インテル® vPro® プラットフォーム搭載 PC 活用事例

Windows* 7 のサポート期間が延長され、EOS は 2023年1月で、今後 3 年間は修正パッチが提供されることが発表されました。しかしそれは有償で、その金額は毎年増額されていきます。ユーザー企業は一刻も速い Windows* 10 への対応が求められる一方、このタイミングを捉えて、従来の懸案事項だった低いパッチ適用率を改善したいと考える企業もあります。IT コンサルティングからシステム・インテグレーション、導入後のサポートにいたるまでをサービスとして提供する日本ビジネスシステムズ株式会社 (以下JBS) に、ユーザー企業が抱えている具体的な課題と、インテル® vPro® プラットフォーム搭載 PC の採用によって獲得することができた効果について、話を聞きました。

Windows* 10 環境の到来で
“より確実なパッチ適用方法”が求められている

JBS は、IT コンサルティングから SI、アプリケーションの開発やサポート等のマネージドサービスまで幅広い IT サービスを提供するシステム・インテグレータです。特に強みを持つのがマイクロソフト・プラットフォームをメインとした IT ソリューションの提供で、同社は 6 年連続で「マイクロソフト ジャパン パートナー オブ ザ イヤー」を受賞、また昨年は米国マイクロソフト・コーポレーションから日本で No.1 のパートナーとして賞を受けており、マイクロソフトを始めとするさまざまな分野のパートナー企業と連携することで、顧客企業の要件に合致する最適なシステムを提供しています。

これまで同社では、数々の顧客から“夜間にエンドユーザーが利用する PC の電源を遠隔操作で立ち上げて、パッチを適用したい”というニーズを聞いていました。その声は Windows* 7 の EOS が発表されて以降、さらに顕著になってきたといいます。この点について、IT ソリューション統括本部 金融システム本部 金融システム 2 部 マネージャーの柴田陽介氏は、次のように説明します。

日本ビジネスシステムズ株式会社 IT ソリューション統括本部
金融システム本部 金融システム 2 部 マネージャー 柴田 陽介 氏

「お客様企業の中では、Windows OS をベースとして、Office 365 に代表されるマイクロソフトソリューションが数多く利用されています。その一方で、定期的に配布されるパッチを、エンドユーザーの利用する PC に確実に適用することが大きな課題となっています。特にWindows* 10 になれば、月 1 回の Quality Update、そして半年に 1 回行われる Feature Update にも、対応していかなければなりません。IT 管理者の方の運用負荷は、以前にも増して高まることになります。そこで Windows* 10 への移行をきっかけに、効率的な電源管理を行うことができる方法を提案して欲しいというお声がけをいただいています」 (柴田氏) 

そうしたユーザー企業からの要望に対し、JBS では複数の解決策を提案、そしてある大手金融機関で採用されたのが、マイクロソフトの提供する PC 統合管理ツール「Microsoft System Center Configuration Manager (以下 SCCM) 」とインテル® vPro® プラットフォーム搭載 PC の組み合わせによる電源管理の方法です。これによって、より確実なパッチ適用が可能となります。

インテル® vPro® プラットフォーム搭載 PC の採用で、
ネットワーク・セグメントに依存しない電源管理を実現

以前より JBS では、この金融機関にシステムエンジニアが約 20 名規模で常駐し、OA システムの維持・管理を支援していました。こうしたリレーションの中で相談を受けたのが、Windows* 10 への移行後のパッチ適用率の改善です。当時の顧客の状況について、IT ソリューション統括本部 金融システム本部 金融システム 2 部の千葉沙織氏は、次のように説明します。

「それまでこのお客様ではパッチを適用する際、IT 部門がエンドユーザーに対して社内アナウンスや社内ポータルでその旨を告知し、“本日深夜にパッチ適用作業を実施するので、PC の電源は立ち上げたまま、帰ってください”という案内をしていました。しかし終日外出している従業員の方もいらっしゃいますし、うっかり忘れて帰られる方やその日に休まれている方もいます。全ての PC にパッチを適用できる環境ではなかったのです」 (千葉氏) 

自分の PC にパッチが当たっていないことを認識しているエンドユーザーは、後日 IT 部門に連絡してくるので、そのタイミングでパッチを適用することができるが、その際には IT 管理者が個別に対応するという手間がかかることになります。

こうした状況が続く中で Windows* 7 の EOS が発表され、この金融機関では、約2,500 台の PC を Windows* 10 に移行することを計画、同時に SCCM を利用した PC 統合管理のソリューションを構築することを決定し、その開発を JBS に依頼しました。

「その時に併せてご相談いただいたのが、確実な電源管理の仕組みでした。SCCM を利用して更新プログラムの配信を行う場合に、IT 管理者側で PC 電源を立ち上げることができなければ、状況としては以前と全く変わりありません。そこで我々は、3 つの方法をご提案しました」 (千葉氏) 

1 つめが、インテル® vPro® プラットフォーム搭載 PC を採用し、インテル独自のリモート管理機能であるインテル® アクティブ・マネジメント・テクノロジー (インテル® AMT) を利用して電源を立ち上げる方法、2 つめが、Wake On LAN を採用してマジックパケットにより電源を立ち上げる方法、そして 3 つめが、今回導入する SCCM が提供するウェイクアップ・パケット方式で電源を立ち上げる方法です。

そして最終的にこの金融機関が選択したのが、インテル® vPro® プラットフォーム搭載 PCを採用し、SCCM とインテル® AMT を連携して電源管理を行う方法です。

「その理由は何といっても、ネットワーク・セグメントに依存しない電源管理が可能となるからです。他の 2 つの方法では、IT 管理者側の PC が繋がっているネットワークを越えたセグメントにある PC には管理が及びません。それではお客様の求める確実なパッチ適用を実現するための前提条件を、満たさなかったということです」 (千葉氏) 

この金融機関では Windows* 10 への移行を順次進めており、2019 年一杯をかけて完了させる見込みです。また JBS が開発を請け負った SCCM ソリューションは 2019年8~9月にカットオーバーする予定で、それ以降、Windows* 10 が実装された PC で、SCCM +インテル® AMT による電源管理とパッチ適用が実施されることになります。

「こちらのお客様では、これまでのパッチ適用率が 70~80% だったのですが、今後SCCM +インテル® AMT による実運用が始まれば、さらに高いパッチ適用率が実現できると非常に期待されています」 (千葉氏) 

ここで、柴田氏が以前、自身が Wake On LAN で PC の電源を立ち上げてパッチ適用作業を代行していた顧客企業での作業経験を話してくれました。思い当たる節のある IT 管理者の方もいらっしゃるのではないでしょうか。

「1 フロアに 800 台のデスクトップ PC があり、そのパッチ適用作業を私一人で行っていました。作業開始は従業員の皆様が退社された金曜日の深夜 12 時頃からで、まず 800 台に対してマジックパケットを送って電源を立ち上げ、パッチを配布します。ただしマジックパケットを投げたにも関わらず、電源が立ち上がってこない PC があるので、パッチ送付後に PC 800 台を 1 台 1 台“見回り”、ちゃんと電源が立ち上がっているかどうかを確認するのです。そして電源が付いていない PC は手動で立ち上げ、席に戻ってから再度、パッチを配布する。この作業は翌朝の 6~7 時頃までかかりましたね。その 800 台が全て インテル® vPro® プラットフォーム搭載 PC だったら、当時こんな苦労は一切しなくて済みましたし、お客様の運用コストも大幅に減らすことができたと思います」 (柴田氏) 

日本ビジネスシステムズ株式会社 IT ソリューション統括本部
金融システム本部 金融システム 2 部 千葉 沙織 氏

インテル® vPro® プラットフォーム搭載 PC を利用して、
“パッチ適用率 97%”を目標に掲げるユーザー企業も登場

先に紹介した大手金融機関は、まさにこれから SCCM +インテル® AMT による電源管理とパッチ適用を始めることになるが、JBS の顧客の中には、既に SCCM +インテル® AMT の組み合わせで電源管理を行い、約 2,500 台の対象 PC に確実なパッチ適用を実現した企業もあります。

柴田氏は「その背景には、やはり“夜間のパッチ適用を確実なものにしたい”というニーズがありました」と説明します。

「こちらの企業様では、以前サードパーティーのクライアント運用管理ソフトと、Windows* 7 環境の インテル® vPro® プラットフォーム搭載 PC を利用されており、インテル® AMT で各 PC の電源を立ち上げた後、運用管理ソフトでパッチを適用するという運用をされていました。既に インテル® vPro® プラットフォームのメリットは、十分にご存知だったのです。そのため Windows* 10 に環境が変わっても インテル® vPro® プラットフォームは必須とのご判断で、さらにパッチ適用率の大幅アップを図るために、新たに SCCM を採用して、インテル® AMT と組み合わせて利用したいというご相談をいただきました」 (柴田氏) 

この企業では、2018年12月に Windows* 10 への移行を完了、対象となった PC 2,500 台は全てモバイル PC でした。パッチの適用もこれまでに複数回、実施済みになっている。

「こちらのお客様では、社内の IT 部門で PC の運用管理を行われているのですが、先にも述べたパッチ適用率の向上が、運用チームに与えられた至上命令でした。そして Windows* 10 への移行前に、パッチ適用率の目標値が“ 3 日後、97%”に設定されたのです。その一方で、働き方改革の観点から、新たに導入する PC は全てモバイル PC にするという決断もされました。いわばパッチ適用率の向上とはトレードオフの関係にあるといってもいい施策です。普通のやり方をしていたのでは、到底 97% という数字は達成できません。そこでこの課題を解決するために選択されたのが、SCCM +インテル® AMT による電源管理とパッチ適用でした。97% というのは、本当に高い数値ですが、SCCM とインテル® AMT とを組み合わせて利用すれば、現実的に達成可能な数字だというご判断をされたということです」 (柴田氏)

ちなみにパッチ適用率 97% という目標値が 3 日後までとなっているのは、パッチ適用日に営業担当者が自宅にモバイル PC も一緒に持ち帰ってしまい、管理対象外になってしまうケースや、あるいはオフィス内の既存のデスクトップ PC でも、当日ネットワークに繋がっていないマシンが出てくる可能性があるからだ。その際には、パッチ適用実施後に改めて個別対応を行う必要がある。“3 日後、97%”というのは、そんな事態の発生までを見越した上での目標設定ということになります。

JBS では、インテル® AMT のアクティベーション・ノウハウも提供

確実なパッチ適用をサポートするインテル® AMT による電源管理だが、ここで 1 つ、留意すべきポイントがある。インテル® vPro® プラットフォーム搭載 PC に実装されたインテル® AMT の機能を利用するためには、インテル® AMT のアクティベーションを行う必要があるということです。

SCCM を利用する場合には、SCCM 上でインテルの提供するプラグインをインストールすることで SCCM が インテル® vPro® プラットフォーム搭載 PC を検知し、インテル® AMT のアクティベーションが自動実行されます。

また以後は、新たな インテル® vPro® プラットフォーム搭載 PC を SCCM 配下のドメインに追加するだけで、インテル® AMT のアクティベーションを完了することができます。今後 PC 台数がどれだけ増えても、その都度 1 台ずつ、インテル® AMT のアクティベーション作業をする必要は一切無くなるため、運用管理の手間とコストを、大幅に低減できることになります。

ちなみに先の金融機関の事例では、この会社に PC を納入した IT ベンダーがキッティング作業までを行ったが、インテル® AMT のアクティベーション方法の手順をマニュアルとして提供したのは JBS でした。

「もちろん大元の情報はインテルから提供してもらいましたが、我々は各 PC メーカーの機種ごとに実機を使って検証し、個別に詳細手順を確立した上で、初期設定手順書を作成しています。具体的な目次としては、ACUWizard.exe 起動、あるいは Edit Settings からの設定といった項目が挙げられますが、まさに SIer としての我々のノウハウが詰まったマニュアルとなっています」 (柴田氏)

こうした SCCM を利用するインテル® AMT のアクティベーションを、ユーザー企業自身で行うことももちろん可能だが、その際には SCCM に関する知識やノウハウが求められることになります。独自のマニュアルを提供し、マイクロソフト・ソリューションに専門性を持つ JBS のような IT パートナーに作業を依頼するのも、賢明な選択肢の 1 つだといえます。

そして最後にインテルとのパートナーシップの意義について、事業企画本部 総合企画部長の原山美幸氏は次のように言及しました。

「インテルとのパートナーシップにより、技術面のご支援をいただいて JBS のエンジニアスキルを向上させることや、プロモーション活動を通じて新たなお客様の獲得に繋げていくことが可能になると考えています。マイクロソフト・ソリューションに強みを持つ弊社の特徴も活かしながら、今後も両社の関係をさらに発展させていきたいと考えています」 (原山氏)

日本ビジネスシステムズ株式会社
柴田 陽介 氏 (右側) 千葉 沙織 氏 (左側)

本記事は、2019年7月に日経クロステック Special に掲載されたコンテンツをインテルのウェブサイトにあわせて再構成したものです。

ビジネス変革を実現

インテル® vPro® プラットフォームを基盤にしたデバイスの選択により、コンピューティングのエンドポイントが戦略的な企業資産に一変します。

リモート管理の簡素化

電源喪失や OS の障害が発生したときでも、インテル® アクティブ・マネジメント・テクノロジーのリモート検出 / 回復機能により、オンサイトのサポートの時間とコストを削減できます。

インテル® アクティブ・マネジメント・テクノロジーの詳細

インテル® ステーブル IT プラットフォーム・プログラム (インテル® SIPP) による PC ライフサイクル管理

インテル® ステーブル IT プラットフォーム・プログラム (インテル® SIPP) は、テクノロジーの世代間の移行を予測可能な作業にします。

インテル® SIPP の詳細

安全なプラットフォーム基盤を支えるインテル® ハードウェア・シールド

ハッカーは、BIOS など、PC に新たな攻撃領域はないかと狙っています。インテル® vPro® プラットフォーム専用のインテル® ハードウェア・シールドは、BIOS の攻撃面を縮小し、移動先での作業が多いスタッフがどこで PC を接続してもモバイル環境を保護します。

インテル® ハードウェア・シールドの詳細