2006年末,企業システムを変貌させる新しいツールが登場した。その核はインテルの「vPro」,マイクロソフト「Windows Vista」といった,クライアントの次世代プラットフォーム。企業ネットのセキュリティ・モデルが根底から変わろうとしている。今回と次回の2回に分けvProの機能を解説する。
vProの凄みは,ハードウエア・レベルでクライアント管理とセキュリティの機能を実装したことにある。これまでパソコンの仕組み上実現不可能とされてきた機能を,セキュリティ,保守・運用のそれぞれの場面で提供できるようになる(図2-1)。
図2-1●vProの2大機能 AMTと仮想アプライアンスの組み合わせによって,管理性やセキュリティを強化できる。 |
例えば,電源が入っていないクライアント・パソコンをリモート操作で見付け出してパッチ・プログラムを適用したり,そのパソコンに記録されている機密データを消去するといったことが可能になる。
エンドユーザーには隠ぺいした状態で監視プログラムを稼働させることもできる。エンドユーザーはもちろん,ウイルスにも監視プログラムの設定を変えることはできない。ネットワーク管理者にとっては,クライアント管理や情報漏えい対策の強力な武器になるのだ。しかもシン・クライアントとは違って,使い勝手はパソコンそのままである。
この仕組みを生かせば,クライアント・パソコン管理のアウトソーシングというソリューションも見えてくる。実際,一部の通信事業者は,サービス提供に向けてvProの具体的な活用方法を探り始めた。
vProはAMTと仮想アプライアンスで構成
vProはインテルが提供する特定のCPU,チップセット,ファームウエアを組み合わせたプラットフォームの呼称。この土台の上で二つの機能を実現している。一つはリモートからの電源投入や操作をするための「AMT」(アクティブ・マネージメント・テクノロジ)。もう一つは,ユーザーが利用しているOS とは別の領域で管理用プログラムを動かすことができる「仮想アプライアンス」だ。
AMTは,ファームウエアに実装されたプログラムとチップセット,そこに含まれる不揮発性メモリーで実現する(図2-2)。ポイントは不揮発性メモリーにある。
図2-2●vProによるクライアント管理の仕組み リモートからの電源投入,不揮発性メモリーを使ったパソコンからの情報収集,仮想アプライアンスを使ったユーザー領域の監視などが可能。 [画像のクリックで拡大表示] |
不揮発性メモリーには,クライアントのハードウエアや,OSやアプリケーションのバージョンといったソフトウエアに関する情報を格納できる。このメモリーを管理コンソールから参照することで,クライアント管理が可能になる。仮にパソコンのスイッチがオフになっていても,電源ケーブルがつながっている限り給電され,リモートからアクセス可能。電源が切れていてもクライアント管理を実現できる理由がこれだ。
ノート・パソコンも管理対象になる。現状では,vProはデスクトップ向けのものだけだが,インテルは2007年中にノート・パソコン向けにもvProに準拠したプラットフォームを展開することを明らかにしている。
さらに,AMT機構には電源制御機能とパケット制御機能がある。電源制御機能は,不揮発性メモリーを参照して,目的のパソコンの電源をリモートから投入できるもの。日立製作所のシステム管理ソフトウェア本部システム管理ソフト設計部の村上貴史主任技師は,「電源が切れている状態での管理機能は非常に便利」と話す。
パケット制御機能は,マザーボード上のネットワーク・チップで実現する機能。不審なパケットをチップで検知・遮断する。内向き/外向き両方向について最大32項目まで設定できるパケット・フィルタリング・ルールを登録して外部からの攻撃を食い止められるほか,ウイルスに感染した場合にウイルスが自動実行する外部への攻撃を遮断できる。
パソコン内に“専用装置”を実現
一方の「仮想アプライアンス」は,パソコンの中にエンドユーザーやウイルスなどから触れられない領域を作る機能。vPro準拠のハードウエアとVMM (バーチャル・マシン・モニター)と呼ぶファームウエアを使って,社員が利用しているOS(ユーザーOS)とは別OS(サービスOS)を同時に稼働させる。
サービスOSは,Windowsのようなグラフィカル・ユーザー・インタフェース(GUI)を持たず,ユーザーOSから完全に隠ぺいされる。鍵データを持った管理者しかアクセスできないため,エンドユーザーにはサービスOSやその上で動くアプリケーションの削除や設定変更はできない。
このサービスOS上で稼働するアプリケーションが仮想アプライアンスである。ユーザーOS上のアプリケーションが外部と通信する際には,仮想アプライアンスが必ずデータ・パケットを中継する。ユーザーOSから見ると,ブロードバンド・ルーターなど外付けのアプライアンスとほぼ同じ役割を果たす。
電源オフのPCにもオンデマンドでアクセス
これらの機能を持つvPro搭載パソコンが威力を発揮するシーンの一つは,リモートからのパッチ当てだ。AMTの不揮発性メモリーと電源制御機能を使えば,電源が入っていないパソコンを含め,すべてのクライアントに一斉にパッチを適用できる。
ラック研究開発本部コンピュータセキュリティ研究所の岩井博樹所長は,「一元的にクライアントを管理・監視できる点は,セキュリティ管理上の大きな魅力。最終的には,vProのような仕組みを使って,クライアントをリモートから集中監視するモデルが企業システムの主流になっていくのではないか」と見る。
例えば,社員が帰った深夜のパッチ・プログラムの適用やウイルス・チェック。現行のパソコンでは,電源が入っていないパソコンに対しては作業を進められない。
しかし管理対象がvPro搭載パソコンなら,深夜に社内全クライアントの不揮発性メモリー情報を参照してOSのパッチ適用状況などを検査。問題のあるパソコンを起動し,仕込んであるエージェントに命令してパッチ当て作業を実施できる。社員が翌朝出社したときには,保守作業は完了しているわけだ。
すべての管理をサーバー上で完結できるシン・クライアントとは仕組みこそ違うが,管理を一元化できる点は変わらない(図2-3)。
図2-3●シン・クライアントとvProの管理性の比較 |
LANスイッチなしで安全な検疫ネット
現状では,出張などでノート・パソコンが持ち出されていると,最新パッチを適用できないケースが出てくる。クライアントのIPアドレスが分からないなど,リモートからクライアントを検出できない場合だ。こうなると,社外でインターネット接続してウイルスに感染したパソコンを,社内に持ち込まれる危険が高まる。
そこで有効なのが検疫ネットワークである。現在,スイッチ型やDHCP型などさまざまな製品が市販されているが,AMTの機能を使えば,安価に検疫システムを実現できる。AMTのパケット制御機能を活用するのだ。
端末を管理するサーバーは不揮発性メモリーに入っている情報を参照。ポリシーに合致しない場合,パソコンをネットワークから切り離す。ウイルスに感染しているような端末がつながっても,パケットをネットワークに流すことは一切なくなる。
もちろん,クライアントの状態を管理する検疫サーバーは別途必要になるが,クライアントのネットワーク・チップ上で通信を止めるので,専用のLANスイッチなどは不要だ。