トピック
過去17年間にわたり、そして今後も提供されるという事実こそが、インテルvProテクノロジーの強み
~企業の情シス担当は、何を基準にクライアントPCを選べばいいのか?
- 提供:
- インテル株式会社
2023年3月16日 06:30
2006年にインテルは、開発コードネーム「Averill」で知られていたビジネス向けプラットフォームとなる「インテルvProプラットフォーム」を提供開始した。そこから約17年にわたり、大企業や中小企業などあらゆるサイズの企業における管理性や生産性を向上させることをプラットフォームレベルで後援してきた。
インテルvProプラットフォームは、管理機能、サイバー攻撃の拡大に対処するハードウェアセキュリティ機能となる「Intel Hardware Shield」などから構成されており、いずれも企業の情シスの仕事を助けるものだ。
企業のシステム担当者が導入するPCを選び基準はいろいろあると思うが、その大きなものの1つとなるのが、インテルが、2006年以降、継続してインテルvProプラットフォーム提供してきており、今後の製品でもサポートされることが約束されているというものだ。
インテルvProプラットフォームは情シス担当者を楽にして幸せにするためにある
インテルのPC向けブランドと言えば、「インテルCoreプロセッサー」が最も知られているだろう。CoreはインテルCPUのブランド名。その第13世代が2022年9月にデスクトップゲーミングPC向けに発表され、この1月にはノートPC向けやメインストリームのデスクトップPC向けのモデルが追加発表された。
対してインテルvProプラットフォームは、PCの管理機能や、より高度なハードウェアセキュリティの機能を付加した企業ユーザー向けのプラットフォームのブランドだ。PCをしっかり管理して使いたい、そしてマルウェアのような悪意のあるソフトウェアからの攻撃を未然に防ぎ、より安全、安心にPCを使いたいと考える企業にとっては必須と言っていい機能を提供しているのがインテルvProプラットフォームになる。
インテル株式会社マーケティング本部長の上野晶子氏は、2月21日に都内同社オフィスで開催したコマーシャルPC向けのソリューション紹介イベントで「インテルは、地球上のあらゆる人の生活を豊かにする世界を変革するテクノロジーを創造することを企業パーパスに掲げている。実際、インテルvProプラットフォームは、企業の情シス担当者が抱えている課題を解決し、情報システム担当者、ひいてはPCを利用するユーザーを含めた企業全体を幸福にできるものだ」と語る。
2020年に発生したコロナ禍により、多くの企業の情報システム部に大きな負荷がかかったことだろう。これまで多くの企業で使われていなかったMeet、Teams、Zoomといった電話会議のアプリケーションが当たり前に使われるようになったことで、そうしたアプリが使えるPC環境を整えるということだけでも大仕事だった。
そして、従業員のリモートワークが当たり前になって、従来はファイアウォールの内側にあったPCを管理すればよかったのが、ファイアウォール(企業オフィス)の外側に持ち出されるのが当たり前になったPCの管理もしなければいけなくなった。
上野氏によると「インテルvProテクノロジーの各種機能は、インテル社内のITが楽をするため、自らほしい機能を実装してできあがったという歴史的な経緯がある」という。
つまり、全世界で10万人を超える巨大企業であるインテルの、情シス部門が必要としている機能を具現化したのがインテルvProテクノロジーであり、それがプラットフォームとしてユーザーにも提供されているのだ。
インテルAMTを利用したリモート管理機能が超便利! EMAでファイアウォールを超えていけ
インテルvProテクノロジーには大きく2種類の機能がある。1つは管理機能であり、もう1つがハードウェアセキュリティ機能だ。
管理機能は、インテル Active Management Technology(AMT)という名称で提供されている。簡単に説明すると、インテルSoC/チップセットに内蔵されているCSME(Converged Security and Management Engine)というマイクロコントローラを利用することで、PC管理作業を容易にするものだ。
社内PCの数が1桁台であれば、管理者が直接当該PCのところに行って管理者権限でログインし、制御するというのも問題ないだろう。しかし、台数が数十台、数百台、そして数千台になってくると、そうはいかない。また、リモートワークが当たり前になったことで、管理したいPCが社内にはないことも当たり前になっている。
そうした中で、従来のソフトウェアベースの管理ツールだけでは管理が完結しにくい。
今回のインテルのイベントで、「リモートワーク導入企業 情シス・IT担当者への問い合わせTOP3」の中で第1位に挙げられていたのが、BitLockerの回復キーの入力だ。Windowsのストレージ暗号化機能である「BitLocker」では、何らかの問題が起きた時、OSの起動前に回復キーを入れる必要がある。
しかし、BitLockerの回復画面はOSが起動する以前の状態で、Windowsが提供する標準のリモートアクセス機能では制御できない。このため、回復キーの入力はユーザー自身に入力してもらうしかないのだが、その桁数は非常に多く、エンドユーザーが入力に失敗して起動しないというハメになる。
それを解決してくれるのがAMTとCSMEだ。CSMEは、CPUやメインメモリとは別空間で独自の機能として動作している。また、PCの電源が切れている状態であっても微弱な電力で動作し、有線LANやWi-Fiコントローラを常時監視している。
リモートから管理指示が飛んでくると、CPUやメモリなど主要機能の電源を入れ、その画面をリモート転送する機能を持っている。それにより、リモートからでもUEFI BIOSセットアップを操作したり、OS起動前であるBitLockerのキー入力も行なうことができるのだ。これだけでも大きな管理労力の省力化が可能になる。
インテルは、こうしたリモート管理のツールとして、ローカルネットワークに接続しているPCを管理する「Intel Manageability Commander」と、ファイアウォールを超えてリモートにあるPCを管理する「Intel EMA(Endpoint Management Assistant、エマ)」という2つを無償で提供している。これらによって、ソフトウェアの管理ツールだけでは実現できない「情報システム部担当者の幸せを実現する」というわけだ。
なお、第12世代Coreプロセッサーから、インテルvProプラットフォームは大企業向けのインテルvPro Enterpriseと中小企業向けのインテルvPro Essentialsの2つに分かれた。
その違いを簡単に言えば、インテルvPro EnterpriseがAMTを搭載し、全管理機能を利用できるのに対して、インテルvPro EssentialsではISM(インテルStandard Manageability)が搭載され、中小企業には必要ない機能が省略されている。ただ、後者でも基本的な機能はサポートされている。
Intel Hardware Shieldを盾に、侵入をはねのける
インテルvProテクノロジーのもう1つの重要な機能が、ハードウェアセキュリティだ。サイバー脅威は日々高まっており、企業や公共団体などが攻撃を受けて業務停止したというニュースを目にすることも多い。
結局の所セキュリティというのは「イタチごっこ」で、防御側がマルウェア対策ツールを導入すれば、攻撃側はそれをすりぬける手段を見つける。そうした繰り返しがサイバーセキュリティの歴史と言ってもいい。
防御側としては攻撃側が持っていない何かを持つことが重要になる。現在のセキュリティ対策として、決定的な武器になると考えられているのがハードウェアセキュリティだ。侵入者はネットワーク経由でソフトウェアを利用して侵入しようとしてくる。それに対して、ローカルのハードウェア資源を利用して暗号化するなど、侵入を難しくしたりすることで、ソフトウェアの侵入に対して防御力を高められるからだ。
現在、PC業界全体でそうした取り組みが進められており、Windows 11には、インテルがVTとして提供している仮想化技術を、OSのコア部分を守る機能として利用する仕組み(VBSやHVCIなど)が実装されている。
インテルは、ハードウェアセキュリティ機能をインテルvProテクノロジーの一部として「Intel Hardware Shield」の名称で提供している。
Intel Hardware Shieldにはさまざまな機能があり、ここでは紹介しきれないが、たとえば「Intel BIOS Guard」や「Intel Boot Guard」は、PCのファームウェアを起動時に検証することでUEFI改ざんを防止する。Windows(ソフトウェア)だけでは実現が困難な機能であり、これにより改ざんされたUEFI経由でOSにマルウェアが侵入することを防ぐ。
また、「Intel Total Memory Encryption」では、メモリの内容を暗号化し、コールドブート攻撃と呼ばれる、PCの電源を切った直後にメモリモジュールを抜いてデータを読み取るという物理攻撃からもシステムを保護する。
これらはインテルvProテクノロジーのセキュリティ機能のほんの一部だが、何はなくともサイバー脅威に対応できるノートが欲しいという企業側は「インテルvProプラットフォーム」のロゴを目印に選ぶだけでいいのだ。
今後も注目製品がめじろ押し
こうしたインテルvProプラットフォームだが、冒頭にも述べた通り、最初の製品が投入された2006年から17年が経過し、それまでインテルが投入してきたCPUの各世代で提供され続けている。安定して後継環境も手に入れることができるのもインテルvProプラットフォームの重要なポイントと言える。
システムのこの安定供給は企業ユーザーにとっては大変重要な要素で、技術を見込んで導入したのに、数世代したら廃止されて使えなくなりましたでは、導入するメリットが薄れてしまうからだ。
プラットフォームの安定供給という意味では、インテルvProプラットフォームの特徴の1つであるSIPP(Stable IT Platform Program)にも注目したい。SIPPにより、ドライバのアップデート後12カ月は、同じバージョンのドライバを使い続けられるのだ。たとえば、同じPCでも、導入した時期によって、CPUやチップセットのリビジョンが違うことがある。
そういう場合でも、12カ月間は同じドライバが利用できることが保証されるため、OSのイメージを作成して配布しているような企業の管理/サポートコストを削減可能になる。そして、こうしたインテルvProプラットフォームの「安定」という特徴は今後も継続される。
また、2023年後半には、次世代製品となる開発コードネーム「Meteor Lake」の投入が計画されている。Meteor Lakeではインテルの最先端のパッケージング技術となるFoverosが導入され、複数のチップが3D方向にも集積され、1つのチップを構成する。これにより、性能がさらに引き上げられる見通しだ。さらにその先の2024年以降には、Arrow Lakeや、電力効率をより改善したLunar Lakeも計画されている。
これまでの経緯を見てもそれら新プロセッサでも、インテルvProテクノロジーが導入される可能性は高いと筆者は予想している。長期のロードマップが安定していることも、企業ユーザーがインテルvProプラットフォームを選ぶべき理由の1つなのだ。