新時代のPC管理法「Intel vPro」なら遠隔PC起動からBIOS改竄防止まで可能

ウィズコロナ時代、ビジネスPCに求められる要件は変わりつつある

　以前のように企業のPCがすべてファイヤーウォールの中にあった時代なら、社員が帰った後のオフィスで、彼らのマシンを個別に設定することも可能だっただろう。しかし、いまやビジネスPCはファイヤーウォールのなかにあるとは限らない。

　COVID-19の感染拡大などにより、多くの企業でリモートワークの導入が進んだ結果、多くのPCが社員の自宅で使われ、時には持ち出されコワーキングスペースやカフェなどでも使われるようになった。その一方で、サイバー攻撃はますます高度に、そして凶悪になっている。個人情報やソースコードといった重要な資料が奪われ、甚大な被害をもたらしたというニュースはもはや珍しいものではない。会社にないPCをどのように管理するか? IT管理者にとっては頭が痛い問題だろう。

　近年登場しているマルウェアのなかには、PCのBIOS(UEFI)を書き換え、OSが起動するよりも前に悪意のあるコードを送り込むものまで登場している。こうしたマルウェアは、OSが起動した後にロードされる従来型のアンチウイルスソフトなどでは防ぐ事ができない。インターネット上とはまた違うレベルでも新しいセキュリティ対策が求められているのだ。

　こういったビジネスPCを巡る新しいニーズに応えるために提供されているのが、Intelが提供する「Intel vPro プラットフォーム」(以下vPro)だ。vProはIntelが提供するプラットフォームのブランド名で、vProブランドが付けられているPCは、ハードウェアを利用した高度なセキュリティや、PCのリモート管理性などをもたらす。

　本稿は企業でIT機器の管理に携わるさまざまな層を対象として、vProの特徴的な機能を解説していく。中小企業において「正式なIT管理部門ではないけれど、PCに詳しいから購入や管理もまかされている」といった方まで含めて参考にしていただきたい。

Intel vPro プラットフォームの構成図。Intel vProプロセッサを中心とし、プラットフォーム全体でビジネス向けの機能や付加価値を提供している

OSが起動していなくてもPC管理可能な「AMT」

vProに対応したPCであるLenovo「ThinkPad X1 Yoga Gen 3」のUEFI BIOSのセットアップ画面、AMT機能が実装されていると、このようにBIOSセットアップから制御できる

　vProの機能は幅広いのだが、もっともよく有名で、よく利用されるのがリモート管理機能だ。リモート管理機能は、IntelのCPUやチップセットに内蔵されているハードウェアを利用した「Intel Active Management Technology(AMT)」と呼ばれる技術により実現されている。

　AMTはチップセットに内蔵されている「ME(Management Engine)」というハードウェアを利用して、PCの管理をリモートから行なうことなどを可能にする(ノートPC用のCPUの場合、PCHはCPUパッケージ内に統合されている)。

　通常、リモート環境からPCを管理するときは、OS上にインストールされたリモート管理ツールを利用する。だが、デスクトップPCにせよ、ノートPCにせよ、つねにOSが起動しているとは限らない。多くの場合、業務が終わればデスクトップPCならシャットダウンするだろうし、ノートPCであればディスプレイを閉じてサスペンドさせているだろう。

　この場合、OSは動作していないので、OS上で動くリモート管理ツールを遠隔地から呼び出して操作することはできなくなってしまい、リモート管理など「絵にかいた餅」にすぎなくなってしまう。

　一方MEは、システムボードから常時わずかな電力を供給され、OSから独立して動作できるようになっている。このため、OSがシャットダウンしていようが、サスペンドしていようが、どんなモードにあっても動作し続けられる。

　かつ、OSとは独立してWi-FiやEthernetなどのネットワークに対してもアクセス可能になっており、外部からのリモート起動するためのパケットを受け取れる。さらに標準でKVM(Keyboard Video Mouse)をリモートコントロールする機能を持っており、OSが起動していない状態でも、リモートから操作してUEFIの設定すら変更可能になっている。

　このため、遠隔地からMEに対してOSを起動せよという指令を出したり、UEFI(いわゆるBIOS)を起動して起動の優先順位を内蔵ストレージからUSBストレージに切り替えて、USBのリカバリディスクから起動して遠隔地からリカバリするといった、従来のOSの上で動くリモート管理ソフトではできないような管理が可能となるのだ。

　Intelは、vPro用の遠隔管理ツールとしてIntel EMA(Endpoint Management Assistant)を無償で提供している。これを利用すると、組織内のネットワークにつながっているvPro対応PCだけでなく、ファイヤーウォールの外にあるvPro対応PCもクラウド(Amazon Web Servicesなど)経由で管理することが可能になる。これにより、少ない労力で、効率よくPCを管理することが可能になるのだ。

EMAの概要

EMAを使うと、クラウドを経由することで在宅勤務のPCなどの管理が可能に

OS起動前からセキュアブートを実現するHardware Shield

Intel Hardware Shieldの概要

　vProには、そうしたリモート管理の機能だけでなく、ハードウェアを使ったセキュリティ機能も用意されている。それがIntel Hardware Shieldだ。Hardware Shieldは一言で言ってしまえば、Intel CPUやGPUといったハードウェアを利用して、より効率よくサイバー攻撃からPCを守る仕組みになる。ひじょうに多くの機能が用意されているが、大きくいうと次の3種類の機能がある。

1. ハードウェアを利用した脅威検知
2. 仮想化技術を利用したアプリケーション/データ保護
3. OS起動以前のセキュリティの強化

　Hardware ShieldにはIntel Threat Detection Technologyと呼ばれる機能が用意されている。これにより、セキュリティソフトが脅威を検出するのをIntel CPUの拡張命令を使って、より効率よく実行させることができる。

　さらに、Accelerated Memory Scanning(AMS)という拡張機能を利用すると、それらの処理をGPUにオフロードできる。これにより、セキュリティソフトが脅威検出のスキャンを行なっている間CPU負荷が上がってしまい、エンドユーザーが「PCが重い」と感じることを防ぐ事ができる。

　Intel CPUには、Virtulization Technology(VT)と呼ばれる仮想化アクセラレーション機能も用意されている。VTにはVT-xというCPUアクセラレーションと、VT-dと呼ばれるI/Oアクセラレーション機能の2つがある。また、Thunderbolt 3/4のセキュリティを強化する「Kernel DMA Protection」などの機能も実装されており、Windows 10に用意されている仮想化技術/ハイパーバイザーを利用した、より高度なセキュリティ機能を活用することができるようになっている。

　そしてしてもっとも重要な機能が、OSが起動する前の脅威に対応するIntel Boot Guardだ。Windows 10では、セキュアブートという仕組みが導入されており、UEFIの起動、OSのブートローダー、カーネル、と順番にロードされるソフトウェアが安全なことを逐次確認、担保している。だが、前述した新手の攻撃により大元のUEFIが書き換えられた場合は、正常に機能しなくなる。

　Intel Boot Guardが搭載されたvPro PCでは、起動時にCPUのハードウェアを利用しUEFIなどが改竄されていないかをチェックし、安全性が確認された場合にのみOSの起動を開始する。これにより、改竄されたUEFI BIOSが、悪意のあるコードをOSカーネルに送り込んだりといった攻撃を防ぐことが可能になるのだ。

　また、Intel Runtime BIOS Resilience、Intel System Resources DefenseはSMM(System Management Mode)と呼ばれる、CPUが電源管理などに利用する環境の保護を実現する。SMMはOSからは見えないメモリ空間を利用しているので、そこを乗っ取ることができれば、ユーザーには悟られずにさまざまな攻撃が可能になる。そこでこの2つの機能は、そうしたSMMを保護する仕組みになっており、SMMが乗っ取られる可能性を低くすることが可能になっている。

　このように、Intel Hardware Shieldにあはじつに多岐にわたっているセキュリティの機能が用意されており、これらを活用することでWindows 10ベースのPCのセキュリティを大きく向上させることが可能なのだ。

vProの高い管理性と安全性に、優れた使い勝手加えたEvo vPro

高い管理性と安全性を実現するvPro、優れたノートPCの使い勝手を実現するEvoが組み合わさった「Evo vPro」

　このように、リモートワーク/テレワーク時代の新しい必須機能といってもいいリモート管理機能を拡張するIntel AMT、さらにはハードウェアを利用してより強固で使い勝手の良いセキュリティを実現するIntel Hardware Shieldなど、vProには、高いレベルのセキュリティや、新しい働き方に敏感なエンドユーザーにとっても、少しでも管理コストを減らしてTCOを削減したいと考えているIT管理者にとっても有益な機能が用意されている。

　だが、「結局どのPCを買えばいいのかわからない」という人もいるだろう。購入の際は、vProが有効と記載があることと、製品にvProのシールが貼ってあることを確認する必要があるが、vPro対応製品は、買って箱から出した瞬間から安心して使えるので、とくに専任IT担当者がいない中小企業ユーザーにうってつけだ。

　なお、CPU単体でのリテールパッケージでは、vProのマークがあっても、vPro機能がすべて使えるわけではないので、その点は注意されたい。

　また、Intelは「Intel Evo プラットフォーム」というブランドを先日導入した。これは高性能、長時間バッテリ駆動、Wi-Fi 6対応などのユーザーがノートPCを快適に使える要件を満たしたPCに与えられるブランドだ。

Intel Evo vPro プラットフォームの要件

　そして、vProに準拠し、かつEvoの要件を満たしているPCでは「Intel Evo vPro プラットフォーム」と、ダブルブランド表記になる。Evoが最高の使い勝手を実現するなら、vProは最高の管理性とセキュリティを実現する目印になる。

　ひとたびサイバー攻撃の被害に遭うと、業務が止まったり、データ漏洩で信用を失ったりと、企業は甚大な被害を被る。vPro対応PCなら、そういった被害を未然に防げる。また、Evo Pro PCであれば、その快適な性能から、ユーザーの生産性も向上する。いずれの場合も、企業の大小を問わず、高い投資効果を得られることとなる。ビジネスPCの新規購入や入れ替えのさいは、これらの目印に注目して製品を選ぶといいだろう。