vProのツボ

vPro搭載dynabookで「最新に更新しているつもりだった…」を無くしていく、既に800台を導入した「攻めのセキュリティ」とは?

vPro、Intune、ゼロトラストで、エンジニアが開発に集中できる環境を

 企業の健全な経営において欠かせないのが、会計処理。財務、税務に関わる法律の変更や新たな制度の追加などは毎年のようにあり、常に最新の知見をもって当たらなければならない。1つのミスが企業の信用にも影響してくることから慎重さも求められる、繊細で複雑かつ困難な業務だ。

 栃木で創業し、55年の歴史を持つ株式会社TKCは、主にそうした企業の会計処理などを担う全国の税理士・会計事務所、あるいは地方公共団体の業務を支援するシステム開発を担っている。多様な顧客に迅速にシステム、サービスを提供するため、2000人を超える全従業員のうち実に4割以上をエンジニアが占める。

 同社は2020年、そのエンジニアらが使うPC約800台を、インテル vProプラットフォーム搭載の「dynabook」に置き換えた。時には負荷の大きい処理を繰り返し何度もこなさなければいけないエンジニアにとって、PCのパフォーマンスの高さは生産性に関わる最重要ポイントの1つ。一方で、企業としてはパフォーマンスだけでなくセキュリティの高さや管理面の効率の良さも考える必要がある。そこで同社がvPro搭載PCを選んだのには、どんな狙いがあったのだろうか。

デスクトップPCに引けを取らない性能を見せたvPro搭載ノートPCへ移行

株式会社TKC 栃木本社 システムエンジニアリングセンター IT投資企画部 部長 金森直樹氏

 TKCでは以前から、営業部門のように移動することの多い部署の従業員はノートPCを、エンジニアはデスクトップPCをそれぞれ利用していた。エンジニアがデスクトップPCを選んでいたのは、ひとえにパフォーマンスの問題からだ。

 システム開発を行ううえでは大容量データを扱うことも多く、それをストレスなく処理してテストを繰り返すには、ストレージやメモリーの容量が十分にあり、プロセッサーが高いパフォーマンスを備えていることが必須だった。「ノートPCは遅いだろうという先入観もあった」と、同社で業務環境の整備などを担当する金森氏は語る。

 しかしながら、デスクトップPCだけでは普段の業務において不都合に感じる場面も少なくなかった。たとえば、エンジニア自身が会議などで資料を映し出したり、共有したりする必要があるときに、自分の座席に置いてあるデスクトップPCを会議室に持って行くわけにもいかない。かといって、持ち運んで使えるようにもう1台ノートPCを導入するのは、コストと管理の両面から合理的とは言えないだろう。

 そこで同社はメーカーに相談し、エンジニア向けにvProプラットフォーム搭載ノートPCを試験的にまずは数台だけ導入。コロナ禍に突入してテレワークの動きが強まったこともあり、デスクトップPCからノートPCへの全面移行を決断した。世界的なプロセッサー不足に悩まされつつも、2020年から2021年にかけて導入したdynabookは800台という大規模なものになった。

エンジニアでも起きる「最新にアップデート済みのつもりだった…」生産性を高めるインテルAMT

 懸念の1つだったノートPCのパフォーマンスについては、検証段階でdynabookが期待するパフォーマンスを十二分に発揮できることを確認。それまで使用していたIntel Core i7搭載デスクトップPCと遜色のない処理速度を実現しているとエンジニア自身が納得できるものだった。本体ディスプレイは大きくないものの、外部モニターを接続してデスクトップを拡張するのが容易で、何より会議室などに持ち運びやすく使い勝手に優れるところが大きい、と金森氏。

TKCがおよそ800台導入したvPro搭載の「dynabook S73」。13.3インチ液晶と高い堅牢性を備えつつ使いやすさにこだわったスタンダードモデル

 テレワークが本格化するという業務環境の大きな変化についても、2018年頃から東京オリンピックに向けて都が進めていた「2020TDM推進プロジェクト」に取り組んでいたため、比較的スムーズに移行できたという。

 こうしてPC環境やネットワーク環境が整ってきた今、いよいよ「vProの価値が高まるステージにきた」と同氏は力を込める。vProの価値とは、すなわち「インテル AMT(アクティブ・マネジメント・テクノロジー)」をはじめとするインテル vPro プラットフォームならではの機能を利用できることだ。

 同氏が最も注目しているのは、インテル AMTによって、リモートからでもエンジニアが利用するノートPCを容易に制御・管理できる点だ。ノートPCの電源がたとえオフであっても、遠隔からアクセスして電源をオンにしたり、OSを再起動したり、BIOSなどハードウェアに近いレベルを含めた各種設定を施すなどの対処が可能になる。

 こうした仕組みにより、在宅勤務でエンジニアそれぞれが別々の場所にいるような現在の状況でも、管理部門がPCのアップデートをしっかり行い、セキュリティに対する備えを万全にできる。

 技術に明るく、リテラシーが高いエンジニアであっても「そのPCの専門家」ではない以上、「本人が最新にしているつもりでも、機種固有のファームウェアなど細かい更新パッチが抜け落ちていたりすることがある」と金森氏は説明する。

 エンジニアが分かりにくい設定に時間をかけることなく、自身の業務に集中し、生産性高く開発を進めていけるという意味でも、管理側でPCを確実に最新の状態にできるのは大きなメリットと言えるだろう。

ゼロトラスト化とMicrosoft Intuneによるデバイス制御を推進

 エンジニアにとってパフォーマンスは妥協できない要素だが、税理士事務所を通じ、財務という企業の根幹を支えるシステムを提供している同社にとって、あらゆることに優先するのはセキュリティだ。

 同社では数年前から社内システムの見直しを進めており、「従来使っていたオンプレミスの環境から、クラウドを活用した環境へ移行している段階」にある。テレワークが広がったことで、クラウド利用の有効性はより高くなると見ている同氏だが、クラウド環境を安全に利用するには、より高いセキュリティが求められる。そこで大きな役割を担うのが「ゼロトラストモデル」だ。

 ハードウェアからファームウェア、OS、そしてアプリケーションやネットワークに至るまで、あらゆるレイヤーにおける防御が可能になっていなければ実現できないゼロトラストモデルでは、まずそれらすべてのベースとなるハードウェアが高いセキュリティを達成できていることが前提になる。

 その点、TKCが導入したdynabookでは、インテル vPro プラットフォームが持つ「インテル ハードウェア・シールド」を利用できる。BIOS(UEFI)などをターゲットにした攻撃や、ランサムウェアなどの不正なプログラムのリスクを抑え、OSの安全な利用を実現する。さらに、ハードウェアレベルの仮想化によってユーザー認証などにも関わるデータを保護するとともに、セキュリティソフトウェアのパフォーマンスを高めることも可能だ。

 同社では、強力なセキュリティ保護を担保するvPro搭載デバイスを基盤とし、統合的なモバイルデバイス管理(MDM)を可能にするクラウド型サービス「Microsoft Intune」も活用、それらの結果として、安心して使えるゼロトラスト環境を構築している。現在は、リモートから社内外に散在するノートPCの制御や、インストールしているアプリケーションやアップデートの管理を確実に行えるよう、さらに進んだ設定を進めているところだ。

vPro、InTune、ゼロトラスト化……そして進める「攻めのセキュリティ」「重要なのは先手を打つこと」

 vProが持つハードウェアレベルのセキュリティ保護、Microsoft Intuneによる厳格な制御、それらを基盤としたゼロトラスト化。これら3つの要素を組み合わせることで、2022年にはエンジニアそれぞれが自宅ネットワークや公衆Wi-Fiを利用して社内システムにアクセスする場合でも、高い安全性を維持しながらテレワークできる環境が実現する。

 しかもTKCでは、そのようなハードウェアやソフトウェアの機能だけに頼っているわけではない。金森氏は日々アンテナを高く張り、従業員が知っておくべき最新の業界事情やセキュリティ情報などさまざまな情報をかき集め、社内のあらゆるチャネルで「先手を打って」発信している。

 いくらPCやネットワークの環境を万全にしても、それを扱うのは人間だ。十分な知識を身に付けていなければ誤った使用方法で隙をつくってしまいかねない。可能な限り早いタイミングで重要な情報を社内に広げることで、ハードウェア・ソフトウェアの機能とあわせ、より強固な「攻めのセキュリティ」につながる、と同氏。それとともに、TKCのシステムが支える日本全国の企業の経営も、より強靱になっていくに違いない。


 テレワークの普及に伴い、仕事におけるPCやITの活用方法、セキュリティ対策などが大きく変化しています。その中で、様々な疑問、悩み、ストレスが生まれていると思います。

 僚誌PC Watchでは、みなさんのそうした仕事におけるセキュリティやITの困りごと、ボヤキ、質問を大募集しています! 下記フォームから投稿いただいた方の中から、アマゾンギフト券2000円分を毎月抽選で5名様(4~10月の毎月末に抽選。当選者の発表は景品の発送をもってかえさせていただきます)、採用者には同5000円分(同内容の投稿が多数の場合は採用者の中から抽選で1名様。募集期間は10月31日まで)をプレゼント。

 「テレワークで自宅から会社のPCの電源を入れるにはどうしたらいいか?」、「社員が利用するアプリを制限するにはどうしたらいいか?」など、企業でPCを管理/運用するうえで困っていることや、知りたいことなどを募集します。

 現場で頼りにされている「パソコンおじさん」や「とにかくやる」ことになってしまった新入社員のとまどい、大企業・中小企業のIT担当者、さらにはIT投資担当や経営者のボヤキまで、なんでもどうぞ。

 いただいたご質問に対して、後日、ウェビナーや記事の形式にて、インテルの担当者の回答を元に提案をご紹介していきます。