2007年はパソコン管理の負荷が増える？減る？

日経NETWORK

2007.01.10

　今年前半に予想される最大の話題といえば，なんといっても「Vista」の登場だろう。Windowsの新バージョンである「Windows Vista」がこの1月末に登場。Windows XP以来の約5年ぶりのメジャー・バージョンアップということで，それに期待するベンダーやユーザーは多い。今後しばらくは，Vistaに関する話題が次々と登場してくることは間違いないだろう。

　だが，企業ユーザー，特に管理者にとって新しいOSの登場は必ずしも歓迎できない。せっかく安定して動いている社内のシステムやネットワークに新しいOSが入ってくると，何かとトラブルの元となるからだ。本当は，しばらくの間は導入を控えて，きちんと検証できてから全社で一斉に導入したいところだが，Vistaの正式出荷後はVistaプリインストール・マシンが増えてくるので，いつまでも拒否してはいられないこともあるだろう。

　しかし，Vistaの登場は管理者の苦労を増やすばかりではない。Vistaに合わせて「vPro」対応と呼ばれるパソコンを使えば，管理者にとってはパソコンの運用管理にかかっている負担を減らせることが期待できるからだ。

　vProとは，インテルが推奨している企業パソコン向けのブランド名である。インテルが2006年4月にブランドを発表したのを受けて，2006年秋から対応パソコンが各メーカーから登場。2006年の年末商戦では，Vistaの完成とタイミングを合わせるように，メーカー各社が続々とvPro対応と銘打ったパソコンを発売している。

　インテルは（1）性能/省電力，（2）セキュリティ，（3）運用管理の三つをvProのメリットとして説明している。

　この中で目を引くのが（1）の性能/省電力だが，企業の管理者にとって魅力的なのは（2）のセキュリティと（3）の運用管理だ。例えば，vPro対応パソコンではハードやソフトの構成など各パソコンの基本情報を不揮発性のメモリー領域に格納する。この情報はネットワーク経由で管理者が読み出せるので，管理者は社内のパソコンの管理台帳を簡単に作れる。

　vPro対応パソコンならネットワーク経由で管理者がリモート操作することも可能だ。これにより，ほかのパソコンの前に座っている管理者が，あたかも前に座っているかのようにそのパソコンを操作できる。「パソコンの調子が悪くなった」とエンドユーザーから連絡があったときに，わざわざそのエンドユーザーのところまで行かなくても，自分の席からトラブルに対処できる。

　セキュリティ対策としては，チップセットとネットワーク・カードが連動して，簡単なファイアウォール機能を実現する。ネットワーク・カードが中継するパケットの内容を見て，あて先あるいは送信元のIPアドレスやポート番号でパケットを廃棄する。例えば，ウイルスやワームに感染したパソコンを見つけたらそのパソコンのすべての通信を遮断することで社内への感染が拡大することを防ぐ，といったことに利用できる。

　これを聞いて，「ん？　それって今までもできていたのでは」とか，「ウチではもうやっている」と思う人がいるかもしれない。確かに，市販の管理ツールやパーソナル・ファイアウォールなどを使えば，これまでも同じようなことはできていた。だが，vProはこれまでとは根本的に異なる点がある。

　それは，上で述べたような機能を，パソコンのハードウエアに組み込んで提供することである。チップセットやネットワーク・カードには常に最低限の電力が供給されており，パソコン本体の電源がオンになっていない状態でも，パソコンの情報を問い合わせできる。これにより，ネットワーク上に存在するのに電源が入っていないために見逃してしまったり，最新の状態と食い違ってしまったりする，といったことは起こらない。

　リモート管理に関しても，よりハードウエアに近い部分で対応しているので，例えば再起動をすると，パソコンのBIOSが起動する画面から，管理者のパソコンで確認できる。ハードディスクの標準インタフェースであるIDEをネットワーク経由にリダイレクトするといったことも可能なため，仮にハードディスクが原因のトラブルであってもサーバーのハードディスク・イメージにリダイレクトして，そこから起動することも可能になる。

　さらに管理者にとって魅力なのは，これらの管理機能がパソコンを使っているエンドユーザーからはまったくタッチできないことである。パソコンの情報を集めたりリモート操作したりするための管理ソフトやセキュリティ・ソフトは，一般にパソコンへの負担が大きい。このため，スキルの高いユーザーの中には，パソコンの体感速度を上げるために，勝手に機能をオフにしたり削除してしまったりする人もいる。

　管理者がシステム的にいくら厳密な管理体制を構築していても，こういったユーザーのパソコンは管理の対象から外れてしまい，最悪の場合ウイルスやワームを社内に持ち込むきっかけとなる恐れもある。しかし，vProの機能はパスワードを知っている管理者しか操作できないため，エンドユーザーが勝手に削除したり無効にしたりすることはできないのだ。

　「vPro対応パソコンは高い」という人がいるかもしれない。確かに，vProの構成要素となっている最新CPU「Core 2 Duo」の値段はまだまだ高い。ただし，管理者にとって魅力のある，ここで紹介したようなセキュリティと運用管理の機能のほとんどを実現しているのはインテルActive Management Technology（AMT）と呼ぶ技術で，実はこのAMTはCPUではなくチップセットに組み込まれている。つまり，CPUとしてCore 2 Duoを使っていなくても，AMT対応のチップセットを使ったパソコンなら，vProと同様の運用管理は基本的に可能なのだ。普及マシンとしては，こういったパソコンを社内で推奨するのが現実的かもしれない。