vProの匠こと、牧真一郎氏。同氏の「匠」っぷりは、連載のこれまでの回を参考にしてほしい
日々進化を続ける「インテル vPro プラットフォーム」だが、最近発表された第13世代インテル Core プロセッサーでは、セキュリティ強化のために、TLSによる暗号化通信がAMTで必須となった。これは第13世代だけではなく、第12世代インテル Coreプロセッサーでも適用されており、既存の製品に対しても、暗号化通信のみを受け付けるファームウェアアップデートが順次配布されている。
この結果、第12世代のvPro対応PCでは「BIOSやファームウェアをアップデートしたら、これまでつながっていたAMTがつながらなくなる」ということが発生。困惑している人も多いようだ。
そこで今回は急きょ、その原因と対策方法について、本連載でおなじみの”匠”こと牧真一郎氏に、検証、解説してもらった。最新の13世代だけでなく、第12世代でも影響しているので、「なぜか突然繋がらなくなった」という方はチェックしてみてほしい。
なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。
AMTのバージョンアップで、TLSによる暗号化通信が必須に!
去る3月23日(米国時間)、第13世代インテル Coreプロセッサーが搭載されたインテル vPro プラットフォームが発表されました。
この新しいvProに搭載されるAMTは、バージョン16.1となっており、一見すると前世代のvProでのバージョン16.0からのマイナーバージョンアップのように見えますが、実は今回とても大きな変更が行なわれています。
インテル AMTでは、登場以来TLSによる暗号化通信と非暗号化通信の両方がサポートされてきました。しかしながらセキュリティ強化の目的で今回の第13世代のvProからは外部コンソールからの非暗号化通信は使えなくなります。
つまりポート16992や16994を使った通信は利用できなくなるわけです。
例えばAMTのWeb UI(User Interface)へアクセスする場合、これまでは「http://vPro PCのFQDN:16992」とブラウザーに入力していたのが、今後は「 https ://vPro PCのFQDN: 16993 」と入力する必要があります。
今回は外部からの通信のみの変更ですが、将来はエージェントなどによるPC内部の通信にもTLSによる暗号化が必須になるそうです。
第12世代では「BIOS更新でAMTに繋がらなくなる可能性」も
さらに第13世代だけではなく1つ前の世代、つまり第12世代インテル Coreプロセッサーが搭載されたvProにおいても同様な実装がされました。AMTのバージョンも今回と同じ16.1になります。(参考:インテル AMTおよびインテル 標準管理機能の非TLSサポート終了通知)
第12世代のvProでは、発売当初、非暗号化通信も使えていたのですが、CSMEファームウェアをアップデートすることで、突然非暗号化通信が使えなくなります。CSMEファームウェアはメーカーによって単体で提供される場合と、UEFI(BIOS)ファームウェアのイメージに組み込まれて提供される場合があるので、気付かないうちにCSMEファームウェアがアップデートされてしまう場合もあります。
「BIOSアップデートをしたら急にAMTに繋がらなくなった」と驚かれる事があるかと思いますが、あわてずに先に示したようにTLSを使った接続を試してみて下さい。新しいファームウェアは既にいくつかのPCメーカーからは提供されていて、CSMEファームウェアのバージョン16.1.25.2xxxから暗号化通信が必須になっているようです。ただ、バージョン16.1.25.1932ではまだ非暗号化通信が使えているため、非常に分かりにくくなっています。
UEFI(BIOS)ファームウェアのリリースノートの例
どんな証明書が使われているか?
TLS通信を行うためにはデジタル証明書が必要になりますが、デフォルトでは以下のような自己署名証明書が生成・適用されます。プロビジョニングの際に発行されるようなので、拇印は都度変わります。
生成されたデジタル証明書の内容例
当然、管理コンソール側からすると、この証明書は「信頼された証明書」ではないため、ブラウザーによるアクセスの場合でも最初は証明書関連のエラーが出てしまいます。証明書を信頼することで証明書エラーは抑えられます。
ブラウザーでAMTのWeb UIにアクセスした例。証明書エラーが出てしまう
もちろん、今までどおりPKIによる信頼された証明機関から発行された証明書を適用することも可能です。むしろインテルではこちらを推奨していて、自己署名の証明書はあくまでも一時的な扱いのようです。
一方、AMTで自己署名証明書が適用されることは今までなかったため、既にAMTに対応した資産管理ツールなどのサードパーティ製アプリケーションソフトでは、自己署名証明書を扱えるようにするなど何らかの対応が必要になります。製品によってはTLSによる暗号化通信のサポートそのものを追加する必要がある場合もあると思います。現在お使いのアプリケーションソフトの対応状況を、ソフトウェアメーカーに確認された方が良いでしょう。
インテル製のアプリケーションソフトの対応状況について(2023年4月10日現在)
1.インテル EMA(Endpoint Management Assistant)
インテル EMAはバージョン1.8.0以降で対応と先のリンク先の資料に書いてありますが、その後も度々修正等が入っていますので、最新の1.10.0へ上げてください。
2.インテル MC(Manageability Commander)
最新版であるバージョン2.4でTLSを有効にして接続を試みましたが、接続に失敗しました。自己署名証明書にまだ対応していないためだと思われます。
一方、インテル製では無いものの、インテル MCの基になったと思われるMechCommanderでは既に自己署名証明書に対応しています。
こちらの最新版のバージョン0.9.6では、自己署名証明書に対応済で問題なく接続が可能でした。
インテル MCがバージョンアップされるのを待つという手もありますが、現在運用中などお急ぎの場合はMechCommanderへの乗り換えを考慮しても良いと思います。
匠への質問、募集中!
……さて、今回はインテル AMTの非TLSネットワーク通信のサポート終了への対応方法について教えてもらったが、vProは非常に多機能かつ奥深い。これまでの記事や活用事例を見て、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」と思うことも多いと思う。
当連載は、そうした疑問を随時、匠にお伺いし、みなさまの疑問解消に役立てていきたい。疑問点がもしあれば、是非、以下のフォームから質問を送ってみてほしい。
アンケート回答にあたっての注意事項・同意事項
・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。
・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、全ての質問への回答を約束するものではございません。
・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。
・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。
個人情報の保護について
http://www.impress.co.jp/privacy_policy/
