インテルEMAの登場
vProよもやま話、前回は2019年11月にリリースされたインテルEMA(Endpoint Management Assistant)により、それまでのvProにとって大きな制約になっていた「イントラネットでなければ強力なリモート管理機能が使えない」と言う状況が改善されました! という段階まで、インテルvProプラットフォームが歩んで来た道をご紹介しました。最終的には通信の際に管理対象のPCが使用しているIPアドレスが必要になる点は変わっていないので、管理サーバーがそのIPアドレスを直接知る手段が無くとも、何らかの方法によってハードウェアレベルの通信で管理対象のIPアドレスがもたらされる(=OSに頼らなくとも通信可能になる)と言うことで実現できた訳です。
本来小規模な組織でこそ必要なインターネット経由の強力なリモート管理
実は「vProのイントラネットの制約がついに取り払われるらしい」という情報は、EMAがリリースされる数年前から聞こえていました。これはvProに関与するものにとって、「待ちに待った」というくらいの言葉では表現しきれないほどに待望の機能強化でした。
それまでのvProのリモート管理機能を活用するお客さまは、導入規模でいうと少なくともPC 500台以上、ほとんどのお客さまが1,000台以上でした。もちろんたくさんのPCがあればあるほど、vProのリモート管理を導入した時の効果は大きくなる傾向にあるでしょうし、PCのラインナップの中では上位に位置するvPro対応PCを導入しやすいのは大きな組織であることは想像に難くありません。
ただ専任の情報システム担当を配置することが出来ない小規模な組織や、「一人情シス」と呼ばれるシステム製品の選定、運用から日々のヘルプデスクまで全てを一人でこなさなければならない担当者にとっても極めてvProは有効だと考えていましたし、ひょっとすると最後はヒトを増やしたり、予算を増額したりすることでカバーすることが出来る大規模な組織以上に、小規模な組織の方がvProベースの管理が必要不可欠な存在であるかもしれません。
ただ小規模な組織では、例えばシステム担当者が在籍する本社から物理的に遠く離れた拠点に置かれた数台のPCはVPN装置を経由せず、直接、もしくはソフトウェアVPNなどを経由してインターネットに接続されている場合も多いでしょう。最もリモート管理が難しいPC=最もvProが活躍するはずのPCなのに、vProの「イントラネットのみ」という制約でそれができないとしたら、本末転倒ではないか・・・ そんなことを担当としては考えていたのです。
そしてインターネットに直接接続されたvPro対応PCに対しても強力なリモート管理機能を使用可能にするには、インテルが無償で提供する管理コンソール・ソフトウェアを使用する必要があることが明らかになった時には、ごく自然に「新しく出てくるソフトウェアと、新しく出てくるハードウェア(最新世代のvPro対応PC)の機能が連携してインターネットに直接接続されたPCとの通信を実現するのだろう」と想像しました。
いよいよリリースの直前になって、5年前に発売された世代のvPro対応PCまでがサポート対象になると聞いて、驚いたのです。「え? 今まで出ていたPCでも実現できるの? なんで?」と。
CIRAが帰ってきた
そのからくりが「CIRA」という2008年にリリースされたvPro対応PCから搭載が開始された機能だったのです。
まさかあなたが助けてくれるとは
CIRAは「Client Initiated Remote Access 」の頭文字から名付けられた機能で、その名の通り、管理サーバー側からだけでなく、クライアントPC側に搭載された半導体から、管理サーバーに対して通信を開始する機能です。果たしてこれを何に使うのか・・・ 機能がリリースされた際、さっぱりピンと来なかったので、担当者に「クライアントPCからイニシエイト(開始する、主導する)リモート接続、これどんな時に使うの?」と問い合わせたことを今でも鮮明に覚えています。
当時の担当者曰く、「例えば営業マンがセールスで全米を飛び回っているとする。ホテルからホテルへ車や飛行機で移動する旅になるんだけれども、その旅の途中でPCに不具合が起こった場合、その営業マンはどうやって会社のサポートデスクに助けを求めればいいと思う? ホテルのインターネット接続って、ブラウザで認証した後にようやくインターネットに接続されるから、ああいう環境にユーザーがいる時は、まずはクライアントPC側から管理サーバーに接続し、vProのリモート管理が可能な通信経路を維持しなければならない。CIRAはそういう時に使う機能なんだよ」と教えてくれました。CIRAが分かりづらかったからか、他に「Fast Call for Help」と言う呼び名も作られました。
なるほどなぁ・・・ とは思ったものの、かなり限定された利用シナリオだったので、とりわけ日本のPC利用環境を想像すると「こいつはなかなか普及が難しいぞ」と直感的に感じました。さらにこの機能を利用するには企業のDMZ領域に専用の機器を置いてやる必要があったり、アプリケーションの対応が必要であったり・・・ いろいろと準備が大変だったので、実のところほとんど普及しなかったのです。(少なくとも日本では実装をお手伝いした記憶がありません。)
時代の荒波に消えて行ったと思っていたCIRAが華麗に復活するのは、それから実に10年を待たなければならなかったのですが、インテルEMAがインターネットに直接された組織外のPCに対しても強力な管理機能を利用可能にしているその秘密があのCIRAだと知った時は、そのコペルニクス的転回とでも申しましょうか、「おお、その手があったか!!」と驚き、喜びました。
企業Firewallの外に存在するPCに搭載された半導体が、自律的に自身から管理サーバーに対して通信を行うことで、PCが今使用しているIPアドレスを管理サーバーに伝え、OSに依存せず通信可能な状態を作り出していたわけです。
こんな使い方があったとは・・・
誰がvProを使っているのか?
CIRAの復活はあまりにも意外で、そしてそれが可能にしたものが長く待ち望まれていた機能だったものですから、ついついこの話をすると熱が入ってしまいます。申し訳ありません。
では「vProって誰が使っているのか?」「どんな用途で使っているのか?」についてここからご案内して参りたいと思います。
まずはvProと指名してないけど、vPro対応PCがやって来るケースも
実のところ、「vPro買います!」と言って指名買いをされているケースと、希望するスペックのPCを買ったらvProだったというケース、両方あるようです。
インテル vPro プラットフォーム対応 PC はCore i5プロセッサー以上(最新のPCではCore Ultra 5以上)に設定されていますが、Core i5搭載のPCを発注したら、vPro対応PCがやって来たというケースもあるようで、vPro対応と非対応では何もしなくてもセキュリティの面で違いがあるので、「頼んでないけどvPro来たよ!」という方はラッキーと言えるかもしれませんね。
ではVPROを指名買いする人はなぜ指名するのか?
PCを調達する際にvPro対応PCを指定する理由は2つあるようです。
まず「特にハードウェア・ベースの管理機能を使う予定は無いけど、一番安全なビジネスPC、安定して動作するビジネスPCが欲しい」というご希望。これは金融、証券、保険、製薬といったITに比較的多くの予算を割いておられる業界、情報セキュリティをより重視する業界でよく拝見しました。インテルが主張するところの「vPro対応PCはCPUからWi-Fiのコントローラーまで厳密に規定された製品で構成されなければならず、単一の構成であること、またその単一の構成において、vPro対応ではないPCと比較してずっと多くのテスト項目が設けられている」という点や、「セキュリティについてもインテルが提供するビジネスPC向け半導体の中で最も多くの機能、上位の機能が搭載されている」という点からのご選択だと思われます。
そしてここ最近は情報セキュリティ強化の流れから「マイクロソフト社のSecured Core PC規格に準拠し、その後も引き続き提供される様々なセキュリティ強化に対応出来るPCが欲しい」というご希望も増えました。2024年の時点で各仮想領域で異なる暗号鍵を用いてメモリを暗号化出来る機能やより強化された仮想化支援など、vPro対応PCだけが持っているセキュリティ機能が幾つか存在しています。
リモート管理機能は誰が使ってる?
では「vPro対応PCを買います」と指名して導入されるお客さまで、vPro の提供するハードウェア・ベースのリモート管理機能をどのようにお使いになっているのでしょうか?
インテル vPro プラットフォームが登場してから18年、やはりこれだけの時間があればその用途は少しずつ変化してきました。前回vProのリモート管理を支える技術の変遷には3つのポイントがあったことを申し上げました。それは「Wi-Fiのサポート」「リモートKVM」そして「インテルEMA」だったとご案内した訳ですが、リモート管理の用途の変遷を考えた時、同じ様に3つのポイントを考えるとすると、まず第一に「Windows10の登場」、そして「インテルEMA」、最後は「新型コロナ」になるのではないかと思う訳です。
もちろん機能面のWi-Fiのサポート、リモートKVMがあっての用途なのですが、「ユーザーの利用シナリオ」としては、Windows10、インテルEMA、新型コロナの3つがインパクトを与えたのではないかと考えます。
そのあたりの具体的なお話は次回第4回でご紹介して参ります。
今回もお付き合い下さいましてありがとうございました!