vProの匠

【匠の部屋】なぜvProはファイアウォールを簡単に突破できるのか?

vProの匠こと、牧真一郎氏
インテルが無償提供するサーバーソフトウェア「インテル EMA」では、ルーターやファイアウォールを越えて複数のWindows 10搭載PCをリモート管理できる

 テレワークが普及する中で、各企業のシステム管理者から注目を集めている「インテルvPro プラットフォーム」。そのすべてを知り尽くした“匠”こと牧真一郎氏によると、プラットフォームの優れたリモート管理機能の裏では、“ある機能”が大きな役割を果たしているという。

 連載の第5回目では「インテル vPro プラットフォーム」が、なぜファイアウォールを簡単に突破して、遠隔地にあるPCをリモート操作できるのか? その裏側に迫っていきたい。

もともとは「出張先で不具合が起きた際のヘルプ機能」だったテレワークの広がりで非常に強力な管理機能に

――前回、AMT4.0の機能について伺う中で、「このバージョンから、リモートアクセス機能(CIRA:Client Initiated Remote Access)のサポートが始まった」という話がありました。CIRAはインテル EMA(Endpoint Management Assistant)でも使われている、まさに最近のテレワーク環境向けの仕組みだと思っていたのですが、そんなに昔から使われていたんですね。

牧氏:開発当初のCIRAは「Fast Call for Help」とも呼ばれており、その名の通りに「急いで(管理者に)助けを呼ぶ」ために作られた機能です。

 AMTはTCP/IP通信を使用するため、クライアントPCをリモート制御するには、そのIPアドレスを管理者側が把握できる必要があります。つまり、会社のLANやVPNの中で使われている分には問題ないのですが、一歩その外に出てしまえば、管理者からのサポートが受けられなくなる。そこで、出張先などで何か不具合にあった時でも、ヘルプデスクからの支援を受けられるように、AMTにVPNのようなリモートアクセス機能を持たせたのがCIRAだったわけです。

――今のように管理者が積極的にリモート制御するのではなく、クライアントPCの利用者が管理者を呼び出すための機能だったんですね。具体的にはどのような仕組みで、クライアントPCが管理者側と接続しているのでしょうか?

牧氏:「ヘルプ機能」として実装された当初のCIRAでは、以下の手順で管理者がクライアントPCにアクセスします。

  1. クライアントPCが、企業ネットワーク内のDMZ領域に設置されたMPS(Management Presence Server)と呼ばれるゲートウェイサーバーに、TLSを使って接続する。
  2. MPSがクライアントPCからの着信を管理者に通知する。
  3. 管理者は管理コンソールを使用し、MPSを通してクライアントPCにアクセス。ヘルプデスク作業を行う。

 クライアントPCの利用者は何か不具合があった時、アプリケーションのヘルプボタンを押すか、「インテル MEBx(Management Engine BIOS Extension)」からヘルプ呼び出しを行います。この時、クライアントPC側からMPSに接続するため、そのPCが企業ネットワーク外にあっても、管理者はリモート接続が可能になるというわけです。さらに、MPSがDMZ領域にあるため、管理者側からは一見すると“ファイアウォールを越えてクライアントPCと接続”したような状態になります。

 なお、CIRAではクライアントPCを、定期的にMPSに接続させることもできます。インテル EMAがクライアントPCの居場所に関係なく、いつでもリモート制御できるのは、この仕組みを利用しているからなんです。

脇役だったCIRAがEMAの登場と「テレワーク全盛」で重要機能に

“技術のシンデレラストーリー”?

――なるほど、「インテル vPro プラットフォーム」の優れたリモート管理機能は、CIRAという仕組みがあったからこそ生まれたんですね。

牧氏:2019年にリリースされたインテル EMAは、先ほど登場したMPSと管理コンソール、AMT構成用のインテル SCS(Setup and Configuration Software)の3つが1つになったようなソフトウェアです。このソフトが登場したことで、会社のLANやVPNの外にいるクライアントPCを、管理者がより手軽にリモート制御できるようになりました。

 インテル EMAを使った方はわかると思いますが、電源ON/OFFだけでなく、リモートデスクトップといったvProの機能も使えますし、グループ単位で管理する機能も持っています。なにより、簡単にルーターを越えられるので、テレワークやリモートワークが重要な現代の仕事環境にとてもマッチした機能だと思います。MPSやインテル SCSを個別に設定する必要もないので、構築も以前より簡単になっています。

 インテル EMAのサーバーをクラウド上に配置することで、クライアントPCをリモート操作することが可能ですし、オンプレミスで構築すれば社内のヘルプデスク業務にも利用できます。この場合はDMZに構築する必要がないので、CIRA用にポートの転送設定だけ行えば大丈夫です。

インテル EMAの設定画面

――テレワーク全盛になったことでCIRAの仕組みが注目され、「インテル vPro プラットフォーム」に採用されて脚光を浴びるようになったと。なんだかCIRAにとってはシンデレラストーリーみたいですね(笑)。

牧氏:確かに、そう言えるかもしれません(笑)。

 他にも、インテル EMAではソフトウェアエージェント経由でAMTのセットアップを行う「Host-Based Setup」(AMT 6.2~)、企業ネットワークの内か外かを判別する「Environment Detection」(AMT3.0~)など、AMTのさまざまな機能が駆使されています。元々あった機能が巧みに組み合わされているので、そういう点ではそうした機能にとっても、「シンデレラストーリー」だったのかもしれませんね。

 また、インテル EMAにはWeb APIが用意されているので、例えば別の管理ツールのタイマー機能を使って、クライアントPCの電源を毎日決められた時間にオン/オフすることもできます。

――インテル EMAの使い方も、どんどん進化しているんですね。

牧氏:PCのトラブルはいつ発生するか分かりませんし、そのPCが管理者の手の届く場所にあるとは限りません。そのような時にも、「インテル vPro プラットフォーム」があれば、リモートでサポートを行うことができます。企業の生産性低下を防ぐうえで、導入するメリットは大きいと思いますよ。


 ……さて、ここまで匠には「インテル vPro プラットフォーム」の歴史に関する話を聞いてきた。次回からは実際に「インテル vPro プラットフォーム」を導入する際のテクニックなどについても伺っていく予定なので、お楽しみに!