運用管理とセキュリティ管理の両方に効く「McAfee ePO Deep Command」：OSよりも深いところからリモート管理

マカフィーの統合管理ソリューションとインテルのハードウェアを組み合わせ、電源のオン／オフも含めたさまざまな操作をリモートからも行える「McAfee ePO Deep Command」は、セキュリティレベルの向上に加えエンドポイントの自動管理を実現し、企業全体での省電力化とTCO削減にもつながるという。

　セキュリティ企業として知られるマカフィーだが、実は2011年（日本では2012年8月より提供開始）から、日常的なIT運用管理を支援する興味深いソリューションを提供している。マカフィーの統合管理ソリューションとインテルのハードウェアを組み合わせ、電源のオン／オフも含めたさまざまな操作をリモートからも行える「McAfee ePO Deep Command」だ。セキュリティレベルの向上に加えエンドポイントの自動管理を実現し、企業全体での省電力化とTCO削減にもつながるという。

ITシステム部門の負荷、ユーザーのストレス

　「何やらPCの調子がおかしい。正常に起動しないのだが、様子を見てもらえないだろうか」――企業のITシステム部門にそんな問い合わせが入ると、たいてい、そのつど誰かがユーザーのいる場所まで足を運び、PCの状況を確認することになる。しかしIT担当者にとってこれは、なかなか煩わしい作業だ。移動してPCの状況を確認し、修復作業を行うのに費やす時間やコストは、1つ1つは小さくても積み重なれば膨大なものになる。

　一方ユーザーにとっても、PCが使えない状態というのは仕事をまったく進められない状態に等しく、ストレスの溜まるものだ。仕事に必須のツールであるPCは、必要な時にいつも使える状態にしておいてほしい、それが当たり前の希望ではないだろうか。

　だがそんなユーザーの要望が、事態を悪化させ、ちょっとした悲劇につながることもある。調子の悪いPCを無理矢理自力で直そうとして重要なシステムファイルを削除してしまい、システム修復すらできない状態に陥ってしまう――そんな苦い体験談を聞いたことがある人もいるのではないだろうか。

　しかもITシステム部門には、「ユーザーがいつでも使える」状態を維持するという使命が課せられていると同時に、セキュリティレベルを保っていくという大事な役割も負っている。次々と高度な脅威が登場しているいま、OSのパッチやウイルス対策ソフトを最新の状態に維持しておくことは、ユーザーを保護し、企業の重要なデータを守るためにも必須の対策だ。だが、世界各地に散在するすべてのPCで、常に最新の状態を維持し続けていくことは現実的には難しい。

ePO Deep Commandが提供する3つの機能

　ITシステム部門を悩ませるこうした課題を解決できる運用管理ツールが、「McAfee ePO Deep Command」だ。マカフィーの統合運用管理ソリューション「McAfee ePolicy Orchestrator（ePO）」を拡張するとともにインテルのハードウェア技術を活用して実現された、統合運用管理ソリューションである。

　具体的には、Intel Active Management Technology（AMT）をサポートしたIntel vProプロセッサ搭載PCへのアクセスを提供する。OSが正常に動作していなかったり、電源が入っていない状態のPCでも、ePOを介してリモートから起動し、指定したさまざまな処理を実行できる。シグネチャファイルのアップデートやウイルススキャンなどのセキュリティタスクの実行が可能だ。

図1　OSの範囲を超えた管理を実現するMcAfee ePO Deep Command

　米マカフィーのテクニカル・ソリューションズ ディレクター、ブルース・スネル氏によれば、McAfee ePO Deep Commandが提供する機能は主に3つに分けられるという。

　1つ目はPCの電源コントロールだ。ローカルネットワーク上の端末に対してダイレクトに行うことも、リモートからの指示も自由自在。さらに、「AMTアラームクロック機能」を用いれば、あらかじめ定めたスケジュールに従ってオン／オフを制御することもできる。

　2つ目はリモートからの修復作業だ。対象システムに障害が生じて起動が困難な場合には、ネットワーク上の.ISOイメージからリモートブートを実行し、調査や修復などの作業を安全に実行できる。イメージにはネットワークアダプタも内蔵されているため、仮にユーザー自身の操作ミスでネットワーク関連の設定を消去してしまった場合でも、リモートから接続を復旧させ、システム修復作業が可能だ。Intel AMTというハードウェアのテクノロジを利用するため、たとえ電源が入っておらず、ソフトウェア的には到達できない場合でも作業が可能なことが特徴だ。

　3つ目は消費電力の削減である。平均的なデスクトップPCの消費電力は125ワット、ラップトップPCでも35ワット程度だが、これらの電源を適切にオフに切り替えることで、企業全体の電力コストを削減できる。「ちりも積もれば山となる」ということわざの通り、インテルの試算によれば、2万5000台のPCがあるシステムならば、McAfee ePO Deep Commandを利用して夜間や休日の電力オフを徹底することで、年間50万ドル分のコスト節約になるという。

Intel AMTの活用で初めて実現できたソリューション

　もちろん市場にはほかにも、管理者による操作を可能にするリモートコントロールソフトウェアは存在する。しかしその多くはあくまで「アプリケーション」として動作する。つまり、OSが正常に動作している状態を前提とするものだ。

米マカフィー テクニカル・ソリューションズ ディレクター、ブルース・スネル氏

　ところがトラブルの多くはそのような事情にはかまわず、さまざまな階層で発生する。OSよりも深いレベルでの障害となるとお手上げだ。

　その点McAfee ePO Deep Commandは、インテルのAMT技術を活用し、ハードウェアレベルで接続を行える。たとえ起動前の状態、あるいはOSが正常に動作していないような状態でも、OSよりも下の層から遠隔操作が可能だ。マルウェア感染などのおそれがある場合や、システムに致命的な障害が発生している場合でも、リモートからBIOS画面を操作してシステムイメージをブートし、復旧作業を行える。

　これは、Intel AMTがオンボードで実装されることによって初めて実現できることだ。ハードウェアに組み込まれたIntel AMTは、「OSの状態に左右されることなく常に『オン』の状態となっており、『OSの範囲を超えた管理』を実現できる」（スネル氏）。これこそがMcAfee ePO Deep Commandの最大の特徴といえる。

PC運用管理の徹底がセキュリティの強化に

　ここまでの説明を聞いて、「どうしてセキュリティ企業のマカフィーがこんな運用管理ソリューションを？」という疑問を抱く方もいるかもしれない。

　そもそもPCの運用管理、中でもパッチの適用やシグネチャファイルのアップデートは、セキュリティ対策の基本中の基本。管理者にとっては切っても切れない重要なタスクだが、その負荷は少なくない。

　マカフィーもたびたびセキュリティアラートを出して指摘しているように、われわれを取り巻く脅威はどんどん巧妙化、高度化している。この状況でマルウェアのまん延を防ぐには、最新のシグネチャをいかにすばやく配布するかが対策の鍵を握る（もちろん、多層的な防御が前提となるため、これだけがすべてではないが）。

　だが、グローバルすべての地域で同時にアップデートを行えるかというと、現実には時差や地域ごとの運用の違いもあって困難だ。数千台、数万台とあるPCの中には、電源が入っていない状態のものも少なくない。

　「ウイルス作者は待ってくれない。事前にスケジュールを立てることはできない。いつ来るか分からない脅威に対し、必要に応じてスリープ状態のシステムを起動し、アップデートできる仕組みを整えておく必要がある」（スネル氏）。

　こうしたケースで有用なのが、McAfee ePO Deep Commandとインテルのアラームクロック機能、リモートウェイクアップ機能との連携だ。「『あらかじめ指定した時間にPCを起動させ、最新のシグネチャファイルをダウンロードしてフルスキャンを実施し、その後電源をオフにする』といった処理を、人間の手をいっさい介在させることなく実現できる」（スネル氏）。

図2　McAfee ePO Deep Commandが可能にする新しいセキュリティ運用

　ユーザーにとっては、日中仕事中にウイルススキャンが始まって、作業が妨げられるのはできれば避けたい。この仕組みを活用すれば、定義ファイルのアップデートとシステムのフルスキャンという比較的負荷の高い処理を夜中にスケジュールすることで、ユーザーの生産性も妨げずにすむ。しかも、IT管理者の作業負荷を減らし、かつセキュリティレベルを保つことができるという、一石三鳥の効果を生み出す。

　スネル氏によると、米国では、入退室管理システムとMcAfee ePO Deep Commandを連携させているユニークな事例もあるという。社員証を示してオフィスに入館すると、ePOがそれを検知してPCを起動させる。ユーザーがエレベーターを降りて部屋に着く頃には起動が終わって準備万端の状態となったPCが待っている、という形だ。

KVMフルサポートやエンドポイント暗号化との連携も

　2012年11月末には、インテルAMTの設定を支援し、プロビジョニング機能の簡素化を図るなど機能を強化した新バージョン、「McAfee ePO Deep Command 1.5」をリリースした。

　新バージョンではKVM（Keyboard-Video-Mouse）機能をフルサポートし、リモートからキーボードやマウス、画面を制御できるようになった。「電話を使って口頭で指示するだけでは難しかった作業も行える。ヘルプデスク担当者にとってとても有用なソリューションだ」（スネル氏）。

最新バージョンの1.5ではKVMの遠隔操作もサポート

　また、同社のエンドポイント向け暗号化製品「McAfee Endpoint Encryption 7.0」との統合も実現している。パスワード認証に基づいてディスクを暗号／復号するエンドポイント暗号化は、情報漏えい対策の観点から重要な役割を果たすが、障害が発生したとき、あるいはリモートからのアップデートを行いたいときなどには「障壁」ともなっていた。

　McAfee ePO Deep CommandとMcAfee Endpoint Encryption 7.0が連携することで、この課題も解決できる。具体的には、プリブート時に認証を経なくても、Intel AMT経由でPCを起動することで、安全性を保ちながらシステムを起動し、アップデートなどの処理を実行できるようになった。リモートから暗号パスワードのリセット処理も行えるようになるなど、安全性と利便性を両立できる仕組みが盛り込まれている。

グリーンとクリーンセーフを両立

　「McAfee ePO Deep Commandを利用すれば、リモートからPCに安全にアクセスし、ポリシーに応じて毎日でもアップデートすることができる。負荷を減らすという意味でITシステム部門にとって有用なだけでなく、セキュリティ担当者にとっても重要なことだ。毎日すべてのマシンで、ユーザーに負担のかからない時間帯で、最新の定義ファイルを用いてスキャンを実行できる」（スネル氏）。

　しかも同時に、環境への負荷を減らし、省電力に役立ちながらTCO削減を実現できる。「マカフィーはセキュリティ企業としてセキュリティの向上に貢献するのはもちろん、環境にも寄与していきたい」とスネル氏は述べる。企業IT管理者にとって頼もしいツールといえるだろう。

全体最適の視点でセキュリティ対策を再構築

提供：マカフィー株式会社
アイティメディア営業企画／制作：＠IT 編集部／掲載内容有効期限：2013年2月20日