エンドユーザーに負担をかけず、管理者の手間もなるべく省きながら最新のセキュリティを保っていきたいと考えているならば、マカフィーとインテルの協業によって生まれた、「McAfee ePO Deep Command」と「インテルAMT」の組み合わせが有効だ。
もしあなたのオフィスで、多少業務の手が止まろうとも、定められたポリシーに沿ってウイルス対策ソフトのアップデートを日中に行うよう義務づけているならば、これから紹介するソリューションは不要だろう。しかし、管理者の手間をなるべく省きながら最新のセキュリティを保ちたいと考えているならば、マカフィーとインテルの協業によって生まれた「McAfee ePO Deep Command」には、一考の価値がある。
McAfee ePO Deep Commandは、マカフィーの統合管理ソリューション「McAfee ePolicy Orchestrator(ePO)」の拡張機能として提供されている運用管理ソリューションだ。Intel vProプロセッサに搭載されている「Intel Active Management Technology(インテル AMT)」を活用し、ハードウェアとソフトウェアが一体になって、PC運用管理の自動化を実現する。
マカフィーは、2011年にインテルの傘下に入る以前から、インテルのハードウェアを活用したセキュリティや運用管理支援の連携に取り組んできた。ePO Deep Commandとインテル AMTの組み合わせはそれを具現化したもので、ePO Deep Commandの管理インターフェイスから、vProプロセッサを搭載したPCの状態を確認し、必要に応じてリモートからさまざまな作業を行える。正常な動作時はもちろん、電源が入っていない、あるいは正常に動作していないなど、PCの状態にかかわらず制御を行えることが特徴だ。
さらにインテルAMTの「PC Alarm Clock」機能を活用すれば、あらかじめ定めたスケジュールに従って、ウイルス対策ソフトのアップデートやスキャンといったタスクを自動的に実行できる。処理が終われば、これまた自動的に電源を落とすことができるため、省電力にもつながる。
このようにして夜中に自動的に更新作業を行えば、ユーザーの仕事のじゃまになることはない。処理は自動的に行われるため、管理者が1台1台マシンを回って、一晩中作業に追われることもない。それでいて、常にセキュリティ対策ソフトを最新の状態に保てるから、セキュリティ対策もばっちりだ。万一、夜中に新種のマルウェアがまん延を始めたとしても、翌朝始業時の前までに緊急アップデートを行い、防御を固めることができる。
そもそも、運用管理とセキュリティ対策は密接につながっている。むしろ、一体化したものと考える方がいいだろう。
インテルのクラウド・コンピューティング事業部 坂本尊志氏は、「ノートPCを外に持ち出すとなると、まず紛失や盗難などを気にすることが多い。しかし本当に大事なのは日々の運用だ。インストールしてはいけないハードウェアやソフトウェアが使われていないか、ソフトウェアは最新の状態に保たれているか、はたまたセキュリティ対策ソフトが導入され、最新の状態になっているか……こうした部分をおろそかにしてはならない。地味ではあるが、日々の運用管理こそが重要だ」と述べる。
不正アクセスからPCを守る基本中の基本は、OSやアプリケーションを常に最新のものにアップデートし、最新の定義ファイルでセキュリティ対策ソフトを利用することだ。だが「言うは易く行うは難し」という通り、常にそうした状態を維持するのには早々の労力がかかる。アップデートのたびにユーザーが仕事の手を止めて更新作業を行ったり、あるいは管理者が端末それぞれの状態をチェックし、手動でアップデートを行っていてはきりがない。
「利用者に負担を掛けるセキュリティ対策は、結局は穴になってしまう。かといって管理者がその負担を肩代わりして夜中に更新作業を行うというのも大変だ」(坂本氏)。
インテル AMTは更新などの管理業務の自動化を支援することによって、PC運用管理を包括的に支援する。これにマカフィーのePOを組み合わせることで、「どこにどのような状態のPCがあり、どういったセキュリティを適用しているかを把握し、セキュリティ対策と運用管理、資産管理などを含んだ一元的な管理を実現する」(マカフィー マーケティング本部 プロダクトマーケティング部 スペシャリスト松久育紀氏)。
今回の取材が行われたインテル 東京オフィスのショールームでは、インテルAMTとePO Deep Commandの組み合わせによる一元的な運用管理を、デモ機を用いて体験できる。興味のある法人企業は、マカフィーに問い合わせれば利用可能で、自社のPC運用管理にどのように適用可能か、実際に目で見ながら検討できる場となっている。
まず管理者の立場でePO Deep Commandの管理インターフェイスを立ち上げると、ダッシュボードによって、管理下に何台のPCがあり、必要なセキュリティソフトウェアがインストールされているか、その定義ファイルは最新の状態になっているかといった情報がグラフィカルに示される。このダッシュボードは、環境に応じて必要な情報を表示するようにカスタマイズが可能だ。
PC個々のより詳細な状態を知りたい場合は、クリックしてドリルダウンすることで、ハードウェアやインストールされているソフトウェアのバージョン、最近のセキュリティに関するイベントといった、さまざまな情報を確認できる。資産管理的な情報からセキュリティ情報までを、1つの画面で把握できることが特徴だ。
この状態ではセキュリティ上問題がある、と判断した場合には、この管理画面上で「ポリシーの設定」「今すぐアップデート」などと指定すればよい。すると、あとは自動的にアップデート処理が行われる。エンドユーザーが作業を行う必要はない。
なおePOは3世代分までのバージョン管理機能も備えており、場合によってはロールバックも可能だ。利用するアプリケーションなどによって対応バージョンが異なってしまう場合などには、別々にポリシーを設け、運用することもできる。
何より大きなポイントは、ePOの画面からPCに関するすべての情報を把握し、作業できることだ。「多くの企業ではウイルス対策ソフトだけでなく、Webフィルタリングにホスト型IPS、デバイス管理、DLP、あるいは暗号化など、多種多様なセキュリティソフトを導入し、その運用は複雑化している。別々のツールを使い分けるのではなくePOで一元化することによって、管理者の負荷を減らせる。それだけではなく『情報』の一元化をも実現し、アップデート状況や感染マシンのログなど相互に関連した情報を分析してシームレスに管理し、セキュリティをより強固なものとすることができる」(松久氏)。
2012年12月にリリースされた新バージョン、ePO Deep Command v1.5では、インテルAMTとの連携がさらに強化された。
まず、インテルAMTとePO Deep Commandに加え、マカフィーの暗号化ソフトウェア「McAfee Full Disk Encryption v7.0」との連携も実現。これにより、従来起動時のパスワード入力がネックとなっていた暗号化端末に対しても、ロック解除やアップデートの作業などが行えるようになった。もしユーザーがパスワードを忘れてしまった場合でも、ePO Deep Commandから接続し、パスワードのリセットや再設定作業をリモートから行える。いちいち問い合わせに応じる必要がなくなり、さらなる管理者の負荷軽減につながる。
また、「McAfee KVMビューア」によって、元々インテルAMTが備えていたリモートKVM制御機能を、ePO Deep Commandからも実行できるようになった。ブルースクリーンが表示されてどうにも操作できないような状態のPCについても、ePO Deep Commandでリモートから接続し、修復作業を実施できる。
これまでは、たとえリモートコントロールソフトを使っていても、PCに致命的な障害が発生した場合はお手上げで、結局管理者が何度か現地に足を運んで対処する必要があった。
しかしMcAfee KVMビューアを利用すれば、端末がブルースクリーン状態になっていてもリモートから状況を確認し、必要に応じて別のイメージファイルを読み込んで起動する、といった対応が可能だ。「管理者がわざわざ現地に行って対処する必要がなくなり、負担と時間を短縮できる。特に、わざわざ専任の管理者を配置できないような拠点を多く抱える企業にとっては有用だ」(坂本氏)。
インテルとマカフィーは今後も、インテルAMTとePO Deep Commandの連携をさらにスムーズなものとしていくべく、協力して取り組んでいくという。何かと複雑化しがちなPCの運用管理を、セキュリティ対策と統合する形で一元化する両社の取り組みに、今後も期待したい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:マカフィー株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2013年5月31日
マカフィーの統合管理ソリューションとインテルのハードウェアを組み合わせ、電源のオン/オフも含めたさまざまな操作をリモートからも行える「McAfee ePO Deep Command」は、セキュリティレベルの向上に加えエンドポイントの自動管理を実現し、企業全体での省電力化とTCO削減にもつながるという。(@IT Special)