトラブルを解消できるため、企業にとってはメリットが大きい。

 さらに、Intel AMT対応ソフトを使えば、管理用コンピュータの中にあるOSのイメージISOファイルをマウントしてリモートPCを再起動し、OSの再インストールも行える。OSが入ったDVDディスクなどをPCの光学ドライブに挿入しなくてもよいため、これもメリットが大きい。

 ただし、このように便利なIntel AMTだが、導入するには高いハードルがあった。Intel AMTを利用してクライアントを管理するソフトウェアとしては、MicrosoftのSystem Center、IBMのTivoliなどの大規模な管理システム、あるいは自社もしくはシステムインテグレータが開発した独自ソフトを利用している場合が多い。

 クライアントPC管理に多額のコストをかけられる大企業なら、このような管理ソフトを全面的に導入することが可能だろう。しかし、数十台~百数十台のクライアントPCを導入している中小企業にとっては、導入コストがかかりすぎる。また管理ソフト自体も本格的な製品が多く、専任のIT管理者が不在の企業でも簡単に利用できるような管理ソフトは少ない。

 Intelでもこのような問題点を認識しているため、Intel Small Business Advantageという小規模なユーザーに向けた管理ソフトをリリースしている。ただしこのソフトも、Intelが直接提供しているわけではなく、PCメーカーやマザーボードメーカー経由が製品にバンドルする形での提供となっているため、ソフトの存在自体を知らないIT管理者も多いだろう。

 また1つ注意が必要なのは、KVM Remote ControlではCore iプロセッサが内蔵しているグラフィック機能を標準としているため、外付けグラフィックを利用した場合は利用できない場合があるという点だ。


Intel AMTのKVM機能により、管理コンピュータからリモートでクライアントPCのBIOSやOSをメンテナンスすることができる。OSにトラブルが起こっても、リモートからKVMでアクセスして解決することが可能だIntel AMTのKVM機能を使えば、各地に支店や営業所のクライアントPCをセンターで一括管理できる

 

Intel ATとは

 ノートPCを社外に持ち出す時に大きな問題になるのが、紛失時にビジネス上重要なデータが流出してしまうことだろう。日本では、個人情報保護法の施行に伴い、重要情報や顧客リストなどの個人情報が流出すれば、多額の損害賠償の発生、会社の社会的信用が低下することなどを考えれば、企業が被る損害は甚大なことになってしまう。

 このような問題が起こらないようにするため、社員に対してノートPCの持ち出しを一切禁止してしまう企業が出てきているが、これではノートPCを導入しているビジネス上のメリットが失われてしまう。さらに、最近では、スマートフォン、タブレットなど、さまざまなデバイスが利用されているため、ノートPCの持ち出しだけを制限しても、情報漏えいという面では不十分だ。

 Intel ATは、ノートPCを起動できなくしたり(PCのロック)、暗号化されたHDDへのアクセスを無効化したりする機能を持っている。これらの機能を利用して、IT管理者がPCをロックする命令を出せば、紛失したノートPC自体が起動しなくなる。

 もちろん、紛失したノートPCが何らかの形でネットワークへ接続されていなければ命令は受領できないので、こうした命令を受け取るのは、たいていの場合、インターネットへ接続しようとして、LANやモバイル通信ネットワークへつないだ時になる。もしノートPCが見つかれば、データネットワークを使って、再アクティベート(再度起動できるようにする)できる。

 2010年に登場したIntel AT 2.0では、ノートPCを起動した直後に表示されるログインの時に、複数回エラーを起こしたら、自動的にPCを起動しないようにするといった機能が追加されている。

 また、2011年のIntel AT 3.0では、アウトオブバンド対応の「3G SMS ポイズンピル」という機能が追加されている。この機能は、あらかじめ紛失・盗難を想定して3GモジュールやPHSモジュールを内蔵しておいたノートPCに対してSMSメッセージを送信し、ノートPCを強制終了したり、HDDに格納されているデータを消去したりできるものだ。

 もちろん、Intel ATの機能を利用して、盗難防止や盗難時のPC起動停止などの機能を実現するためには、Intel AT対応のソフトウェアが必要になる。ただ、多くのメーカーでは、Intel ATが必須ということではない。Intel ATがなくてもある程度のセキュリティが実現できる。


持ち出しを前提としたノートPCの運用を考える上で、セキュリティは欠かせない要素だろう。Intel ATでは、こうした要件に対応したセキュリティ機能を提供する

 

Intel IPT

 企業内のネットワークにインターネットから接続するVPNを利用する場合、セキュリティを高めるため、1回限りしか利用できないワンタイムパスワードなどを利用することが多い。また、機密性の高い文書やメールを暗号化/復号したり、機密文書やメールに電子署名したりするためにも、セキュリティの高いワンタイムパスワードを利用することがあるだろう。

 ワンタイムパスワードの生成には、トークンIDを記録したハードウェアキーを必要とするので、多くの場合は、専用のUSBデバイスが利用されている。しかし、専用のデバイスを利用するのはコストもかかるし、利用する手順が面倒だ。そこで、ワンタイムパスワードの生成機能をプロセッサ側に組み込んでしまおうというモノがIntel PKIだ。

 Intel IPTは、PC のファームウェアに格納されている秘密鍵を使用することで、よりセキュアな方法でユーザー承認を行う。


Intel IPTは、ハードウェアレベルで高い認証機能を提供する

 

 このように、vProは、企業にとって積極的に利用すべき機能が満載だ。ただ、記事中でも触れたように、ハードウェア、つまりvProを搭載したPCがそろっていても、vProを利用したソフトウェアに関する情報はまだ少ないといえる。

 そこで後編は、vProの各機能を利用したソフトウェアを実際にテストしながら紹介していく。

関連情報