【匠の部屋】なぜvProはファイアウォールを簡単に突破できるのか?

弊社技術責任者の牧がお手伝いしている Internet Watch 様の連載「匠の部屋」、早いもので5回目の掲載を迎えました。

【匠の部屋】なぜvProはファイアウォールを簡単に突破できるのか? の記事を見る

今回のテーマは「なぜvProはファイアウォールを簡単に突破できるのか?」。
確かに現在の vPro プラットフォーム対応 PC はインテル社からリリースされている無償のソフトウェア・ツール「インテル Endpoint Management Assistant (EMA)」を用いることにより、組織のファイアウォールの外側で、直接インターネットに接続されている PC に対しても強力なリモート管理を実現できる様になりました。

実のところ、このことは決して当たり前ではなく、vPro プラットフォームに長く関わる関係者にとっては長年の悲願であったと言っても過言では無いかもしれません。
vPro プラットフォーム(当時は vPro テクノロジー)がリリースされたのは 2006 年、当時は現在のような感染症の流行による在宅勤務の長期化などは意識の片隅にもなく(日本ではそもそも PC の持ち出し自体が禁止されていましたし)、PC はその大部分の時間で組織内に存在し、組織のネットワークに接続されていました。vPro プラットフォームもそんな環境が前提になっていて、通信先の PC を特定するためにその PC が使用している IP アドレスを用いていました。PC が組織のネットワークに接続されていれば問題はありませんが、PC が組織のネットワークを離れてしまうと、たちまち通信が難しくなっていました。その PC が今インターネットに接続するため、どんな IP アドレスを使っているのか、特定する方法が無かったからです。

そこに登場したのが記事の中でも触れられている「CIRA (Client Initiated Remote Access)」という機能。今から 10 年以上前に登場したこの機能は、数日間〜長期の出張で組織のネットワークに接続することが難しいエンドユーザーが、予期せぬ PC の不具合などでシステム管理者の技術サポートを得たい時に利用することを想定した機能だった様ですが、あまり利用されていなかったのではないかと思います。この CIRA の利用シナリオを根本から変えることで、システム管理者は組織ネットワークに接続されていない PC に対しても電源の ON/OFF や BIOS の操作などを行うことが可能になりました。

関係者の悲願とも言えるこの作業が、実は以前から持っていた道具の使い方を変えることで実現できた訳で、記事内に書かれている通り CIRA から見ればまさに「シンデレラストーリー」ですね。今まで全く注目されず、ひっそりと舞台の袖にいたのに、ある日突然舞台のセンターでスポットライトに照らされる存在になった訳ですから・・・

詳しくは、是非 Internet Watch 様の記事をご覧ください!!

【匠の部屋】なぜvProはファイアウォールを簡単に突破できるのか? の記事を見る

タイトルとURLをコピーしました