昨今増えるテレワークで、PCのメンテナンスに悩む企業は多いだろう。
メンテナンスが不十分だと、動作に問題が出る場合があるのはもちろん、セキュリティの問題も懸念される。
そこで、クラウドインテグレーターの日本ビジネスシステムズ株式会社(JBS)が提案するのが、強力なパッチ配信サービスである「BigFix」(HCL Software社製品)とインテル vProプラットフォームの連携だ。BigFixは強力なパッチ配信機能を持つが、PCの電源が入っていなければ機能しない。そこで、「vProで電源を投入→BigFixでパッチを配信する」ことで、vProを活用した強力な管理・セキュリティ管理体制を構築できる、というわけだ。
同社では、テレワーク対応のパッチ運用支援サービス「Managed Endpoint(ME)」において、こうした環境を構築し、これから顧客へ展開しようとしている。
MEサービスでvProに対応する意義や、検証した結果などについて、JBSの金澤友右氏(クラウドマネージドサービス本部 エンドポイントサービスセンター エンドポイントバーチャルサービスグループ マネージャー)と安住崇氏(クラウドマネージドサービス本部 エンドポイントサービスセンター エンドポイントバーチャルサービスグループ)に話を聞いた。
インターネット越しでもPCのパッチ配信などを管理できるBigFix
MEは、HCL Softwareの製品「BigFix」を使ってJBSが独自に提供しているマネージドサービスだ。OSのセキュリティ更新プログラムやFeature Updateを配信する機能を中心に、インベントリー管理(IT資産管理)として機器一覧を可視化したり、業務で必要になるアプリケーションや設定変更を配信したりといったことをしている。
BigFixは、管理サーバーが、社内のPCのインベントリー情報の取得や、HCL Softwareからのポリシー情報の定期取得、ライセンス管理などの役割を担う。各拠点では既存PCをリレーとして設定することにより、拠点ごとの管理サーバーを設置する必要はない。
なお、「OSのセキュリティ更新」という点では、マイクロソフトの提供するWSUS(Windows Server Update Services)で集中管理することもできるが、WSUSはクライアントがアクティブディレクトリ(AD)に参加している必要があり、その機能もパッチ配布に特化されている。
ここに縛られない点がBigFixの強みだ。また、ほかの製品に対するBigFixの強みの1つとして、サーバーからのプッシュ型ではなく、プル型であり、各クライアントが起動したタイミングでリレーに確認して、それぞれパッチを適用するようになっている点もある。「これによって、パッチの適用率が違います。弊社の30~40社ほどの実績で、パッチ適用率は95%以上となっています」(金澤氏)
このBigFixを使ったMEサービスでは、主にWindows PCを対象に、大小さまざまな規模をサポートする。「500~2000台以下がボリュームゾーンで、台数が多いお客様では5000や8000台などの例もあります」と金澤氏は説明した。
「起動していない端末」にもパッチを適用し、セキュリティを確実にしたい
前述のとおり、MEサービスでは「95%以上」という高いパッチ適用率を実現している。しかし問題は、「端末が起動していないとパッチが適用できない」こと。
「それは当たり前」という話ではあるが、パッチが適用されないと、セキュリティの不安が残るし、半年に一度のアップデートがあたらないとOSバージョンが食い違ってしまう。未適用PCのリストを出して「パッチをあててください」と呼びかけるにも手間がかかるし、「残り5%」となっても、全体の台数があればその数も多くなる。
「お客様との報告会で、“端末をアップデートしてくれない人がいる”という話を聞いていました。また、どのPCかが分かっていても、PCのある部門が変わったり、人が変わったりして、追跡が大変なこともあります。そこをもう一歩踏みこめれば、お客様の情報システム部門が助かると思っていました」(金澤氏)
そんな中、BigFixが、vPro搭載PCの管理ツールである「インテル EMA(エンドポイント・マネジメント・アシスタント)」との連携に対応した。
インテル EMAはインテルが無償配布しているサーバーソフトウェアで、インターネット越しでの「電源オフからの起動」「BIOS設定」「OSに依存しないリモートデスクトップ」といった機能を持ち、vProを搭載しないPCも含め、複数のPCをグループ単位で管理可能。LAN内だけでなく、インターネット経由で利用できるのはBigFixと同様だ。
このインテル EMAの機能をBigFixから使えるプラグイン「インテル EMAーBigFixライフサイクル・インテグレーション」が提供開始されたわけだ。
「HCLと連絡をとっている中で、インテル EMAに対応したという話を6月頃にいただきました。ちょうど、インテルとのコラボレーションの担当が私に変わったこともあり、検証を開始しました」(金澤氏)
「驚くほど簡単だった」自宅のPCを、Azure上のサーバーから電源ON→パッチも配信
インテルEMAの検証は以下の構成で行った。
検証のためのEMAサーバーとBigFix管理サーバーはパブリッククラウドであるMicrosoft Azure上に用意、管理するクライアントPCはローカルに配置した。
手順としては、まずAzure上にEMAサーバーを立て、ローカルに置いたクライアントPCがどのように管理できるかを検証した。「Azure用のテンプレートがあったので簡単に構築できました。また、クライアントPCの設定もエージェントをインストールするだけで、同じく簡単でした」と安住氏は言う。
電源オン・オフやスリープ、リモートデスクトップ、ファイル転送など、ひととおりの機能を確認したという安住氏だが、新鮮な驚きがあったのは、やはり「エージェントを入れるだけでファイアウォールを超えて電源をオンできる」点という。もちろん、挙動に関する知識はあったが、実際の動作を目の当たりにすると、あまりの「あっけなさ」に驚いてしまったという。「シャットダウンも速いし、電源のオン・オフもできる。リモートデスクトップもシームレスにできます。リモートワークなので、自宅からインターネット経由で検証用端末を操作してみて、すごいなと思いました」(安住氏)。
こうしてEMAサーバーの検証を終えた後、BigFix管理サーバーを立てて、連携を検証した。
検証環境で、BigFixサーバーから操作することで、EMAサーバーを直接操作することなく、連携して必要な機能を使えることを確認した。
BigFixはPCの起動時、「パッチの状況を確認し、必要なものがあればダウンロード、適宜インストールする」という動作を行うが、vProによる遠隔起動と組み合わせることで「遠隔起動(vPro)→パッチ適用(BigFix)」という見事な連携プレーが成立する。
BigFixとEMAは連携済み、アクション1つでエージェントのインストールも
安住氏は実際にBigFixからインテル EMAの機能を利用するところをデモしてくれた。
インテル EMAのプラグインを組み込んだBigFixのコンソールで、管理対象端末のリストを表示すると、そこで各端末にEMAのエージェントがインストールされているかどうかも分かる。
ここで端末を選び、右クリックからBigFix内でEMAの機能にアクセスできる。ここから電源オンやリモートアクセスなどを実行できる。EMAのエージェントが入っていない端末については、BigFixのコンソールから端末を選んで、BigFixの機能でEMAのエージェントをインストールすることもできる。BigFixにEMAの機能がシームレスに組み込まれた形だ。
「インテル EMAとの連携機能については、6月にHCL Softwareから対応したことを教わってすぐに検証を開始し、通常業務の合間を見て8月頃までに検証作業を行いました」(安住氏)
「LAN内限定のWake-on-LANではなく、vProで」
ちなみに、これまでも、BigFixからWake-on-LANを使ってPCを起動する構成をしたケースもあったという。ただし、Wake-on-LANでは、LAN内の同じネットワークセグメント内のコンピュータが起動していて、そこからPCを起動するマジックパケットを送る必要がある。
それに対し、BigFixとインテル EMAであれば、リモートワーク端末などインターネット越しでPCを起動できるし、シャットダウンもできる。さらに、Wake-on-LANは有線LANに限られるが、インテル EMAであれば無線LANでも使えることも安住氏は付け加えた。
AutopilotやIntuneとの組み合わせも検討中「ハイスペックPCを選んだら、たまたまvProも搭載されていた」事例が増えている?
JBSでは現在、サービス提供に向けて検証している段階だ。
BigFixのインテル EMA連携でどんなことができるかについて、金澤氏は「大規模なお客様ですと、電源が入っていないPCをインターネット越しで電源を入れてパッチを適用できるのが大きいですね。また、ハードウェアベースでリモートデスクトップ接続ができるので、なにかしら故障が起きたPCに接続して症状を切り分けするのに活用できそうです」と語った。
さらに今後はインテル EMAを、BigFix以外の管理ツールとも組み合わせていきたい、と金澤氏は語る。
たとえば、WindowsデバイスをセットアップするWindows Autopilot、デバイスやアプリケーションを管理するMicrosoft Intuneをインテル EMAと組み合わせることも考えられるという。「AutopilotとEMAでクライアントの最初のパッチ適用やFeature Update、ハードのある程度の整備を行えます。さらに、最初から必要になるアプリケーションをIntuneで配信し、vProで補助してやると、“きっちり使えるPC”が最初からお出しできるというわけです」
また、vProの活用で、大規模展開している店舗端末の管理も大きく省力化できると金澤氏は見通しを語る。「営業していない夜間にvProでパッチをあててセキュリティフィックスするといったことができるので、セキュリティ向上、管理の省力化の両面で効果が大きいとみています」(金澤氏)
そのためにもvProを搭載したPCが必要になるが、興味深かったのは「企業が導入しているPCは思ったよりvProの搭載率が高い」という金澤氏の発言だ。
「“エンドユーザーが端末をアップデートしてくれない”とおっしゃっていたお客様では、調べてみると、ほとんどのPCがvProを搭載していました。テレビ会議などのツールを使うことになって、CPU性能やメモリーを重視してPCを選んだところ、“そのPCがたまたまvPro搭載機だった”ということが増えていたようです」(金澤氏)
個々の企業の状況にもよるとは思うが、実は「vPro搭載PC」が意外と導入されている場合もあるということだ。こうした、「実は普及しているvPro」を生かすことで、BigFixで情報システム部門の労力を削減しつつ高いセキュリティを実現できそうだ。
「vProにはインテル ハードウェア・シールドが備わっていて、PCを箱から出した時点で守られています。さらに、Windows 11のセキュリティ機能に対応するなど、vProのセキュリティは進化しています。こうしたセキュリティ機能を生かすためにも、OSが最新になっている必要がありますし、OSを最新にするためにもvProが有効です」(金澤氏)