インテル vPro プロセッサー・テクノロジーの機能と対応ソリューション (その1)

2006/11/16 - トピックメーカー/田中伸一

 プロセッサー・メーカーからプラットフォーム・メーカーへの変貌を遂げたインテルがビジネスPC向けに打ち出したブランド“インテル vPro テクノロジー(以下、vPro)”。そのセールス・ポイントとして同社がアピールしているのは次の3点である。

I. パフォーマンスと省電力
II. セキュリティー機能
III. リモート管理機能

最初に実感できるのはパフォーマンス

 2006年4月に行われたブランドの発表から約半年が過ぎ、ようやくメーカー各社のvPro対応PCが市場に出始めた。vPro対応PCを導入したユーザーが最初に実感するのは、おそらく「I.」の「パフォーマンスと省電力」だろう。確かに、インテル Core 2プロセッサー・ファミリー(Conroe)の性能消費電力電力制御機能についての記事にあるとおり、vProの頭脳であるインテル Core 2プロセッサーは、Intel NetBurst系シングルコア/デュアルコア・プロセッサーよりも、パフォーマンス、省電力の点で格段に優れている。実際、vPro対応PC導入による生産性と電力コストへのメリットに期待を寄せる業界関係者も少なくない。また、“インテル グラフィックス・メディア・アクセラレーター3000”(インテル GMA 3000)や“インテル ハイ・ディフィニション・オーディオ”(インテルHDオーディオ)など、チップセットに統合されたマルチメディア機能もvProのパフォーマンスを後押ししている。

 では「II.」と「III.」に関してはどうだろう?これら2つの機能の実現については、各ソフトウェアベンダーが提供するvPro対応のアプリケーションが必要となる。簡単に言えばvProとは、管理アプリケーションやセキュリティー・アプリケーションの機能をエンハンスするハードウェア/ファームウェア基盤である。ただし、これまではvProのような基盤が標準でサポートされているPCがなかったため、リモート管理を行う場合でも、セキュリティー対策を行う場合でも、何らかの制約があった。そういった制約からPCやユーザー、そしてIT担当者を解放するのがvProの役割というわけだ。ここでvProが提供している機能を整理してみよう。

システムに組み込まれた管理機能の集合体

 vPro対応PCでは、システム構成情報やイベント・ログが不揮発性メモリーに記録され、システムを立ち上げることなく管理コンソールからそれらのデータにアクセスできる、という話はPC関連のイベント等でよく耳にするので、ご存知の方も多いだろう。vProは、管理業務の効率化やセキュリティーの強化を支援するとともに、高い処理性能と省電力効果を実現するための技術が一つのプラットフォーム上に集約された、いわば「テクノロジーの集合体」である。

 そうしたvProのキー・テクノロジーの一つ“インテル アクティブ・マネージメント・テクノロジー”(インテル AMT)もまた管理・セキュリティー面におけるテクノロジーの集合体である。vProを一つの大きな集合、インテルAMTはそのvProに含まれる部分集合と考えるとイメージしやすいかもしれない。このインテルAMTの中枢となるのが、“インテル マネージメント・エンジン”(インテルME)である。インテルMEは、ハードウェアとファームウェアから成り、インベントリーに必要な資源情報やシステム各所に設置されたセンサーからの情報、各種イベント・ログの不揮発性メモリーへの記録、その他リモート管理コンソールからの指示による制御動作などを処理する。

 リモート管理コンソールからインテルMEへのアクセスは、ユーザーが通常業務で使用する帯域とは切り離されたOOB(Out of Band)チャネルを通じて行われ、TLS(Transport Layer Security)による暗号化・認証も可能なTCP/IP通信のほか、“SOL(Serial over LAN)”と呼ばれる仕組みがサポートされている。SOLとはサーバーのリモート管理に使われている一般的な機能で、これを利用することでBIOSやOSのシリアル・コンソール(シリアル・ポートに出力されるテキスト・ベースの制御画面)をLANコントローラーにリダイレクトし、リモート管理コンソール上で操作することができる。またインテルAMTは、“IDE-R(IDE Redirect) ”と呼ばれる機能をサポートしている。PCのブート(立ち上げ)は通常、そのPCに内蔵されたハードディスクから行われるが、IDE-Rではブート・デバイスを、ネットワーク上の他のストレージにリダイレクトできる。IDE-RとSOLは、リモートによるBIOS設定やOSクラッシュからの復旧などを行いたい場合には、特に重宝する機能だ。

ポリシー・ベースのセキュリティー機能

 インテルAMTでは、セキュリティー強化のための“システム・ディフェンス”と“エージェント・プレゼンス”という機能がサポートされている。どちらも管理コンソールを通じて設定された‘ポリシー’に基づいて、セキュリティー上の脅威からシステムを守るための処理を自動的に行う機能だ。従来のPCは、OS上でセキュリティー・エージェントを走らせ、ウイルスや不正侵入の兆候を検出していた。しかし、この方法ではすべてのパケットをいったんシステム内に取り込むことになる上、ユーザーの故意や外部からの攻撃などによりセキュリティー・エージェントが無効化された場合、システムは無防備になってしまう。こうした状況に対してシステム・ディフェンスとエージェント・プレゼンスは、システムを‘水際’で守るための仕組みを提供するもので、米Intelのサイトで公開されている資料“Intel Active Management Technology System Defense Feature and Agent Presence Overview”によると、両機能のイメージは次のようなものになる。※尚、この操作は管理コンソール・アプリケーションを使って行うことが“前提”である。

 まず、システム・ディフェンスでは、管理者が危険と見なすパケット・パターンと、それを検出したときのアクションをポリシーとして定義できる。ポリシーの設定は管理コンソールを通じてしか許可されないため、ユーザーは変更できない。システム・ディフェンスのパケット・フィルターは入出力パケットを監視し、ポリシーで定義されたパケットを検出したときには、管理コンソールに対するアラート(警告)の通知やイベント・ログの記録、パケットの破棄、ネットワークからの隔離といった、ポリシーとして設定しておいたアクションを自動的に行う。

 一方、エージェント・プレゼンスは、セキュリティー・エージェントの無効化やクラッシュを発見し、管理者に対して適切な対策を促す。インテルAMTでは、ソフトウェア・エージェントが動作中か否かを監視するためのウォッチ・ドッグ(番犬)タイマーがサポートされており、管理コンソールを通じて、エージェントごとに、タイム・アウトまでの時間と、その際のアクションをポリシーとして設定できる。エージェント・プレゼンスは、設定された間隔で各エージェントの動作状況を確認し、反応がない場合には、アラートの通知やネットワークからの隔離など、ポリシーに基づく処理を行う。

 尚、システム・ディフェンスとエージェント・プレゼンスについては、以下の参考資料にユース・ケースも含めて詳しく記されているので、関心のある方は参考にしていただきたい。

 ここまでvProの主要機能について見てきたが、その効果を引き出すには、セキュリティー・ポリシーや管理ポリシーの作成、アプリケーションを使いこなすためのトレーニング、といった利用者側(IT部門など)の前向きな姿勢が欠かせない。つまり、セキュリティーやPC管理について‘まじめ’に取り組んでいる企業ほど、vProの恩恵を受けられる。
とは言っても、ユーザーの業務を妨げることなく、容易で効率的なPC管理が行えることを目指して設計されたvProの管理機能は、IT資産の管理において経験を重ねた既存企業だけでなく、これらのノウハウの蓄積に乏しい新興企業にとっても、「PC管理」を‘取っ付き易い’ものにすることは確かだろう。

 そこで、次のページでは、「PC管理」「コラボレーション」「セキュリティー」の各分野におけるvPro対応ソリューションの中から、代表的なものを取り上げて紹介していく。

この記事の目次

記事アーカイブ

IT Manager's Desk の記事をテーマごとにまとめ読み。

  • IAストラテジー
    • IAとビジネスの新しい展望を解説します
  • IAサーバー
    • IAサーバーの最新動向をレポートします
  • ビジネスPC
    • ビジネスとITの現場を変える最新PCソリューションをお伝えします
  • 事例ウォッチ
    • IAを活用してビジネスを切り拓く、注目の導入事例をピックアップします


新着ビジネスPC