2つのモード: ACM vs. CCM(その2)

まとめ
  • インテル® AMT による一般的なリモート管理作業であれば、CCM でも充分対応できます
  • デジタル・サイネージなど無人端末で BIOS の設定変更を行う場合は ACM が適しています
  • ACM で複数の PC の初期設定を効率的に行うには、デジタル証明書が必要になります
「ユーザー同意」が適している用途、適していない用途

その1> でご紹介した、CCM(Client Control Mode)で構成した場合にリモート KVM で求められる「ユーザー同意」、どの様な用途では問題なく利用可能で、またどのような場合には問題があるのでしょうか。

ユーザー同意のプロセスでは、操作される PC 側だけに表示される「ユーザー同意コード」を、何らかの方法で操作する側の人(管理者)に伝えなければなりません。すなわち操作される側の PC の前に人がいなければいけない、無人の端末では難しいと言うことになります。
そもそも無人で運用されているデジタル・サイネージ端末や、端末とユーザーが 1:1 で紐付けられない PoS 端末やコールセンターなどで利用される業務端末では、表示されるパスコードを管理者に伝えてもらうのが困難なことも多いでしょうから
ただこれはあくまでも、「端末の側に一切人がいない状態で」、かつ「BIOS 画面の表示や操作を行いたい」「ブルースクリーンの画面を確認したい」と言ったニーズの場合です。
通常のリモート操作であれば、リモートで電源を ON にした後、ソフトウェア・ベースのリモコン・アプリケーションを使えば実現可能(インテル® EMA では無償で利用可能)ですので、一般的な用途では CCM でも困ることは無いでしょう。

一方、逆に「ユーザー同意」が必須の CCM が向いているのは、ヘルプデスクなどの業務を外部の会社などに委託している場合ではないでしょうか。外部ベンダーの担当者は、PC の前にいるユーザーの許可(パスコードの共有)をもらって始めてリモートアクセス可能になりますから、予期せぬ PC へのアクセスを防ぐことが出来、安全に運用が可能です。

もう1つ、ユーザー同意が必要になる機能として「IDE-R」が存在します。IDE-R(IDE Redirection)は管理者の手許にある起動ディスクのイメージを、ネットワーク越しにターゲットの PC の起動ディスクとしてマウントする機能です。
例えば不具合の頻発する PC に対して、ハードウェア診断ディスクから起動し、診断を行う、またはリースやレンタル期間が満了した PC の輸送時の情報漏洩リスクを回避するために、消去プログラムが含まれた起動ディスクをマウントして完全初期化を行った上で輸送するなどという用途に用いられています。この様な作業を多く行うユーザーは、ACM での利用を検討した方が作業の自由度が上がります。

ACM での設定に必要なもの

PC を1台1台、拡張 BIOS(MEBx)画面から設定する際は、CCM との比較において特に追加で必要となるものはありません。

一方で、複数の PC を効率よく設定するために、インテル® AMT の設定方法の1つに HBP(Host Based Provisioning)と呼ばれる方法があります。これは Windows 上から利用可能な、手軽な設定方法なのですが、手軽なだけに、この HBP によって ACM レベルの設定を行うことはできません。ACM は非常に強力な管理モードですので、情報セキュリティの観点からこの様な制限が行われているのでしょう。
インテル® EMA を用いて複数の vPro プラットフォーム対応 PC をまとめて ACM で設定する場合には、インテル社が規格を定めた「vPro 設定用デジタル証明書」が必要になります。
この証明書は広く Web サイトを運営する企業の実在性を証明したり、SSL の暗号化通信を可能にするための「SSL サーバー証明書」とほぼ同じ仕様の証明書で、設定される PC から観た場合、「今自身を設定しようとしている(インテル® EMA)サーバーが、本当に信頼できるサーバーなのか?」を確認するために使われています。証明書の基本構造は「SSL サーバー証明書」と同じですが、一部にインテル® vPro® プラットフォームのための特有の情報が追加されています。

この「vPro 設定用デジタル証明書」は、主要な認証局・デジタル証明書ベンター様から購入可能ですが、日本で購入可能な証明書において、私共の経験では Go Daddy 様のサイトから購入するのが最も安価でした。(証明書を1枚購入する場合の通常価格において)
インテル® EMA などを用いて、ACM での設定を行う場合、このデジタル証明書を導入いただいた上で EMA サーバーにアップロードいただくのですが、幾つかの状況において「デジタル証明書の導入が難しい」ケースも拝見しています。

そのあたりのお話は、また次回に・・・

おしまい