トピック
vProの疑問を人気記事で解決!「vProの読み方」から遠隔ブルスク対応の実力、EMAの初期設定などを「達人」にきいてみた
現場の情シスも、経営層もバッチリわかる「vProのツボ」
- 提供:
- インテル株式会社
2025年3月19日 06:55
vProに必要な情報とは?「情シス」「経営層」別にまとめてみた
現場の情シスには「リモートでトラブル対応ができる強力なツール」として、経営層には「セキュリティ向上やビジネスチャンス拡大のツール」として知られているインテル vPro プラットフォーム。
「大企業での導入が進んでおり、今後は中小企業での導入も進めていく」(インテル)というvProだが、経営層と情シスでとらえ方がまったく違っているように、なかなか全体像が把握しにくい。
そんなvProの悩みの種は「情報源が少ないこと」。これは、管理やセキュリティ、ネットワークなどの重要部分に関わる部分が多く、導入事例を公開するとリスクになってしまう、というのも一因だ。
そこで今回は、先日インタビューを掲載した「vPro友の会の中の人」に、「vProのポイント」をお伺いした。
基本的には「BIOS画面やブルースクリーンでも操作できる遠隔操作や電源オン、それらをコアとした強力な管理機能」とまとめられるvProだが、「vPro友の会」にまとめられた多彩な技術情報と、本誌の人気記事をもとに、vProのポイントがどこにあるか、「現場の情シス」と「CIO/CTOなどの経営層」別に聞いてみた。聞き手は本誌の鈴木編集長。
ちなみに、お話をお伺いした「中の人」は、「vProの導入システムは100近く、導入台数は数十万台に及ぶ」という達人。「vPro友の会」の成り立ちや、「中の人」の活躍ぶりは先日の記事を参照のこと。
立場によって違う「vProのいいところ」
経営層向け
- 大規模ブルースクリーン発生!「遠隔で回復できるか、現地を回るか」は大きな違い
- 中小企業も狙われる時代、「OSより下」も防御するvProとSecured-Core PC
- vProを使ってフルリモート業務を構築、~セキュリティベンダーでの採用例
- IT資産管理ツールもvPro対応、資産管理とトラブル対応が一体化
情シス向け
- 初期設定のやり方は………
- 初期設定はUSBメモリでも可能、「手入力のミス」を回避する方法
- vProのPCは2つのIPアドレスを持てる!「OS用」と「AMT用」
- PowerShellでも操作OK、vPro PCげ目覚まし時計に!?
- どんなツールがあるの?
- そもそも、なぜこんなことができるのか?~vProの仕組み
最後のポイントは「vPro搭載PCをどう買うか?」
立場によって違う「vProのいいところ」現場は「リモートでのトラブル対応」、経営層は「セキュリティの高さ」
[鈴木]まず、現場のエンジニア、経営層、PC利用者のそれぞれにとって、そもそもvProの何が便利か、改めて教えてもらえればと思います。
[中の人]エンジニアとPC利用者は、現場ということで表裏一体の部分がありますね。
INTERNET Watchの記事になったもので、サイバーディフェンス研究所の事例は、今までできなかったことをできるようにしたケースでした。コロナ禍でお客さんのところでのぺネトレーションテストができなくなったのが、vProのAMTによって、完全リモートでできるようになり、業務が継続できた、というものです。
また別の事例では、コロナ禍で在宅勤務になった中で、社員のPCのSSDを暗号化していて、その起動前認証を何回も間違えてロックされてしまったというのもあります。通常、現地で直接触ってロックを解除しなければなりませんが、vProを使えばリモートで解除できた。いまや仕事でPCが使えないと致命的ですからね。
あとは、前編でも話に出たWindows Updateやソフトウェアのパッチ問題もありますね。なにかの理由でパッチが当たっていないPCはしばしば出てしまいます。それをvProで確実に当てられるようにします。
そのほか、ホテルのフロントやコールセンターなどのデスクトップでもvProが多く使われています。そういう場所で、時間外のメンテナンスや、営業時間を避けたWindowsのアップデートの実行などでベネフィットがあります。
増えるサプライチェーン攻撃に対してvProを!
[鈴木]なるほど、現場についてはメリットが明確ですね。では経営層に対してはいかがでしょうか。
[中の人]経営者層については、最近多くなったのは、やはりセキュリティの問題ですね。
特にサプライチェーン攻撃が増えてきて、とにかく安全なPCを、という声が出るようになりました。そのとき、マイクロソフトのSecured-Core PC要件にきちんと準拠したようなものが欲しいということで、vProを選択されるケースが多いかと思います。
ただ、若干なりともお値段は変わってくるので、より高いセキュリティのための投資として見合うかどうかは、業種や企業規模によって判断が違ってくるかと思います。
あるミッションクリティカルな現場では、業務時間内にPCを使えなくなる時間や、情シスの残業時間を算出し、それを何回やるとこのぐらいの逸失利益が発生します、ということを会社にプレゼンして予算を獲得した、という例も拝見しています。
[鈴木]ちなみにSecured-Core PCとvProの関係ですが、vProのPCはほぼ100%、Secured-Core PCと考えていいのでしょうか?
[中の人]はい。基本的に準拠していますし、Secured-Core PCが要求してない部分までカバーしています。
[鈴木]なるほど。メディアとして見ていて、特に去年ごろからセキュリティ意識が顕著に変わってきたと思っています。Secured-Core PCは2019年に発表されましたが、そのときは読者の反応もそっけなかったんですね。それが去年ぐらいからSecured-Core PCが認識されて、少しずつ読者に響いている感触があります。
[中の人]それはSecured-Core PCだけでなく、おそらくvProについても言えるんじゃないかと思います。
やはりいちばん大きいのは境界型防御からゼロトラストへの移行ですね。
今では大きな企業でもAzure ADとMicrosoft Intuneによりゼロトラストで管理するのが普通になってきています。そうなると、次はデバイスのセキュリティを上げないと、ということになります。
[鈴木]あとは利用者側からすると、情シスがしっかりセキュリティアップデートに対応してくれるようになると楽、ということも出てくるんですかね。
[中の人]そうですね。いかに業務を邪魔しないように適用するかというところですよね。私も含めてエンドユーザーっていうのは勝手なもので、知らないうちにやっといてくれっていう人たちですから(笑)。そういうところでvProが支援しているところはあると思いますね。
【経営層向けの人気記事】大規模なブルースクリーン発生!「遠隔で回復できるか、現地を回るか」は大きな違い
[鈴木]ここからは、vProの人気記事をもとに、具体的な「vProのツボ」を見ていきたいと思います。
最初は、経営層の方が気になっているだろうな、というこの記事から。
タイトルは「インテルEMAでクライアントPCの管理を行う(トラブルシューティング編)」ですが、内容は「ブルースクリーンをリモート操作で回復する方法」といったものですよね。これ、2024年7月の世界的なブルースクリーンの話なんですね。
[中の人]はい、ブルースクリーンが出てしまうようなエラーは、普通、 そのPCを直接触らないと修復って難しいんですよね。OS起動時に最初に読み込むドライバーが悪さをしているので、起動するところから変えないといけない。
手元にあるなら、簡単なことでも、遠隔地にあったり、しかも何ヵ所もの拠点に分散していたりすると、移動するだけでも大変です。それがvProならリモートKVMの機能を使い、遠隔で修復できる、という解説です。
この記事では、回復メニューを使って、問題を起こしているドライバーを読み込まないようにセーフモードでWindowsを立ち上げて、問題を修正してリブートできるようになる流れを説明しています。
さらに、回復メニューに入れない場合でも、リモートKVMでISOイメージをマウントし、そのISOイメージから起動する、ということも説明しています。AMTのUSBリダイレクトという機能です。軽量版Windowsである「Windows PE」のISOイメージを用意しておいて、それを管理側の端末で読み込んで、ネットワーク越しに向こう側のマシンで強制マウントするっていうことをしています。
[鈴木]リモートマウントの機能は僕も気になってたんですが、ここまで解説しているのは珍しいですよね。だからこそよく読まれてるんだろうと思います。
[中の人]リモートのクリーンインストールといえば、このやり方なんですよ。「にっちもさっちもいかなくなったときは、Windowsを書き換えてしまえ」ということで。
ちなみに、通常のWindowsのインストーラーではイメージが大きすぎて、インターネット経由で送ろうとすると10時間以上かかってしまいます。
【経営層向けの人気記事】中小企業も狙われる時代、「OSより下」も防御するvProとSecured-Core PC
[鈴木]次はvPro友の会ではなく、本誌に掲載した、インテルとマイクロソフトのセキュリティに関する対談です。
これは結構、反響がありました。
[中の人]OSは、基本的に「ハードウェア」を信用してブートしますが、そのハードウェアが何かに感染してしまっていると、通常のOSの防御が成立しなくなってしまいます。だからきちっと、PCのコアの部分を安全にしましょうというのがSecured-Core PCやvProの発想です。
[鈴木]OSのベンダーはここからここまで、ハードウェアのベンダーはここからここまで、ちゃんとやりましょうということですよね。
[中の人]vProのPCは、マイクロソフトさんの提唱するSecured-Core PCに準拠していますし、それに加えてvProならでは防護策やセキュアさを担保するための製造規定がありますので、「vProのPCを買っていただければ、箱から出してきた瞬間からハードウェアセキュリティで守られている」という状況になっています。
IT管理者が設定しないとその機能がオンにならないわけではなくて、vProを買ってくれば、その時点で、PCのUEFIやファームウェアの部分からOSまでのセキュリティが担保されるわけです。より現場のITリテラシーに頼らないセキュリティ対策が言えるんだろうと思います。
この記事は3年近く前のものですが、昨今のランサムウェア騒ぎではまさしく中小企業から大企業まで幅広く狙われてしまう事態になっています、PCの側としても、こうした事態に備えて既に仕組みが準備されている、ということですね。
【経営層向けの人気記事】vProを使ってフルリモート業務を構築~セキュリティベンダーでの採用例
[鈴木]次も本誌の記事で、さきほども話に出た、サイバーディフェンス研究所にペネトレーションテストのスゴさを聞く記事がけっこう読まれています。
これはペネトレーションテストがスゴいという話はもちろんなんですが、vProが活躍してるというのが面白いところです。これの導入にも関わられたんでしょうか?
[中の人]いや。とあるところでサイバーディフェンス研究所の人と話をしていて、「そういえばうちのチームでvPro使ってるんだよね」って言われて、「え、マジですか?」って(笑)。
そのときにも「なんでこんなに情報が少ないの」と怒られるパターンでした(苦笑)。
[鈴木]なるほど。コロナ禍において、リモートでvProをいかに活用するかという、特徴的な事例だと思いました。
[中の人]ちなみに、さきほどWindowsの場合はリモートからOSイメージをマウントするのにWindows PEでないと大きすぎるという話をしましたが、この事例はOSがLinuxなのでカーネルが小さくて、リモートからOSをマウントして使うのにも相性がよかったようです。
【経営層向けの人気記事】IT資産管理ツールもvPro対応、資産管理とトラブル対応が一体化
[鈴木]そのほか、CTOなどの方が気にする部分で言うと、IT資産管理ツールの話でしょうか。
IT資産管理ツールの「QND」がvProに対応していることをお話しいただいた回も人気でした。IT資産管理ツールでvPro対応することで、どういうことができるんでしょうか?
[中の人]そうですね。IT資産管理ツールの画面から、端末の電源ON/OFFやリモート操作の立ち上げができるようになっているものが多いですね。
つまり、遠隔管理をしている際に、ちょっと電源やBIOSを操作したい、といったことが可能になっています。
IT資産管理ツールでは、ソフトウェアのインストール状況やパッチの状況などを管理していると思うのですが、そこで「パッチがうまく入らない」といったトラブルが起きた際、BIOSでも再起動でも、なんならブルースクリーンが起きても対応できるのが強みですね。そこまでのトラブルはあまり起きないとは思いますが、「そのリスクがあるから、念のため……」と思った方は多いんじゃないでしょうか。
IT資産管理ツールはたくさんありますが、この記事で取り上げているクオリティソフトさんの「QND」はもちろん、Skyさんの「SKYSEA Client View」やハンモックさんの「AssetView」など、かなりのツールがvProに対応しています。
インテルさんのツールは、vProの機能そのものを利用するにはいいのですが、こうしたツールを使うことで、より立体的にvProの機能を使えます。
【情シス向けの人気記事】初期設定のやり方は………
[鈴木]ここまでは経営層やCIOなども見る記事でしたが、ここからは現場エンジニア向けの記事です。
まずいちばんよく読まれている記事が「インテルAMTのプロビジョニングについて」だそうですが、どのへんがポイントでしょうか。
[中の人]プロビジョニングの最初のところですね。これも結局、ちゃんと説明されたものがあまり無かったからなんですよね。
この作業って、慣れるとどんどんいけますけど、最初の概念がわからない時は、ちょっとつまづきやすい部分です。
「Admin Control ModeとClient Control Modeって何?」 とか、「Remote ConfigurationとHost-based setup and configurationで何が違うの?」とか。
できることが強力な上、新しい概念や用語が多いので、皆さんご覧になるんだと思います。
[鈴木]すると、vProを入れるときの手順書のような感じでしょうか。
[中の人]そういう使い方ができるように掲載しました。ちゃんと体系立てて、原理原則から、どうやったら動くかのところまで、一通りやろう、ということで企画した経緯があります。
【情シス向けの人気記事】初期設定はUSBメモリでも可能、「手入力のミス」を回避する方法
[鈴木]次も初期設定で、「インテルAMTのHost-based setup and configuration」ですね。僕はHost-based setup and configurationってやったことがないので、説明をお願いします。
[中の人]Host-basedというのは、名前のとおり、サーバーからではなくホスト(この場合はvProを搭載する端末PC)の上で完結するということです。
プロビジョニングするときにキーボードから手入力することもできますが、たとえばキーボードがASCII配列になっているのに気付かずにパスワードを入力した結果、想定したパスワードとは違うパスワードになってしまい、パスワードが分からなくなってしまう、というトラブルが起きています。
そこで、より手軽にプロビジョニングできる方法として、USBメモリを使って設定を流し込むのも一つの手ですよ、という話です。
Admin Control Modeと比べると制限がいろいろありますが、まずは最低限の電源管理の部分は動くので。こういう手軽な方法もありますよという紹介ですね。
【情シス向けの人気記事】vProのPCは2つのIPアドレスを持てる!「OS用」と「AMT用」、初期設定はどうするか?
[鈴木]次に初期設定で人気なのは、マニュアルセットアップの記事ですね。
[中の人]これは、AMT SDKのツールを使って、細かい設定をする記事です。たとえば、固定IPでOSと同じIPアドレスを使いたいときに、通常の画面からは設定できないので、このツールを使うという話です。
[鈴木]そうした固定IPでのニーズもあるんですね。
[中の人]いや。以前はありましたが、最近はあまりないです。この記事はどちらかというと、リファレンスマニュアルのように、いろいろな設定を網羅しようという意図で書いたものです。
[鈴木]なるほど。それでも見ている人がけっこういるんですね。
[中の人]結局、プロビジョニングの初期設定のところで、わからないことが多くて、確認されてるっていうことだと思います。
【情シス向けの人気記事】PowerShellでも操作OK、スクリプトから活用もPCをタイマー起動して目覚まし時計にも!?
[鈴木]初期設定についてはそのぐらいにして、次は使ってみるところの記事です。
たとえば、PowerShellのコマンドの記事を2回やっていますが、これがけっこう読まれているようです。
[中の人]PowerShellによる操作は、日本ではあまり多くありませんが、北米に行くとけっこう使われています。これも網羅する意図で書いた記事です。
[鈴木]確か、タイマー起動もしていましたよね。
[中の人]リモートのPCを起動するPowerShellのスクリプトを作って、その実行をタスクスケジューラーに登録して、PCを自動起動させる話ですね。
[鈴木]よく読まれているのは(1)と(2)だそうですが、(3)では目覚まし時計を作ってました。vPro搭載PCの目覚まし時計、ものすごくセキュリティ高そうです(笑
[中の人]そうですね(笑。AMTにあるアラームクロック機能を応用したものです。
ネットワークからではなくローカルのPCで実行されるもので、CSMEの不揮発領域に設定して、PCの内蔵時計が何曜日の何時のときに、起動やシャットダウンするというのが決められるようになっています。
実はこのアラームクロックってけっこう使われています。前編で話に出たサイネージのベンダーさんとか。
[鈴木]なるほど、、、祝日とかも対応しているんですか?
[中の人]さすがに祝日までは対応していないのですが、そうしたニーズは多く、vPro友の会の関係者の会社でも、祝日を含めたスケジュールを設定して、リモートから電源をコントロールする製品が売れているようです。
たとえば、「PCが9時に必ず立ち上がっていないといけないので、ここのセグメントの200台だけ8時半に立ち上げる」とか。祝日とか、特定の日などの指定もできます。
[鈴木]ちなみにさきほど、PowerShellのコマンドが北米だとよく使われているという話がありましたが、どんなことに使われているんですか?
[中の人]タスクスケジューラーの話のように、運用管理のアプリケーションを連携するようなときですね。たとえば「この時間にこのタスクを走らせるので、その10分前にはPCが立ち上がっている必要がある」というケースです。
[鈴木]スクリプトというか一連の処理の中でPCを起動するというのは、自動化という感じがしますね。
[中の人]やはりいちいちコンソールを立ち上げて操作するんじゃなくて、コマンドでピッとやりたい人はいますね。
【情シス向けの人気記事】どんなツールを使ったらいい?サーバベースで無料の「EMA」やコマンドラインツールも……
[鈴木]あと、結構読まれているのがこの記事です。
「vProを扱うための標準的なツールを知りたい」と言うことだと思います。
どのツールがお勧めとか人気があるとかについてお話いただければと思います。
[中の人]現在で言うなら、やはりインテルさんが無料で提供している「EMA」でしょうか。
EMAは、Windows Server上で動かすサーバーベースのシステムで、他にSQL Serverが必要なので、ちょっと使ってみるにはハードルが高いですが、vPro友の会の関係者の会社で、クラウドにインストールしたEMAのアカウントを一時的に提供したりしています。
また、インテル製ではないのでこの記事に書いていないのですが、「MeshCommander」というフリーで公開されているツールを使うと、Windows ServerやSQL Server無しで、コマンドラインベースでvPro搭載PCを制御できます。
先にあげた、Intel vPro Technology Module for Windows PowerShell を使ったり、Webブラウザで対象PCのAMTに直接接続して制御する、という手もありますね。
ちなみに、インテルが出していた、コマンドラインツール「Intel Manageability Commander」というのも2022年まであったのですが、2022年末にアップデートが終わってしまったので、コマンドラインベースでやりたい場合は「MeshCommander」がシンプルだと思います。
【情シス向けの人気記事】そもそも、なぜこんなことができるのか?~vProの仕組み
[鈴木]あと、情シス向け、というか、しっかり理屈を知りたい人向け、と言うことだと思うのですが、こんな記事も読まれています。
vProの仕組みを説明している記事ですよね。
[中の人]vPro対応CPUの仕組みって、改めて説明することがあまりないんですよね。有線や無線のネットワークで電源をオンにできます、というところから入っちゃうので。聞かれれば説明するんですが。
[鈴木]どういうメリットがあるかという話は重要ですし、解説もあります。ただ、技術的なことを気にする方は、魔法みたいに聞こえるけど本当はどうやってるのか、というのが疑問になりますよね。
[中の人]実際に10のお客さんと話して1件ぐらい、それってなんでできるの? なんか不思議じゃない? と聞かれます。
[鈴木]僕もそこが気になるほうです。そこでこの記事を読むと、CSME(Converged Security and Management Engine)というものがCPUに入っていて、それが実は486のプロセッサーで、独立して動いていることがよくわかる。たぶん、vPro友の会のnoteを読む方には、こういうところが気になる方が多いってことなんでしょうね。
[中の人]そうかもしれませんね。データシートはあるんですが、残念ながら英語なので。
[鈴木]この記事を読むと、日本語で概要が書いてあるので、そういうことで評価されてるんでしょうね。
最後のポイントは「vPro搭載PCをどう買うか?」
[鈴木]最後に気になっている人が多そうなのが、「vProのPCってどう選んだらいいか」「どう買ったらいいか」ですね。
これは弊誌で良く読まれているのですが、読者の悩みが伝わってくるような感じです。まず普通に用途を考えて、その中でvProのPCを探していけばいいんでしょうか?
[中の人]やはり仕事でのPCへの依存度が上がっていますし、人員不足の中で生産性を上げるには、PCのパフォーマンスと安全性が重要ですよね。
ただ、vProのものとvProじゃないものの差額が1万円となったときに、千台買えば1千万円の差ですから、どんな状況でもvPro買ってくださいとはなかなか言えない。ですから、たとえば「この人たちは極めて重要な情報を扱うのでvProにしよう」とか、段階的なアプローチがあってもいいんじゃないかなと思います。
PCのセキュリティって、何もなければ何も気付かないので、どれだけ安全だったかは言えないところがあります。そこに対してどれだけ追加コストをかけるかは、なかなか悩みどころですよね。
[鈴木]ちなみに、vProにEnterpriseとEssentialsがあったと思うんですが、最近はあまり聞きませんね。
[中の人]あれは実はEssentialsは無くなってますね。明確には無くなったとは言っていませんが、サポートを段階的に終了していきますという言い方になっています。
[鈴木]では、今買うのであれば、Enterpriseかどうかは気にする必要ないですね。
最後に、vPro友の会の中の人としてぜひ言っておきたいメッセージをお願いします。
[中の人]vProについてわからないことは、vPro友の会に投げていただければ、可能な範囲でわかってる人がサポートする、ということですね。
vProといってもびっくりするほどの差額があるわけではないので、まずは5台や10台から気軽に試していただいて、その中でわからないことがあったらvPro友の会にご質問いただければ、可能な限りノウハウを持ってる人間としてお答えします。
また、「vPro友の会」のWebサイトでは、難しい話だけでなく「vProがどのようにしてできたのか」といった裏話や、「vProの読み方」のような、気軽な読み物も載せるようにしています。
いろいろな仕事の合間に更新しているので、更新頻度は高くないですが、経営層やCTOの方から現場の情シスまで、幅広く読んでいただけるようにしていきたいと思っていますので、皆様よろしくお願いいたします。
[鈴木]ありがとうございました。
- 第1回 note、はじめました。
- 第2回 現在のインテル vPro プラットフォームについて
- 第3回 セキュリティやシステム管理関連の機能について
- 第4回 vPro の機能、どうすれば使えるの?
- 第5回 インテル AMTのプロビジョニングについて
- 第6回 インテル AMTのManual Setup and Configuration (前編)
- 第7回 インテル AMTのManual Setup and Configuration (中編)
- 第8回 インテル AMTのManual Setup and Configuration (後編)
- 第9回 インテル AMTのHost-based setup and configuration
- 第10回 インテル vPro プラットフォーム向けにインテル社から現在一般提供されているツールについて
- 第11回 インテル EMAでクライアントPCの管理を行う(構築編)
- 第12回 インテル EMAでクライアントPCの管理を行う(設定編)
- 第13回 インテル EMAでクライアントPCの管理を行う(クライアントPC接続編)
- 第14回 インテル EMAでクライアントPCの管理を行う(Admin Control Mode編)
- 第15回 インテル EMAでクライアントPCの管理を行う(Admin Control Mode編2)
- 第16回 Intel vPro Technology Module for Windows PowerShellを使ってみる(1)
- 第17回 Intel vPro Technology Module for Windows PowerShellを使ってみる(2)
- 第18回 インテル EMAでクライアントPCの管理を行う(二要素認証編)
- 第19回 インテル EMAでクライアントPCの管理を行う(続・二要素認証編)
- 第20回 インテル EMAでクライアントPCの管理を行う(トラブルシューティング編)
- 第21回 Intel vPro Technology Module for Windows PowerShellを使ってみる(3)
- vPro よもやま話①
- vPro よもやま話② vProの「わかりづらさ」?
- vPro よもやま話③ インテルEMAの登場