非常にセキュアな在宅勤務環境を構築できる
生産性向上とセキュリティ強化を
両立させたハードウェアテクノロジー
2011/5/9
ネットワークインフラやモバイルデバイスが充実した影響もあり、ホワイトカラーの働き方が大きく変わってきている。しかし、PCの持ち出しにはセキュリティの問題もあり、警戒している企業も多い。今回は、このようなリモートアクセスに関する障害を大幅に低減できる「インテル vPro テクノロジー」を紹介する。
PCの社外持ち出しによる在宅勤務のニーズの現状は
ブロードバンドの普及により、企業におけるホワイトカラー従業員のワークスタイルは大きく変わりつつある。今日では、ネットワークがつながる環境とPCさえあれば、社内に居なくとも外出先や自宅など、あらゆる場所で仕事ができるようになった。こうしたワークスタイルを積極的に導入することで、企業は従業員の生産性向上を図ったり、あるいは在宅勤務・リモートオフィスなどといった、新しいワークスタイルを促進することが可能になった。
また、2011年3月11日に発生した東日本大震災においては、被災地から200キロ以上離れた首都圏においても、多くの企業で社員の自宅待機を余儀なくされた。そしてその際には、PCのリモートアクセスによる在宅勤務の環境を事前に運用していた企業では、業務の多くの部分を滞りなく継続できていたようだ。
しかし、PCの社外持ち出しを許可するには、紛失や盗難による情報漏えいのリスクも確実に存在する。そのため、厳しいセキュリティポリシーを採用している企業では、社員によるPCの社外持ち出しに制限を掛けていることが多い。
このように、PCの社外持ち出しによる生産性の向上と、セキュリティの強化とは、これまでは互いに相反するファクターだととらえられていた。また、旧来のセキュリティソリューションを組み合わせてセキュアなリモートアクセス環境を構築しようと思えば、高いコストが掛かるのが常だった。
しかし、こうしたリモートアクセス導入の障壁を、独自のアプローチで大幅に低減できる技術も存在する。それが、「インテル® Core™ vPro™ テクノロジー(以下、vProテクノロジー)」だ。
ハードウェアでセキュリティを担保するvProテクノロジー
vProテクノロジーは、CPUやチップセット、ネットワークチップといったPCのハードウェアプラットフォーム上に、運用管理やセキュリティ、省電力などの機能を実装する、インテルの独自技術だ。同テクノロジーのコンセプトを、同社 マーケティング本部 エンタープライズ・プラットフォーム・マーケティング ビジネス・クライアント・プラットフォーム プラットフォーム・マーケティング・エンジニアの坂本尊志氏は、次のように説明する。
インテル マーケティング本部 エンタープライズ・プラットフォーム・マーケティング ビジネス・クライアント・プラットフォーム プラットフォーム・マーケティング・エンジニア 坂本尊志氏 |
「“あらかじめ決められたことを、しっかり確実にこなす”というのは、ハードウェアが得意とする分野。そういったソリューション領域に対応した機能を、ソフトウェアではなく、PCのハードウェア上に直接実装したのがvProテクノロジーだ。もちろん、ハードウェアだけでは賄えない、細かな調整が必要な機能に関しては、別途ソフトウェアでカバーすれば良い」
例えば、システム運用管理。「クライアントPCが今どこに設置されていて、どういう状態にあるのか?」を把握するには、通常は各PCにエージェントソフトウェアを導入し、運用管理ソフトウェアからネットワーク越しに監視するのが一般的だ。しかしこの方法では、PCの電源が落とされており、OSが立ち上がっていない状態では機能しない。その点、vProテクノロジーが実装されたPCであれば、PCの電源が入っていない状態でも、ハードウェアレベルの機能でPCの状態を外部から調べることができる。あるいは、リモートからPCの電源を立ち上げることも可能だ。
こうした機能を使えば、クライアントPCの所在を常に漏れなく管理できるだけでなく、従業員がPCの電源を落として帰宅した後の深夜に、自動で一斉にウイルス定義ファイルを配布したり、あるいは「Windows Update」を実行したりできる。盗難や紛失などの物理的な脅威からPCを保護するためのセキュリティと、悪意のあるソフトウェアなどサイバーレベルの脅威からPCを守るためのセキュリティを、同時に担保できるわけだ。
万が一の盗難や紛失時にPCをロックする「インテル AT」
インテルではさらに、これらvProテクノロジーがもたらすセキュリティ上のメリットを、社外にPCを持ち出した際も有効にするさまざまな機能を提供している。例えば、2010年4月にリリースした「インテル® アンチセフト・テクノロジー(以下、インテル AT)」もその1つだ。
インテル ATは、PCの機能をハードウェアレベルでロックして無効化できる技術だ。
社外に持ち出したPCを万が一紛失してしまったり、あるいは盗難に遭った場合には、管理者からそのPCに対してネットワーク経由で機能を無効化するコマンドを発行できる。インテル ATを実装したPCがこのコマンドを受信すると、チップセットがそのPCをハードウェアレベルで無効化する。無効化されたPCは、通常の起動はもちろん、外部ディスク装置からの起動もできなくなるので、PC内のデータを確実に保護できる。
また、もしネットワークがつながらない環境へPCが持ち去られたとしても、“そのPCが管理サーバに一定期間接続しなければ、自律的に機能が無効化される”ように、あらかじめ設定しておくことも可能だ。この機能があれば、例え転売目的でPCが盗まれたとしても、「盗難犯がPCを転売しようとするころには、もうそのPCは使い物にならなくなっている」というわけだ。
もちろん、例え紛失や盗難に遭っていなくても、都合によっては、どうしてもしばらくの間ネットワークにつなぐことができないケースもあるだろう。そんな場合に、もしPCがロックされてしまったとしても、管理者が発行したワンタイムのパスコードを入力すれば、ロックを解除して再びPCの利用を再開できる。
こうした機能をハードウェア上に実装するメリットは、極めて大きい。
通常、ソフトウェアによってこれだけ高度なセキュリティ機能を実装しようと思えば、極めて大掛かりな仕組みが必要になり、多額のコストが掛かるだけでなく、運用も極めて複雑になる。しかし、インテル ATのように既にPCのハードウェアに組み込まれたものであれば、最小限の手間とコストで導入でき、かつユーザー側に特別な操作を強いることもないため、漏れなく確実にセキュリティ施策を運用できるのだ。
新たに3G回線に対応したインテル ATの最新版
さらにインテルは2011年に入り、インテル ATの機能を大幅に強化した。
その目玉の1つが、「携帯電話の3G回線網を経由してインテル ATの機能を遠隔操作できる」という機能だ。盗難に遭ったPCがIPネットワークにつながっていなくても、3G回線の電波が届く場所にあれば、管理者はSMS(ショートメッセージサービス)を経由してコマンドを発行し、PCをロックできるようになるのだ。
インテル ATの「携帯電話の3G回線網を経由してインテル ATの機能を遠隔操作できる機能」のイメージ。この機能によって、3Gの電波が届きさえすれば、リモートでPCを無効にできる |
この機能を使うには、PCにインテル AT対応の3G通信モジュールが実装されている機種を選択すればよい。
また、NTTドコモは既に2011年2月の段階で、このインテル ATの新機能を使ったセキュリティサービスの開発に着手することを発表している。これは、インテル ATとシマンテックの暗号化ソフトウェア、さらにはエリクソンの3G通信モジュールを組み合わせることで、NTTドコモの回線エリア内にあるPCをリモートから無効化できるというものだ。
坂本氏は、こうしたサービスの意義を次のように述べる。
「社外に持ち出すPCに対するセキュリティを、より強化したいと考えている企業にとっては、待望していたソリューションになるだろう」
セキュリティ・トークンの機能をPC内に実装する
「インテル IPT」
さらに2011年に入ってもう1つ、社外に持ち出したPCを保護する強力な機能がvProテクノロジーに加わった。それが、「インテル アイデンティティー・プロテクション・テクノロジー(以下、インテル IPT)」である。
これは従来、携帯型のセキュリティ・トークンを用いてユーザー認証のためのワンタイムパスワードを生成していたものを、PCのハードウェア上で実現してしまう技術だ。セキュリティ・トークンがPCのチップセットの中に埋め込まれたようなものだとイメージしてもらえれば分かりやすいだろう。
この機能は、第2世代インテル® Core™ vPro™プロセッサー・ファミリーおよびインテル® Core™ vPro™ プロセッサー・ファミリーを搭載したPCで実現される。こうしたPCを使えば、セキュリティ・トークンを携帯せずとも、社外のネットワークからVPN経由で会社のネットワークにアクセスするためのワンタイム・パスワードがPC内で発行され、セキュアな二要素認証によるリモートアクセス環境を簡単に実現することができるのだ。
これまで一般的だった「セキュリティ・トークンによるワンタイム・パスワード認証」の利用には、いくつかの課題もあったと坂本氏は指摘する。
「常にセキュリティ・トークンを携帯しなければいけないのは、煩雑であるばかりでなく、紛失や破損のリスクも伴う。トークンを万が一紛失・破損してしまった場合には、再発行に時間を要するので、その間はPCを使った作業は全てストップしてしまう。また、セキュリティ・トークンのデバイス自体の費用と運用費用は決して安くないので、それなりのコストが必要となるのも問題だ」
その点、インテル IPTを実装したPCであれば、こうしたセキュリティ・トークンにまつわるさまざまな課題の多くが解消される。セキュリティ・トークンの導入・運用に付き物のコストや手間を省きつつ、特定のPCからのみリモートアクセスを許可するワンタイムパスワード認証が実現できるようになるのだ。
セキュアな在宅勤務環境の構築に有用な
vProテクノロジー
ここまで見てきたように、vProテクノロジーは、社内にあるPCの管理に役立つ機能はもちろんのこと、社外に持ち出したPCのセキュリティ確保や運用管理の効率化に役立つ機能も、着々と強化しつつある。
また、2010年から2011年にかけて次々と発表されたインテル ATやインテル IPTといった新技術は、これまでセキュリティ上の観点から生産性を犠牲にしてでもPCの社外持ち出しを制限してきた企業にとっては、一種のブレイクスルーと言っても良い技術だろう。坂本氏も、次のように述べる。
「2006年の登場以来、vProテクノロジーが育んできたPCのセキュリティや管理性の向上といったユーザーメリットを、社内だけでなく社外の環境でも享受できる技術が、2011年になって一通り出そろった。やはり、社外の環境で生産性を落とさずに仕事をするには、社内で使っているPCをそのまま持ち出せるのがベスト。その際にセキュリティを担保するためには、PCのハードウェアそのものに直接セキュリティ機能を実装するvProテクノロジーの方法が、非常に有効だろう」
今後も、社員の生産性の向上や新しいワークスタイルへの対応、さらには災害時の事業継続性確保のために、在宅勤務環境の整備を検討する企業が増えてくることだろう。その際には、従来のようなソフトウェアによる方法だけでなく、ハードウェアの機能でPCを確実に保護するvProテクノロジーのソリューションにもぜひ着目してみてはいかがだろうか。
関連リンク
提供:インテル株式会社
アイティメディア営業企画/制作:@IT 編集部
掲載内容有効期限:2011年6月8日
関連リンク
関連記事
- 紛失・盗難PCを無効化する「インテルAT」 (@IT Special)
- 累計出荷は5500万台へ、インテルがvProの浸透アピール (@IT Newsinsight)
- インテルが提案する次世代の自動販売機 (@IT MONOist)
- 2010年版vProで企業のPC投資復活を狙うインテル (@IT Newsinsight)
- BTOで培ったノウハウを組み込み用カスタマイズPCに (@IT MONOist)
- 盗難PCを追跡して回収、Computraceが日本上陸(@IT Newsinsight)
- 遠隔操作で管理コストを大幅削減、新vProが発表(@IT Newsinsight)
- インテル、vProにセキュリティ機能など追加(@IT Newsinsight)