「ウイルス検出は重い」の常識を覆したインテルCore Ultraプロセッサー世代のIntel vProを徹底解説

インテルCore Ultraプロセッサー

　インテルが2023年12月に発表し、PCメーカーの最新製品に搭載されているインテルCore Ultraプロセッサーは、Foverosと呼ばれる3Dチップ混載技術を採用し、CPU、GPUを高性能化したのに加え、NPUという新しいAI専用プロセッサーを内蔵していることが特徴となっている。

　そのビジネス向けバージョンとして2024年2月に発表されたのが、インテルCore Ultra プロセッサー搭載Intel vProプラットフォームだ。同製品の特徴を端的に言うと、企業内のシステム管理の負荷を軽減し、エンドポイントにおけるセキュリティを高めてユーザーが安心してノートPCを使うことが可能になる。特にNPUを活用して、PCに負荷をかけずマルウェアスキャンする仕組みが導入されているのは要注目だ。

　ところで、7月26日が「システム管理者感謝の日」だということをご存じだろうか？コンピュータのシステム管理者に日頃の感謝の意を表わす日として、米シカゴのシステム管理者Ted Kekatos氏が提唱した日(毎年7月の最終金曜日)で、2000年に登録されて今年で25周年を迎える。

　インテルはかねてより、「インテルvProプラットフォームは、企業の情シス担当者が抱えている課題を解決し、情報システム担当者、ひいてはPCを利用するユーザーを含めた企業全体を幸福にできる」といった内容で、企業の情シスに向けてメッセージを発信しており、2024年も7月26日を迎えるにあたり、インテルが中心となりパートナーとの合同メッセージキャンペーンを実施し、各メディアや東京メトロ各路線での中吊り広告などで展開する。

　そのメッセージは「情シスがいなければ守れないビジネスがある～すべてのITヒーローにエールを贈ろう」となっている。本稿で紹介するIntel vProプラットフォームは、情シス、ひいては企業の生産性、効率を向上させるためのものと言っても過言ではない。その具体的内容について紹介していこう。

3D積載技術Foverosと低消費電力Eコアにより速く、かつ長時間バッテリ駆動を実現したCore Ultra

Foverosを利用して高性能で低消費電力なSoCとなっているインテルCore Ultraプロセッサー

　一般消費者向けのインテルCore Ultraプロセッサーと、ビジネス向けとなるインテルCore Ultra プロセッサー搭載Intel vProプラットフォームは、いずれも「Meteor Lake」(メテオレイク)という開発コードネームで開発されてきた、新しいSoCがベースになっている。インテルCore Ultraプロセッサーについてインテルは、「40年に一度の大きな変革」と呼ぶほどで、SoC設計のさまざまな部分で新しい革新的な技術を採用している。

　その代表的なものが、3Dチップ積層技術となるFoverosだ。従来のPC向けプロセッサーの多くは、2D型チップ混載技術を採用している。インテルも1世代前のインテルCoreプロセッサーまでは、2Dチップ混載技術を利用してノートPC向けのSoCを製造してきた。

　Foverosでは「タイル」と呼ばれるチップを縦方向に積載している。具体的にはベースタイルという基礎タイルの上に、CPUが搭載されるコンピュートタイル、GPUが搭載されるグラフィックスタイル、一部のCPUとNPUなどが搭載されるSoCタイル、PCI Expressなどが搭載されるIOタイルという4つが積載されて、1つのSoCが構成される。こうした3D積載技術がPC向けのSoCのような多くの数が出荷されるような製品で採用されたのは、インテルCore Ultraプロセッサーが初と言ってよい。

　3D混載技術を採用した利点として、インテルCoreプロセッサー(第12世代)で導入されたハイブリッドアーキテクチャがさらに進化した。ハイブリッドアーキテクチャでは、Pコア(高性能コア)、Eコア(高効率コア)という大小2つの種類のコアがあり、前者はコア数が少ないけが低遅延でアプリケーションの高速起動が可能で、後者は低電力で小さなコアになるため多くの数のコアを実装可能で並列実行が得意という、それぞれの良いところを切り替えて使う仕組みになっている。

　インテルCore Ultraプロセッサーではこれが、3Dハイブリッドアーキテクチャへと進化。3Dハイブリッドアーキテクチャでは、Eコアのうち低消費電力Eコアと呼ばれる、さらに低電力な2コアをSoCタイルに搭載している。低消費電力Eコアは、OSが待機状態にある時などに動作することで、高い電力効率で実現。それにより、ノートPCのバッテリ駆動時間を延ばす効果がある。

　実際、CPU以外がほとんど同じスペックになっているインテルCoreプロセッサー(第13世代)搭載機と、インテルCore Ultraプロセッサー搭載機では、バッテリベンチで前者が約14時間であるのに対し、後者は16時間と約2時間増えている。

EMAを利用したリモート管理に加えて、GoToなどのSaaSサポートツールからも直接利用可能に

インテルCore Ultra プロセッサー搭載Intel vProプラットフォームの特徴。CPUの持つ高い生産性、安定性、それに加えて高いセキュリティ性と管理性を提供する

　インテルCore Ultra プロセッサー搭載Intel vProプラットフォームは、そうしたCore Ultraの特徴に加えて、ビジネスに求められるIntel vProプラットフォームに対応したものだ。

　Intel vProプラットフォームのメリットは大きく2つある。1つがPCを企業内で管理する情報システム部にとって便利なリモート管理機能であり、もう1つがコロナ禍を経て当たり前になっているハイブリッドワークに対応するため、より重要性が増しているエンドポイントセキュリティの強化だ。いずれも企業がノートPCを適切に管理し、従業員の生産性を上げていくために重要な機能だ。

　Intel vProプラットフォーム準拠のノートPCでは、インテルアクティブ・マネジメント・テクノロジー(AMT)と呼ばれる、ハードウェアを管理するためのエンジンが内蔵されている。

　AMTは、CPUやGPUなどとは別系統の電源で動いており、PCの電源がオフやモダンスタンバイ状態にあっても、AMTとネットワーク(LAN/Wi-Fi)を動作させるための必要最低限の電源だけが供給されている仕組みになっている。

　そうした環境を実現するソフトウェアがインテルエンドポイント・マネジメント・アシスタント(以下EMA)だ。EMAは標準でオンプレミスのWindows Serverなどにインストールし、企業のファイヤーウォール内にあるデバイスを管理できるだけでなく、AWS/Google Cloud/Microsoft Azureなどのクラウドサービスプロバイダーのパブリッククラウドサービス上に展開し、ファイヤーウォールの外にあるデバイスも管理することが可能になる。

CSMEとEMAを利用してノートPCをリモート管理している様子。同じ仕組みでBitLockerの回復キーの入力もリモートから可能に。リモート操作中はユーザーに分かるように黄色と赤の枠が表示されている

　つまり、社員の自宅にあるノートPCでもAMTを有効にしておくことで、常時EMAと通信が行なわれ、必要に応じてEMAのリモート接続ツールを利用してノートPCに接続し、OSのパッチを当てるといった管理が可能になる。

　管理者にとって一番うれしいのは、BitLockerの回復キーの入力をリモートで行なえることだ。エンドユーザーのPCで問題が発生し、BitLockerの回復キーを入力する画面になってしまい、情報システム部にヘルプが要請されるというのは珍しくない光景だろう。

　現在のようにハイブリッドワークになる前で、ノートPCが企業のファイヤーウォールの中にしかなかった時は、情シス担当者がノートPCがある場所にいって回復キーを入力するだけでよかった。しかし、ハイブリッドワークが当たり前の今日では、そのノートPCは数km先の場所にあることもざら。現場では情シス担当者が電話で従業員と連絡を取り、48桁の数字になる回復キーを読み上げて入力してもらうという作業をしてもらう必要がある。ITに強い従業員ならそれでいいかもしれないが、そうではない経営層が連絡してきた場合、情シスにとってはBitLockerの回復キーを入力してもらうのは悪夢だろう。

　だが、ノートPCがIntel vProプラットフォーム準拠で、初期設定時に適切にAMTの設定が終わっていれば、ユーザーにしてもらうことは、バッテリがなくならないようにACアダプタに接続しておいてもらう程度でよい。あとは情報シス担当者がEMAから、ターゲットになるノートPCに接続し、48桁の数字を入力すれば無事復旧だ。

EMAに加えて、SaaSで管理できるサポートツール(たとえばGoToのLogMeIn Rescueなど)から直接Intel vProプラットフォーム準拠のノートPCを管理できる

　EMAのリモート管理機能は、年数回のバージョンアップにより進化しており、サードパーティSaaS(Software-as-a-Service)への統合も進んでいる。たとえば、GoToが提供している企業向けのリモートサポートツール「LogMeIn Rescue」では、2023年12月にEMA機能の統合が発表されている。

　このほか、Ivanti、Kaseya、VMware Workspace OneでもEMA統合が進められている。

ゼロトラスト時代にはハードウェアを利用したエンドポイントセキュリティが重要に

ハードウェアセキュリティの新機能や機能拡張

　Intel vProプラットフォームのもう1つの特徴は、ハードウェアを活用したエンドポイントセキュリティの強化だ。ハイブリッドワークが当たり前の昨今、ゼロトラストセキュリティがさらに重要となっている。

　ゼロトラストセキュリティで要となるのがデバイス自体のセキュリティ、つまりエンドポイントセキュリティを強化することだ。そこで近年注目されているのが、ハードウェアを活用したセキュリティ機能だ。

　マルウェアやランサムウェアなどを利用して攻撃者が侵入する際は、ソフトウェアの脆弱性を突くことがほとんど。ソフトウェア脆弱性に関しては、絶え間ないアップデート以外に有効な対抗策はないのだが、ハードウェアはローカル、つまり防御側にしかないため、攻撃者がそれを突破するのはソフトウェア脆弱性を突くよりも困難になる。

　Intel vProプラットフォームでは、インテルハードウェア・シールドという仕組みを用意しており、DRTM(ダイナミックな信頼ルート)、SMM(システム管理モード)保護など、Microsoftが提唱するOS起動前のセキュリティ機能であるWindows 11 Secured-Core PCに必要な機能を提供している。

　さらに、ハードウェア・シールドは、Secured-Core PCよりも高度なハードウェアベースのセキュリティを提供する。たとえば、インテルトータル・メモリ・エンクリプションではDRAMの動作を暗号化し物理的なコールドブート攻撃を防ぎ、インテル ブートガードはブート時にファームウェアが正常化チェックできるなど、ハードウェアを活用することでレベルを1つや2つ上げた高いセキュリティを実現している。

　インテルCore Ultra プロセッサー搭載Intel vPro プラットフォームでは、そうした従来から提供されてきたセキュリティ機能に加えて、インテルシリコン・セキュリティ・エンジン、インテルデバイス・ディスカバリー、インテルデバイスヘルスという3つの機能が新しく追加されている。

　シリコン・セキュリティ・エンジンは、ファームウェアの正常性をインテルCore Ultraプロセッサーに内蔵されているハードウェアを利用して認証する機能で、より高いレベルのセキュリティを実現する。

デバイス・ディスカバリーとデバイス・ヘルス

　デバイス・ディスカバリーでは、デバイスの認証をハードウェアを利用して行なうインテルユニーク・プラットフォームID、動作状況を記録したできるインテルプラットフォーム・サービス・レコードなどの機能が利用できる。

　また、デバイスヘルスを利用すると、パッチ管理をIntel vProプラットフォームとサポート系のSaaSサービス(Workspace ONEなど)で連携して行なえるようになる。

これからのマルウェア、フィッシング対策はNPU活用がポイント

トレンドマイクロのNPUを利用したフィッシングURL検出のデモ。フィッシングURLを検出した時にわずかにNPUに負荷がかかっていることが分かる。

　そしてインテルCore Ultra プロセッサー搭載Intel vPro プラットフォームの改善点でもう1つ注目したいのが、インテルスレッド・ディテクション・テクノロジー関連の機能強化だ。

　インテルCoreプロセッサー(第11世代)で、インテルはTDTを拡張し、(ソフトウェア側がサポートしているという条件はつくが)ウイルススキャン実行時の負荷をCPUよりGPUへと肩代わりさせる仕組みを導入した。通常、ウイルススキャンを実行すると、CPU負荷が高くなり、OSが重くなるのは頭が痛い問題だった。そこで、CPU処理をGPUへ肩代わりさせたわけだ。

　インテルCore Ultra プロセッサー搭載Intel vPro プラットフォームはTDTがさらに強化され、NPUを利用したセキュリティ脅威の検出に対応した。NPUは、大量のデータを高い電力効率で処理することが可能になっている。

　たとえば、COMPUTEX 24で行なわれたインテルのイベントでは、トレンドマイクロ製セキュリティソフトウェアが、NPUを利用して常時OSの動作を監視。フィッシングと思われるURLにユーザーがアクセスしたことを検出すると、即座にアクセスを遮断してフィッシング詐欺を防いでいた。同じ機能をCPUで実現すると、ずっとCPUに高い負荷がかかることになるが、NPUでは低い負荷で可能になり、重くならないだけでなく、バッテリも持つようになる。

　NPU対応にはソフトウェア側の対応が必要だが、トレンドマイクロだけでなく、クラウドストライク、バッファーゾーンなどのISVが既に対応を明らかにしている。

最上のビジネスPCを象徴するIntel vPro Evo Editionは、従業員やシステム管理者のための道しるべ

Intel vPro Evo Editionのロゴシール

　Intel vProプラットフォームには大きく分けて、大企業向けとなるIntel vPro Enterpriseプラットフォームと、中小企業向けのIntel vPro Essentialsプラットフォームの2つのグレードが用意されている。基本的な機能は同じだが、Intel vPro Enterpriseプラットフォームには大企業で必要になる機能がいくつか追加されている。

　どちらのグレードになるかはCPUに依存し、インテルCore Ultra 7 165UプロセッサーならIntel vPro Enterpriseプラットフォーム、インテルCore Ultra 7 155UプロセッサーならIntel vPro Essentialsプラットフォームのようになっている。

　また、ノートPCを選択する時にはIntel vProプラットフォームに対応しているかと同時に、インテル Evo Platformに対応しているかどうかもチェックしたい。インテル Evo Platformは、長時間バッテリ駆動や高い性能といったユーザー体験を提供可能であることをインテルの検証機関で検証したデバイスにだけ与えられるブランドだ。

　Intel vProプラットフォームとインテルEvo Platformの両方に対応した製品もあり、それらにはIntel vPro Evo Editionと書かれたシールが添付される。それが現時点では最高のユーザー体験と高いセキュリティ性、高い管理性が両立されたデバイスの証と言える。

　企業でノートPCを導入するにあたっては、新しいワークスタイル、そして新しい脅威への対応を考慮する必要がある。その観点から、インテルCore Ultra プロセッサー搭載Intel vPro プラットフォームは情シスにとっても、エンドユーザーにとっても非常に頼もしい存在だ。加えて、インテルEvo Platformに対応した製品であれば、その高い反応性により業務効率も改善される。まさに鬼に金棒な製品だ。