「インテル vPro プラットフォーム」と「Windows 11」の連携について、日本マイクロソフト株式会社の仲西和彦氏(左)とインテル株式会社の佐近清志氏(右)に話を伺った
インテルとマイクロソフトといえば、PCプラットフォームの流れを作る2大メーカーだが、そんな両社が最近、異口同音に語るのは「セキュリティ犯罪の性質がかわりつつあり、対抗する方法も変化してきた」ことだ。
マイクロソフトが「Windows 10が最後」と言いつつも、結局Windows 11を出すことになったことや、インテルがビジネスPC向けにリモート管理機能である「インテル vPro プラットフォーム」を推すのもその流れが強く影響しているのだという。そしてその結果、「理想的なビジネスPC」も変化しているとされる。
そこで今回、両社のビジネス向けPCの担当者に「セキュリティ犯罪の変化や、結果としてのビジネスPCのあり方」について、お話をお伺いした。
お話をお伺いしたのは、日本マイクロソフト株式会社の仲西和彦氏(デバイスパートナーソリューション事業本部 マーケティング本部 Commercial Windows戦略部 部長)と、インテル株式会社の佐近清志氏(セールス&マーケティンググループ ビジネスクライアント・テクニカル・セールス・スペシャリスト)。
話の中では、セキュリティ犯罪が「大企業を狙って高額の金銭を払わせる」ものから、「幅広くばらまいて、少額の金銭を幅広く支払わせる」ものに変化していることや、それに対抗するためにPCを更新することの重要性、そしてWindows 11、vProといった技術のポイントなどを語っていただいた。
「ウチみたいな中小企業は狙われない」はもう通じない!
セキュリティ犯罪が特殊詐欺化、狙うのはセキュリティの低い中小企業
――いまの企業PCにおけるセキュリティの問題と、それに対するWindows 11の対応について教えてください。
Windows 11が登場した理由の1つとして、PCの脅威が変わったと説明する仲西氏
仲西氏:まず最初に説明しておきたいのですが、なぜ「Windows 10が最後」と言っておきながらWindows 11を出したかというと、コロナ禍によって働き方が変わり、そしてPCに対する脅威も変わったからなのです。
最近はセキュリティ犯罪の性質が大きく変わりました。以前はスキルの高い犯罪者が、その技術を示すために有名企業を狙うようなものでしたが、コロナで経済的ダメージを負った人が増えたことにより、オレオレ詐欺のようなビジネスモデルができてしまいました。セキュリティの低い人を大量に狙って、払える程度の身代金をあちこちから集めるというものです。
それにより、狙われるターゲットが、いままでは大企業が中心だったのに対して、明らかに中小企業に移っています。これは、警察庁によるセキュリティ犯罪の統計にも表れていますし、日本だけでなく、世界的な傾向なのです。
ここ数年で企業のセキュリティに対する姿勢の差が明確になったと佐近氏
佐近氏:この3年ぐらいで、企業によってセキュリティのとらえかたが千差万別ということが分かってきましたね。先進的な企業もあれば、周囲の企業の様子を見つつという企業、あるいは「うちぐらいの規模の会社だったら要らないよね」という企業まで。日本企業の場合、予算削減のプレッシャーのほうが大きいというのもあります。被害にあった企業であれば即断なのですが。
仲西氏:会社の規模が小さくなると対策も消極的になる傾向があります。しかし、いまは入りやすいところが狙われてしまう。「ウチみたいな小さい会社は狙われない」は全く通じなくなりました。自動車メーカーの取引先がランサムウェアにかかったため全国の工場が稼動停止したように、サプライチェーンが止まってしまう。
佐近氏:セキュリティを上げると従業員の生産性が下がると思われている面もあります。それに対してvProは、セキュリティを高めつつ生産性が阻害されないことを重視してデザインされています。
仲西氏:vProはまだ大企業のイメージがあるので、そうしたイメージのハードルを下げたいですね。これまでOSより上を狙っていた攻撃に対応していたのですが、最近ではファームウェアなどを狙った攻撃が増えていて、それらは従来のOS上で動くセキュリティソフトでは対応できないので、OSの下を守れるSecured-Core PCやvProなどで対応しなくてはいけない。
佐近氏:vProでセキュリティが強化されているのは確かですが、なかなかそこまで認識されていない。それにあわせてOSも強化されています。しかし、なかなか買い換えていただけない。
情報漏洩のときの被害と、それに対して新しいPCを使うことによるセキュリティの向上とを比較するとペイする、というレポートがいくつか出ています。ハードウェアに対する投資が必要ということをご理解いただければ。
仲西氏:私は、犯罪者の観点から考えてください、と説明しています。サイバー犯罪者は狙いやすいところから狙うので、古いPCを使っている人は攻めやすい。vProや、新しいOS、新しいハードウェアといった要素が入っていれば、犯罪者から見た“狙いやすさ”の順位付けが下がります。
「新しいセキュリティ」を実現できるWindows 11と第12世代Core「コアの使い分け」などパフォーマンスも向上
――セキュリティの事情が変わったいま、企業のすべきことと、そこにおけるWindows 11のメリットを教えてください。
仲西氏:IPA(独立行政法人 情報処理推進機構)が「中小企業の情報セキュリティ対策ガイドライン」という文書を出しています。そこで「情報セキュリティ5か条」のその1として言われているのが、「OSやソフトウェアは常に最新の状態にしよう」ということです。
Windowsではセキュリティパッチが毎月出ています。そして新たにセキュリティホールをふさいでいるということは、それまではセキュリティホールがあったということでもあるので、アップデートしないとそのセキュリティホールを狙ったゼロデイ攻撃にさらされやすくなります。
また、セキュリティを高めつつ生産性を下げないためのWindows 11のセキュリティ機能について2つご紹介します。
まず、怪しいアプリは使わない、怪しいメールは開かない、とよく言われますが、人間はひっかかってしまう。そこでAIが、アプリやウェブサイトのふるまいからマルウェアやフィッシングを検知するプロテクションがWindows 11で取り入れられています。
2つめは、多要素認証のためのWindows Helloが、Windows 10にもありましたが、11ではより積極的に取り入れられています。
セキュリティを高めつつ生産性を下げないためのWindows 11の2つのセキュリティ機能について説明する仲西氏
佐近氏:お客様の目に見えないところでは、Windows11でより複雑なメモリ暗号化をサポートしたり、ハイパーバイザー関連の新機能によって、データ保護・防御機能が向上したりしていますね。
インテルのCPUとWindows 11の組み合わせでいうと、第12世代インテル CoreプロセッサーのvProは、よりWindows 11に最適化されて、よりパフォーマンスが上がるような形になっています。
たとえば第12世代Coreでは、Pコア(高性能コア)とEコア(高効率コア)の2種類のコアを搭載していて、「インテル スレッド・ディレクター」という機能で管理しています。Windows 11のタスクスケジューラーではこれを単純に分けるわけではなく、用途に応じて分けられるようになっています。Windows 11と第12世代Coreによって、セキュリティソフトもPCに負担が少なく実行できて、よりパフォーマンスもセキュリティも上がるようにデザインされているわけです。
「OSより下」を守るvProやSecured-Core PC
――企業ではセキュリティのために、どのようなPCを選べばよろしいでしょうか。
仲西氏:MicrosoftではWindows 10のときから「Secured-Core PC」を提唱しています。従来のPCとは少し異なり、OSより下の層がより安全になっていて、その機能オンの状態で出荷しています。セキュリティのためには、Secured-Core PCをお勧めしています。
あるいは、Secured-Core PCまでいかない場合でも、vPro搭載PCを選ぶことをお勧めします。
佐近氏:vProにはOS下層を防御する専用の「インテル ハードウェア・シールド」というセキュリティ機能が搭載されてまして、Secured-Core PCが掲げる要件を全て満たしながら、インテル独自のOS上層も保護するセキュリティを追加することで、ビジネスPCとしては最上位のセキュリティを備えているのが特徴です。
いずれも、OSより下の層を守ることによって、分かりやすいところでは、乗っ取りやデータを盗まれることを抑止することが図られています。なぜOSの下を守るかというと、マルウェアなどに管理領域を乗っ取られてしまうと、OSで認証していてもそれより下の層で情報を盗まれてしまうからです。
vPro搭載PCであれば、Secured-Core PCに準ずる要件を満たしていると語る佐近氏
仲西氏:Secured-Core PCやvProの機能を詳しく解説すると、技術者の方にしか分からなくなってしまいがちです。そうした側面もあって、専門家むけのPCととらえられてしまうこともあるのですが、実は、そうした知識のない人に対してこそSecured-Core PCをお勧めしたいと考えています。自分でリスク回避をするという道もありますが、そこまで知識に自信がない人ほどSecured-Core PCを選んでほしい。たとえば企業で専任のIT担当者がいなくて兼任している場合などです。
――Windows 11ではTPM 2.0が求められるなど、PCに要求する水準も上がっています。それを回避してWindows 10からWindows 11にアップグレードする方法もインターネットで一部広まっているようですが。
仲西氏:Windows 11は、できるだけ手元のPCのOS更新で済ませるのではなく、最初からWindows 11がインストールされたPCで動かしていただきたいと思っています。TPM 2.0や最新の生体認証などのセキュリティ機能が、古いPCには入っていません。また、長く使っているPCだとパフォーマンスが落ちて、Windows 11の機能を堪能してもらえません。
OSの設定も、一度導入するとなかなか変えないものです。そのため、新しい危機を回避するための設定が有効にならないということが起きます。大企業などでは、新しいOSを入れるときも、秘伝のタレのように古い設定のイメージを入れることがありますが、その設定が最新の脅威に対応できているかを確認するプロセスを経ずに、慣例として行ってしまっているようであれば、これもお勧めしません。
なお、Windows 10からWindows 11にアップグレードした場合には、マルウェア検知など一部の機能に制限があります。これらの機能を有効にするためには、既存Windows 10 搭載PCのOSをWindows 11にアップグレードするだけではだめで、ハードウェアを変えるか、アップグレードではなくクリーンインストールする必要があります。
佐近氏:コロナ禍以降は、どのPCメーカーもAIを活用する機能を多く提供されてまして、たとえばビデオ会議で大事な背面ボカシや画像補正、ノイズ除去、また、ランサムウェアといったマルウェアの検知にもAIを使用する技術が出てきましたので、その意味でも、Windows11搭載の最新PCをお勧めします。
Defenderは「世界で最も攻撃される企業」のノウハウのカタマリ「vProがスキャン機能を高速化」「Defenderが駆除」という役割分担
――PCのセキュリティソフトに求められるものも、現在は変わってきているのでしょうか。MicrosoftではセキュリティソフトをMicrosoft Defenderブランドの中で出していますが、そうしたものに対応しているのでしょうか。
佐近氏:vProから見てDefenderを推す理由は、vProと親和性が高い点です。インテルCPUには「インテル TDT(スレッド・ディテクション・テクノロジー)」という技術が搭載されていて、Defenderはこれにフルに対応しています。
インテル TDTには主に2つの機能があります。1つは、メモリスキャンの負荷をグラフィックエンジンに肩代わりさせるものです。これによって、メモリスキャンのときにPCが重くならないと実感できるため、IT部門に苦情が来たり勝手に外されたりということがありません。
もう1つは、チップのセンサー情報を元にランサムウェアを学習させたAIデータを使って、ランサムウェアを検知する機能です。ただし、CPUでは検知はできますが、駆除はできないので、セキュリティソフトに投げて対応してもらう必要があります。
Defenderは両方をフルにサポートし、しかも開発をいっしょにやっていて、インテル TDTと一番親和性が高いアンチウイルスソフトといえます。
仲西氏:Defenderについて補足すると、Windows 11 ProにはMicrosoft DefenderのEPP(Endpoint Protection Platform)機能が同梱されています。ほかの有償のセキュリティソフトを買われる前に、活用していただければと思います。同じ機能を複数入れるよりは、その予算をほかのソリューションに回したほうが効率的です。
Microsoftは世界で一番攻撃を受けている企業です。そのノウハウがDefenderに蓄積されています。
中小企業向けには、EDR(Endpoint Detection and Response)製品の「Defender for Business」もあります。従業員300人以下の企業のための製品で、攻撃からの保護だけでなく、検知や対応をAIベースでIT担当者に負荷をかけずに行う機能など中小企業に最適な機能を備えつつ、管理が簡単になっています。
なお、Microsoft 365 Business PremiumにはDefender for Businessが含まれます。そのため、必要なセキュリティとコラボレーションがワンパッケージになり、管理の負担が少ないという点も合わせて、私は中小企業にMicrosoft 365 Business Premiumをお勧めします。
電源オフのPCでもパッチを適用、休日や夜中も!……を可能にするvPro+Intuneの組み合わせ
――こうしたセキュリティの管理でvProがどうIT担当者を助けるでしょうか。
佐近氏:企業が困っているのは、Windowsで必要となるOSアップグレードやセキュリティアップデートをいかに展開するかという点です。それも、OSアップグレードになると何時間にもわたります。これを業務時間中にはやれないので、いかに週末や夜間にパッチを適用させるかが課題となっています。
vProには、強力なリモート運用管理の機能が備わっていて、特に電源管理では、無線LAN、または有線LANに接続したPCに対して、企業内ネットワークだけでなく、インターネット経由で電源を入れられます。これはほかにはない機能です。
これによって、IT管理者が計画的にPCの電源をオンにしてパッチを適用させるといった管理が可能となります。
そのほか、PCがマルウェアに感染したときにはIT担当者がその人に電話で「LANケーブル抜いて」と連絡してネットワークから外したりすると思いますが、それをリモートからIT管理者自らオフラインにできる機能ですね。必要ならリモートから初期化することもできます。vPro搭載のPCにはそのハードウェアベースの管理機能が入っていて、それに対する管理コンソールの「インテル EMA(エンドポイント・マネジメント・アシスタント)」をインテルから無償で提供しています。
仲西氏:Microsoftではクラウドベースのエンドポイント管理の「Microsoft Intune」を提供しています。Intuneではパッチをいつどの順番で適用するかなどの機能もありますが、電源を入れることはできません。そこで、IntuneとEMAを組み合わせることで、電源操作までできるようになり、休日や夜中でもリモートからPCの電源を入れてパッチを適用できます。
IntuneはMicrosoft 365 Business Premiumにも含まれているので、ぜひ中小企業にご活用いただきたいと思っています。
佐近氏:vProの側から見ると、vProを活用いただくにはEMAのエージェントを各クライアントにインストールする必要があります。その配布をIntuneにおまかせすれば、インストールした後はvProの機能が使え、強力な管理機能が使えるようになります。
vProは、インテルが考える最高のビジネスPC
――「今後のビジネス向けPC」について、伝えておきたいことをお話しください。
仲西氏:まずは、セキュリティの高いWindows 11をお使いいただきたい、ということですね。また、新しいPCをセットアップするWindows AutopilotをWindowsといっしょに提案していますが、これももっと活用いただければと思っています。
企業でPCを配布する際、部署ごとのマスターを手でコピーしていることがまだ多いと思うのですが、これはあまりに人手がかかります。これをAutopilotに切り替えると、クラウド越しに自動でできるので、これをもっと活用してほしいと思っています。
大きなことをいうと、こういった新しい技術に頼らずに人手に頼ってしまうのが、日本の生産性が低いと言われることにもつながっているのではないでしょうか。
佐近氏:vProに関しては、インテルが考える、一番セキュリティが高くて、パフォーマンスがよくて、しかもIT管理者にもやさしい機能が盛りだくさんのビジネスPCです、というのが一番お伝えしたいところです。
セキュリティについては既にお話ししましたが、パフォーマンスについても、vPro搭載PCであれば「Core i5以上で、内蔵グラフィックも上位のものが入っている」という条件を必ず満たす仕様となっていますので、ビデオ会議をスムーズ行うことができます。ネットワーク接続性能も、グラフィック性能も、CPU自体の性能も優れていて、さらにOSの下の層のレイヤーは普通のPCと違い、セキュリティもしっかりしている。それだけの価値をご提供しているのが「vPro」というわけです。
そして、さらに管理者向けのリモート管理の機能もあります。ただしそれは「vProの機能のひとつ」であって、「リモート管理を使わなければvProの意味がない」というわけではありません。
とはいえ、vProをご利用いただいている500社にアンケートをとった結果、「コロナ禍で大変だったが、vProのPCを導入しておいてよかった」という声をいただいています。vProは業務PCが自宅に置いてあっても管理でき、これまで使っていなかったとしても、設定をちょっと変えるだけで利用できるようになる。それは管理者だけでなくエンドユーザーにも好評で、社外に行っても働けることにもなっています。
仲西氏:最近ではどの会社でも、中小企業でもDXを掲げていて、アナログだったものをデジタルに変えています。でもアナログのセキュリティとデジタルのセキュリティを同じに考えてはいけない。その一番の違いは、アナログは広まらないということです。それに対してデジタルのセキュリティは拡散されるところが違うのです。
DXにお金を出してもそれに応じたセキュリティの予算がつかないことがありますが、両方を等価でやらないと悲劇になるというのは言いたいことです。
セキュリティと生産性の向上、その両立には最新のWindous 11とパフォーマンスの高いvProが有効と語る両者
――ありがとうございました。
