2006年末,企業システムを変貌させる新しいツールが登場した。その核はインテルの「vPro」,マイクロソフト「Windows Vista」といった,クライアントの次世代プラットフォーム。企業ネットのセキュリティ・モデルが根底から変わろうとしている。今回はvPro編の最終回。

 AMTと仮想アプライアンスの組み合わせは,ノート・パソコンの紛失・盗難が発生した際の情報漏えい対策に活用できる。ノート・パソコンが他人の手に渡った時,データをリモートから消去するのである(図2-4)。一部で携帯電話向けに実現しているのと同じ仕組みだ。紛失したパソコンをリモートから起動し,仮想アプライアンスとして仕込んだソフトウエアでハード・ディスクの内容を消去する。

図2-4●vProはパッチ適用や情報漏えい対策で威力を発揮する
図2-4●vProはパッチ適用や情報漏えい対策で威力を発揮する
特にモバイル環境では,これまで難しかったリモートからのデータ消去が可能になる。
 [画像のクリックで拡大表示]

 今までなら,こうした危険を回避するために社外へのパソコンの持ち出し禁止か,あるいはシン・クライアント導入となるところだ。リモート消去機能が実装されたvPro搭載パソコンを使えば,あえて使い勝手や生産性を落とすような対策を講じる必要はなくなる。

 これまでのパソコンで同様の仕組みを実現できなかったのは,紛失時や盗難時にはたいていパソコンの電源が切れているため。vPro対応パソコンならAMTの機構を使って電源を投入し,ユーザーOS部分を消去できる。

 もちろんリモート消去は,ノート・パソコンに携帯電話などの広いエリアでつながる無線通信機能が搭載されていなければ使い物にならない。そこでインテルは,「パソコン・メーカーに携帯電話モジュールの標準搭載を働きかけている」(通信事業開発本部の松本洋一本部長)。そして,この携帯電話モジュールに, AMTを使った電源投入機能を盛り込む。そうなれば,リモートから携帯電話モジュールを介してパソコンを起動できる。この携帯電話モジュールを搭載したノート・パソコンは,2007年中には製品化される見込みだ。

 また,この仕組みを実現する上で重要なのは,エンドユーザーにはリモート消去機能の設定を変えられない点。パソコンが犯罪者の手に渡った際,設定を解除されてしまっては元も子もない。ネットワーク管理者以外は操作できない仮想アプライアンスという仕組みがあるからこそ,リモート消去機能が生きてくる。

セキュリティ・ソフトへの不正操作を防止

 同様に,仮想アプライアンスの仕組みを活用すると,他の面でもセキュリティ強化を期待できる。具体的には,ウイルス対策ソフトなどセキュリティ関連のソフトを仮想アプライアンスとして搭載すれば,セキュリティ・レベルをぐんと高められる。不正プログラムなどによってセキュリティ・ソフトの設定を変更される危険性を下げられるからだ。

 米シマンテックは,「自社の持つセキュリティ・ソフトウエアを可能な限り仮想アプライアンスとして提供していく」(プロダクト・マネージメントのブライアン・フォスターシニア・ディレクタ)としている。製品計画について明言はしないが,ファイアウォール,IPS(侵入防止システム),URLフィルタ,ウイルス対策などの機能を搭載すると見られる。

 このほか,IPsecのクライアント・ソフトを仮想アプライアンス化する構想もある。認証情報や接続先を設定しておき,社外からは強制的に企業のゲートウエイにリモート・アクセスさせる。エンドユーザーは勝手に設定を変えることができないため,社外にいる社員の好き勝手なインターネット利用を制限できる。

通信事業者もvProの動向を注視

 こうしたvProの動作モデルは,通信事業者が新たなビジネスを生む土台にもなる。クライアント管理代行ビジネスの道が開けるからだ。管理するオペレータを,そっくりそのままWANの先に置けばいい(図2-5)。

図2-5●クライアント管理をアウトソースしやすくなる
図2-5●クライアント管理をアウトソースしやすくなる
一部の通信事業者はクライアント管理サービスに着手している。

 これは通信事業者の今後の戦略とも一致する。企業ユーザーを囲い込むには,回線サービスを提供するだけでは不十分。「ユーザーが面倒くさいと感じていることを肩代わりすることで,回線の乗り換えを減らすことができる」(NTT東日本ブロードバンドサービス部光バリューアプリケーションサービス開発担当の秀島茂里担当部長)。

 NTT東日本は,既にこうした戦略を展開中。その一つがユーザー宅や顧客企業に置かれたパソコンのセキュリティを監視する「フレッツ・レスキュー」というサービスである。個々のクライアントを監視して,パッチ適用やウイルス定義ファイルのアップデートが行われていない場合や,ウイルスに感染している兆候を見付けた場合に,メールや電話で通知する。ユーザーが自力で復旧できない時には現場に人を派遣する。

 現状ではvPro機構を使わず,顧客のパソコンに独自のエージェント・プログラムを仕込んだ上でサービスを提供している。ただ,vProは,リモートからの障害復旧などで効果を見込める。

 また,チップ・レベルでパケット制御が可能なので,vProを使った検疫システムを通信事業者として提供することも容易だ。インターネットにつなぐ前に AMTなどを使ってパソコンをチェック。問題がない場合にだけインターネットに接続する。問題がある場合は,パッチやウイルス定義ファイルをダウンロードするWebページにだけつながせるのだ。NTT東日本も「vProでそうしたサービスを提供することは十分あり得る。フレッツは閉域網なので実現は容易だ」(秀島担当部長)と言う。