トピック

【窓の杜、vPro入れました!】テレワークで困った「会社に置かなきゃいけないPC」問題、本格リモート制御で解決してみた

「出社している誰か、PCの電源を入れなおしてください」を無くすために……

 昨年春の緊急事態宣言以来、テレワークを進めている、あるいは試行している会社は多いだろう。

 そうした中、最後まで残りがちな問題の一つが「会社に置いておく必要があるPCのトラブル対応」だと思う。

 実は、窓の杜編集部にもそうした「会社に置いておく必要があるPC」があり、稀に起きるトラブルのたび、チャットツールで「出社している方、PCの電源を入れなおしてください」とやっていた。我ながらどうかと思っていたのだが、今回、このPCをリプレース、vPro搭載モデルにすることで「フルリモート管理」を実現できた。

 読者の方にも参考になると思うので、そのポイントを紹介していきたい。

左のデスクトップPC(と液晶ディスプレイ)を、手前のノートPCにリプレースした。ノートPCはvPro搭載モデルだ

「仮想化できない、担当者の自宅にも置けないPC」はやはり会社に……では、万一のトラブルにどう対応するべきか?

 さて、まずは「会社に置いておく必要あるPCで何をやっているのか?」から説明しよう。

窓の杜のウイルスチェック体制

 窓の杜では、日々バージョンアップする窓の杜ソフトライブラリ収録ソフトのファイルを、複数のアンチウイルスソフトで毎日スキャンしているのだが、このスキャンのためのPCが「会社に置いておく必要があるPC」だ。

 元々、編集部の共用PCとして使っていたのだが、テレワークを進める際、「実機でないと動作しないアプリがあるので、全環境の仮想化は困難」、「担当スタッフの自宅に置いておくわけにもいかない」(セキュリティ上の懸念がある上、他のスタッフが緊急に使いたくなった時に困る)という理由から、従来通り会社に設置し、VPNとリモートデスクトップで利用することになった。

 その後、ほどなく編集部は完全テレワークになり、このウイルスチェックPCだけが「編集部」で延々と動いていたのだが、連続稼働による負荷や、たくさんのアプリをインストール/アンインストールすることによる問題、果てはその際の設定ミスなど、平均すると2~3カ月に1回ぐらい、PCがダウンしてしまう。

 編集部員は会社にいないので、こうなるとお手上げだ。

会社に置いてあるPCは、「出社している誰か」に再起動をお願いせざるを得ないことがあった

 結局、「出社している別部署の誰か」に再起動をお願いせざるを得ないのだが、正直申し訳ないし、もし「誰もいないときに落ちる」とか「誰かはいるが、数時間手が離せない」なんてことがあったら目も当てられない。

 また、「電源スイッチを押すだけ」であればいいのだが、ちょっとした調整が必要になったら、「誰か」にお願いするわけにはいかないだろう。

 そうしたとき、ふと思い出したのが「vPro」の存在だ。

 vProは、正式名称をインテル vPro プラットフォームといい、リモートでの電源管理機能などを基盤技術として、強力なセキュリティやPC管理・サポート機能などを提供するものだ。

vProでは、メニューから「電源ON」「強制リセット」などを選ぶだけでネット越しに操作可能。BIOS画面も操作できるリモートデスクトップ機能も備える

 ハードウェアで実装されているため「vPro搭載PC」が必要になるが、「電源オフのPCでもリモートで電源を入れられる」「たとえハングアップしてもネット越しに画面を確認し、BIOSも操作できる」など、トラブル時の遠隔操作だけ見ても、とても強力な機能を備える。

 vPro搭載PCは「大企業が大量導入する」という事例が多いが、もちろん中小企業でも利用できるし、別に1台だけでも活用できる。インテルから高機能な制御ソフトも無償提供されており、実は窓の杜で活用するにはうってつけ、ということに今更気が付いたというわけだ(事例記事はこちら)。

 背景説明はこれぐらいにして、その導入過程を紹介していこう。

 ポイントとして説明したいのは主に2点。「機種を選んで購入すること」と「vProの設定の仕方」だ。

4年前のデスクトップPCを、最新のvPro搭載ノートPCにリプレース

 まずは機種の選定から説明しよう。

 旧PCのスペックは以下の通り。2017年に購入したデスクトップPCだ。

これまで利用していたPC。見ての通り、デスクトップPCだ

CPU:Core i7-7700(4コア/8スレッド@3.6GHz、TDP65W)
メモリ:32GB(DDR4-2400)
GPU:CPU内蔵(Intel HD Graphics 630)
ストレージ:SATA-SSD 500GB + USB 3.0 SSD 2TB
形状:デスクトップPC
OS:Windows 10 Pro(64bit)

 性能面の不足は特に感じていないので、スペックは同程度あればよく、どちらかというと、せっかくvPro機にするのだから、それを最大限生かせるようにしたい………と考えた末の結論が「ノートPCへのリプレース」。

 元のPCは4年前に導入したものなので、似たような性能でよければノートPCで実現できるし、ノートPCならバッテリーをUPS替わりとしても利用できる。また、極端な話、Wi-Fiさえ通れば「稼働しつつ移動する」なんてこともできたりする。例えば今後、テレワークの進展でオフィスが改装されるなどで、「置き場所を変える必要がある」となっても簡単に移動、その場所のままvProで管理………なんてこともできるというわけだ。

新PCは第11世代CoreのノートPCに

 そうして導入した新PCの主なスペックは以下の通り。

ノートPCを新PCとして導入した

 CPUは第7世代Coreから第11世代Coreに代替わりしたので、内蔵GPUの性能も向上しているし、消費電力も減っている。今回は計測していないが、PC全体の消費電力が減っているのも間違いないだろう。また、旧PCと違い、スペック上、Windows 11にアップデートできるのも重要ポイントだ。

CPU:Core i7-1185G7(4コア/8スレッド@3GHz、cTDP12~28W)
メモリ:32GB(DDR4-3200)
GPU:CPU内蔵(Intel Iris Xe Graphics)
ストレージ:PCIe NVMe-SSD 256GB + USB 3.2(Gen2)-SSD 1TB
形状:ノートPC
OS:Windows 10 Pro(64bit)

CPUのエンブレムにvProと書かれている。vPro搭載PCを判別するには一番簡単な方法だ

 ちなみに、購入したのはメーカー直販の法人向けオンラインショップから。

 vPro搭載PCはSIerからの導入などが多く、量販店などでは取り扱いがないことも多いため、「ショップから購入する」となるとメーカー直販などが主な選択肢になる。

 なお、普通のショップでは、vPro搭載PCの取り扱いに慣れていない場合も考えられるため、購入時は、モデル番号だけでなく、「vPro搭載PCがほしい」と明示的に連絡しておくと安心だろう。

HDMIのダミープラグ。価格的には1千円台前半から販売されているので、利用方法に合わせて用意するといいだろう。

 また、今回は別途、「HDMIのダミープラグ」も購入している(これは秋葉原で購入した)。この指先ほどのアダプタをPCのHDMIコネクタに接続しておくと、PCからはディスプレイが接続されているように認識される。

 これが何故必要なのかというと、「vProがハードウェアで実装されている」という特性からだ。

 vProのリモートデスクトップは、BIOSやブルースクリーンなど、ソフトウェアベースのリモートデスクトップでは確認できないものも見られるが、これを実現するため、vProのリモートデスクトップは「出力中の画面をそのまま忠実に出力する」という仕様になっている。つまり、なにかの事情で画面が出力されないと、vProのリモートデスクトップも真っ黒なまま。例えば「ノートPCの液晶を閉じた状態」や「画面無しのPC」の場合、リモートデスクトップの画面も真っ暗になってしまう。

 OSが立ち上がっていればWindowsのリモートデスクトップなどを使えばよいし、なんならノートPCの液晶をあけたまま設置しておく手もあるが、別の解決方法として、この「HDMIのダミープラグ」をノートPCに接続することでも解決できる。これをPCに接続することで、「外部ディスプレイがつながっているので、画面も出力される」=「液晶を閉じた状態で、BIOS画面をリモートデスクトップで操作できる」となる寸法だ。

導入したら、vProを設定

 新PCが届いた後、ウイルスチェック用の環境を設定し、その後、vProの設定と動作確認を行った。

 肝心のvProの設定だが、今回は以下のような方針にした。Intel MC(Intel Manageability Commander)を使うので、基本的な手順はINTERNET Watchの連載で紹介しているものとほぼ同じ。大きく異なるのは、Intel MEBxに設定するのは、IPアドレスでなく、「マシン名+ドメイン」になるところだ。

・制御はIntel MCで行う
・Intel MCの通信先はマシン名で設定する(IPアドレスをDHCPで取得するため)

マシン名とドメイン名を設定した
新PC(左)の遠隔制御をテスト中

 設定後、「社内ネットワーク内からの制御」「VPN越しでの制御」と試し、いずれも動くことを確認。vProによる電源ON/OFFも、リモートデスクトップも利用OK。

 手慣れてくると本当にあっけないが、vProの設定はこれで完了だ。

運用してみてどうだったのか?

 最後に「実際に運用してみたらどうだったのか?」だが、これは基本的に想定通り。

 運用方針は「通常作業はWindowsのリモートデスクトップで行い、何かトラブルがあったらIntel MCで対処する」なのだが、正直なところ、まだトラブルが起きていないので、Intel MCの出番はなし。

 「ブルースクリーンになったらリセットしてBIOSも確認。熱を持ちすぎてクラッシュしたら、電源を切って冷やした後、ころ合いを見て電源投入。最悪、OSの再インストールだってできるよな………」と、様々なシナリオを考えているのだが、こういう時に限ってトラブルは起きない(笑

 まぁ、トラブルが起きないのはいいことなのだが、それ以外にもメリットはあった。

 それはPCの性能向上だ。

 ウイルススキャンの実時間は1割~3割ほど高速化しており、その分、業務効率も上がったといえる。デスクトップPC→ノートPCの移行ということもあり、CPUのパフォーマンスは一部下がっている(シングルスレッド性能は向上、マルチスレッド性能は低下)のだが、両PCのメインストレージは、旧PCがSATA-SSD、新PCがPCIe-NVMe SSDで、ベンチマーク上のスピードも大きく違うため、これは納得の結果だろう。

【新旧PCのベンチマーク比較】
旧PCのCドライブ
新PCのCドライブ
旧PCのCinebench結果
新PCのCinebench結果

 ちなみに、第10世代以降のIntel Coreプロセッサーでは、マルウェアのスキャンをGPUで行う「AMS(Accelerated Memory Scanning)」が利用でき、対応アプリケーションでは、マルウェアスキャン中のCPU負荷を軽減できる。

 窓の杜で利用しているWindowsセキュリティ(Windows Defender)もAMSに対応しているので、新PCでも実際に動作させてみた。AMSは、ON/OFFできる機能ではないので、その違いを体感することはできなかったが、タスクマネージャーでのGPU負荷は10%前後使われており、GPUも含めて動作していることは間違いないようだ。

AMSでGPU負荷が上昇している

 というわけで、窓の杜編集部で実際にvPro搭載PCを導入、移行した流れを紹介した。まだトラブルが起きていないのが、逆に残念な気もするが、さすが最新PCなだけあり、動作そのものは極めて快適。

 また、「たいていのトラブルは遠隔で対応できるだろう」と考えると、スケジュールを組む際の安心感も変わってくる。こうした、「遠隔でなんでも制御できる安心感」、気になる方はぜひ体験してみてほしい。


 テレワークの普及に伴い、仕事におけるPCやITの活用方法、セキュリティ対策などが大きく変化しています。その中で、様々な疑問、悩み、ストレスが生まれていると思います。

 僚誌PC Watchでは、みなさんのそうした仕事におけるセキュリティやITの困りごと、ボヤキ、質問を大募集しています!

 下記フォームから投稿いただいた方の中から、アマゾンギフト券2000円分を毎月抽選で5名様(4~10月の毎月末に抽選。当選者の発表は景品の発送をもってかえさせていただきます)、採用者には同5000円分(同内容の投稿が多数の場合は採用者の中から抽選で1名様。募集期間は10月31日まで)をプレゼント。

 「テレワークで自宅から会社のPCの電源を入れるにはどうしたらいいか?」、「社員が利用するアプリを制限するにはどうしたらいいか?」など、企業でPCを管理/運用するうえで困っていることや、知りたいことなどを募集します。

 現場で頼りにされている「パソコンおじさん」や「とにかくやる」ことになってしまった新入社員のとまどい、大企業・中小企業のIT担当者、さらにはIT投資担当や経営者のボヤキまで、なんでもどうぞ。

 いただいたご質問に対して、後日、ウェビナーや記事の形式にて、インテルの担当者の回答を元に提案をご紹介していきます。