図1
図1

 数十台,数百台,場合によっては数千台ものパソコンを一手に引き受けるシステム管理者の仕事は,日々「対応に次ぐ対応」だ。

 OSのパッチ適用作業や,ウイルス対策ソフトの更新作業は頻繁にやってくる。パソコンの台数が多い大企業であれば,それこそ大仕事である。そこに畳みかけるようにやってくるのが,「パッチを当てたら,なぜかパソコンが起動しない」,「ウイルス対策ソフトを更新したら,アプリケーションの通信がうまく機能しなくなった」というエンドユーザーの声。システム担当者にとっては,一難去ってまた一難,といった心境だろう。

 2006年秋,こうしたクライアント管理の問題を一気に解決するべく,企業用パソコンに向けた新技術が登場した。インテルの「vPro」である。遠隔地にあるパソコンの電源をネットワーク経由でオン。リモートでWindowsのパッチを適用したりウイルス定義ファイルを更新。終了後,パソコンの電源をオフにする---。「vPro」を搭載したパソコンを配備することで,システム管理者はこれまで難しかったクライアント管理のスタイルを実現できる。

 vProは特定の技術を指すものではなく,技術群の総称,あるいは技術群のブランド・ネームと言うべきもの。vProはコアを複数備えたマルチコア・プロセサ,チップセット,管理用ファームウエアなどからなる。

 このvProを搭載したパソコンには,「vPro」のシールが添付されることになる(図1)。2006年9月末,vProのシールが貼られた企業向けパソコンが主要メーカーから相次ぎ登場している。

専用の「サービスOS」でパソコンの挙動を監視

 vProのポイントは2つある。ハードウエア上に管理機能やセキュリティ機能を埋め込んだ(1)「AMT(アクティブ・マネジメント・テクノロジー)」,そしてWindowsなどエンドユーザーが使うOSとは別に稼働する専用OS,(2)「仮想アプライアンス」だ(図2)

図2
図2

 まずAMTについて解説しよう。AMTはハードウエア上にパケット制御機構を実装している。チップが不正なパケットを検出し,自動的に遮断する。外部からやってくる不正なパケットと,パソコンがウイルスやワームに感染した際に外部に送信する不正なパケットの両方を遮断できる。

 また,ネットワーク経由でパソコンの電源を管理する機能を持つ。システム管理者はvProに対応したツールを使って指示を出すと,vPro搭載パソコンのチップセットが応答。電源をオンにしてOSを起動したり,逆に電源をオフにしたりと,ソフトウエア・レベルでは不可能だった操作を可能にした。

 電源のオン・オフだけであればこれまでも「Wake On LAN」機能を搭載したパソコンであれば可能だった。ただAMTのポイントはこれに留まらない。搭載する「不揮発性メモリー」がこれに加わると,Wake On LAN以上のメリットを生み出す。

 不揮発性メモリーはその名の通り,電源をオフにしても消えないメモリーである。ここにはハードウエアの構成情報や,適用したパッチのバージョン,ウイルス定義ファイルの更新日時といった,クライアント管理に必要な情報を格納する。パソコンの電源が入っていない状態でもネットワーク経由でこれらの情報を確認できる。いちいち電源をオンにせずとも,「新しいパッチが適用されているか」,「ウイルス定義ファイルは最新か」を確認できるので,数多くのパソコンを保有する企業には特に有効だ。

管理専用の仮想OSがユーザーOSを守る

 このAMTと組み合わせる技術が,仮想アプライアンスである。仮想アプライアンスは,Windowsなどとは別にパソコン上で稼働する,いわば“もうひとつのOS”。クライアント管理やウイルス対策など,管理目的で設けられた専用OSだ。

 vProでは,Windowsなどエンドユーザーが使うOSを「ユーザーOS」と呼ぶ。vProが備える仮想化機能「VMM(バーチャルマシン・モニター)」を使って,仮想アプライアンスとユーザーOSを並行して稼働させる。マルチコア・プロセサの演算中枢である複数のコアを,仮想アプライアンスとユーザーOSそれぞれに割り当てる。これにより,ユーザーOS側の処理性能を大きく落とさずに,管理機能を恒常的に動作させる。

 クライアント・パソコンの目の前に座っているエンドユーザーは,仮想アプライアンスを操作することはできない。また,仕組み上,ユーザーOSから仮想アプライアンスへの直接のメモリー・アクセスを禁止している。これにより,ユーザーOSに不具合が発生してダウンしたり,ユーザーOS側で不正なプログラムが動いても,仮想アプライアンスは影響を受けない構造になっている。ユーザーOSから隔離された状態で,セキュリティ対策やクライアント管理の役割を粛々(しゅくしゅく)と実行するわけだ。

 仮想アプライアンスはユーザーOSの通信を“客観的に”監視している。ユーザーOSから外部への通信,あるいは外部からユーザーOSへの通信は,必ず仮想アプライアンスを介するようにしている。技術的に表現すると,vProではユーザーOSから直接NIC(ネットワーク・。インタフェース・カード)にアクセスするのは許していない。必ず,仮想アプライアンス上で動くNICドライバを介して通信する。

 この仕組みのメリットは,ウイルス感染時などで顕著に現れる。仮想アプライアンスはAMTが備えるパケット制御機構と連携し,ユーザーOSに送信される,あるいはユーザーOSが送信するデータをウォッチしている。不正な通信が発生した際には割り込みをかけて,ユーザーOSの通信機能をストップさせる。

 そしてシステム部門側の管理コンソールから,感染したvPro搭載パソコンの仮想アプライアンスにアクセス。仮想アプライアンス経由でユーザーOSにパッチをインストールし,ウイルス定義ファイルを更新。作業が終了後,ユーザーのネットワーク利用を再度許可する。一連の作業を,ネットワーク経由で実行可能だ。

 「不具合でユーザーOSが起動しなくなったパソコンを遠隔地からネットワーク経由で操作。ユーザーOSを再インストールして再起動する」。「遠隔地にある拠点のパソコンを起動。パソコンのOSにパッチを適用後,再び電源をオフにする」。「ウイルスに感染した遠隔地のパソコンの通信を遮断。遠隔操作でウイルス対策を施し,ウイルス定義ファイルを更新してから,再びパソコンの通信を可能にする」。vProは仮想アプライアンスとAMTを組み合わせることで,ネットワーク経由でこのような運用管理を実現できる。


シンクライアントの代替案として浮上

 従来,クライアントの管理効率を高めるためには「シンクライアントの導入が最適」とも言われてきた。ただ,企業でシンクライアントを導入するには,エンドユーザーが使う様々なアプリケーションをサーバー側で動作するように変更したり,ネットワーク帯域を確保したりと改変が必要である。また,クライアント側の使い勝手も変わるため,エンドユーザーの負担も増すという問題がある。

 vProであれば,エンドユーザーが使うのは,通常のパソコンそのもの。システム管理者にとっては,先に紹介したようにシンクライアント並みの運用管理が可能になる。

 「クライアント側には一切データは置かない」といった,シンクライアントが得意とする強固なセキュリティ対策はさておき,クライアント管理のコストはvProで大幅に低減できそうだ。