メディア

WSUSは使えない? Windows 10の更新が失敗する原因と対策

Windows 7のサポートが終了したこともありWindows 10への移行が急がれる。しかし、既に移行を済ませた企業からは「大型アップデートのたびにトラブルが起きる」という悲鳴も聞こえてくる。その原因と有効な対策を専門家に聞いた。

» 2020年01月20日 08時00分 公開
[吉田育代キーマンズネット]

 「Windows 7」のサポートが2020年1月14日に終了したこともあり、中堅・中小企業を含めて「Windows 10」を利用するユーザーが増えている。その一方でWindows 10への移行後は、半年に1度のペースで対応が必要な大型アップデートの運用に戸惑いを感じたり、「大型アップデートのたびにトラブルが起きる」といった悩みを抱えたりする組織も少なくない。

 さらにマイクロソフトによる更新プログラムの管理、配信を担ってきた、更新プログラム適用制御用サーバ「WSUS(Windows Server Update Services)」を使う場合は、アップデートの適用が難しくなるケースも報告されている。

 本稿では、Windows 10の大型アップデートに伴うトラブルやその原因、WSUSの課題、取り得る対策や最適な運用方法を、横河レンタ・リース 事業統括本部 ソフトウェア&サービス事業部長 松尾太輔氏に聞いた。

 後半では、2019年10月にマイクロソフトが延長サポートプログラム「Windows 7 Extended Security Update(ESU)」を2023年まで有償で購入できると方針転換したことに対し、「Windows 10に移行せずWindows 7を使い続ける」という選択肢が企業にどのような影響を与えるのかについても解説する。

Windows 10の大型アップデートはなぜ失敗するのか

 2020年1月14日、Windows 7の延長サポートが終了した。特別なライセンスがない限り、セキュリティアップデートの提供がなくなるため、利用を継続するのはリスクが高い。特に企業が利用する場合は自社だけでなく取引先や顧客にもセキュリティリスクがおよぶ可能性があるため、早急な対策が必要だ。これを潮時とWindows 10への移行を決意した企業も少なくないのではないだろうか。

 Windows 10の管理はこれまでのWindowsとは全く異なる。マイクロソフトは、OSのアップグレードを新製品としてではなく、定期的にアップデートし続けるWindows as a Service(WaaS)という概念の“サービス”として提供するよう方針を改めた。

 アップデートは大きく、機能拡張のための機能更新プログラム(Feature Update、FU)と、品質向上のための品質更新プログラム(Quality Update、QU)の2つに大別できる。前者は半年に1回、後者は毎月1回配信される。

 特にFUの配信に頭を悩ませる企業は多い。管理者は半年に1度のアップデートの度に、アプリケーションの上位互換性のテストや、マスターイメージの作成をしなければならず、その負荷がのしかかる。さらに、松尾氏は「Windows 7のサポート終了後に予定されている2020年4月のアップデートは、その1つ前の「Windows 10 November 2019 Update(1909)」よりも早くプレビュー版に追加されているため、大きな影響が出るバージョンアップなのではないか」との見解を示す。

 アップデートに伴うトラブルも深刻だ。FUはファイルサイズが数GBに上るため、企業内の端末が同時にファイルをダウンロードすれば、ネットワークがダウンするリスクがある。アップデートの不具合によって、ファイルが消失したという事件も報告されている。

 「アップデートが失敗する」という問題も頻発しているという。実際に、PCのHDDの容量不足や、Windows Updateデータベースの破損によって更新プログラムが適合できなかったり、勝手にロールバックしたりといった事件が起きている。

Windows 10の更新を放置するとどうなるのか?――WSUSの課題

 アップデートを失敗したまま放置するリスクは大きく、松尾氏は更新漏れによってセキュリティリスクが高まること、Windows 10と密接に連携している「Office 365」といったクラウドのサービスと互換性を保てなくなることを指摘する。

 アップデートを確実に運用するために、マイクロソフトによる更新プログラムの管理、配信を担ってきたWSUSを利用すればよいのではと考える場合もあるだろう。WSUSとはWindows Serverに標準で備わった仕組みの1つで、更新プログラムをPCのグループごとに適用させたり、その適用状況を把握してレポートを作成したりといった管理機能を有する。しかし、WSUSはWindows 10の更新管理には適していないという。

 まず、Windows 10の更新プログラムは、FU・QUともに体系が複雑だが、WSUSの管理画面では更新プログラムが一覧で表示されるだけで、「どのプログラムを適用するべきか」が分かりにくい(図1)。

図1 WSUSでのアップデータ選定(出典:横河レンタ・リース)

 さらに全社のPCに対して「ある更新プログラムが完了しているのか、途中で失敗しているのか」の進捗状況を一覧で把握できず、PC単位にどの更新プログラムが適用されたか、あるいはプログラム単位でどのPCに適用されたかの情報しか得られない。

 「Windows 10を運用する際は、漏れなく必要な更新プログラムを選定し、アップデートの進捗状況を把握して、トラブルが起きた場合は速やかに解決できることが理想ですが、WSUSではそれが難しい」(松尾氏)

Windows 10対策に有効なIT資産管理ツールの選び方

 こうしたWSUSの弱点を克服し、Windows 10のアップデートをサポートするものとして、近年は複数のIT資産管理ツールがOS運用管理機能を備え、進化させている。市場には多くのIT資産管理ツールが出回っているが、Windows 10の運用を考えた際にどのような特徴を重視すればよいのか。

 1つは、「必要な更新プログラムが何か」が分かりやすく整理されていることだ。松尾氏は「WSUSのデータベースを参照して、適用させるべき更新プログラムをまとめているツールは、どうしても情報を整理しきれていない傾向にある」として独自設計で開発されたツールが望ましいと話す。

 例えば、「Ivanti Endpoint Manager」(Ivanti)や、「BigFix」(HCL Technologies)、「Tanium」(Tanium)の拡張モジュールである「Patch」および「Deploy」などがこれに当たる。なお、最後に挙げたTaniumは、独自設計で開発されているものの、WSUSの情報を利用するタイプのツールであるため、「厳密にはWSUSのデメリットの影響を受ける可能性がある」と松尾氏は解説する。

 横河レンタ・リースも、Windows 10 に特化したアップデート運用ソリューションとして「Flex Work Place Unifier Cast」(以下、Unifier Cast)を提供する。

 例えば、Unifier Castは、更新プログラムを重要度に従って、「Update 全て適用」「Security Update のみ全て適用」「最も重要なSecurity Updateのみ適用」という3種類にまとめなおし、管理者がその中から自社のポリシーに合うものを選択できるようにしている。

 2つ目は、更新プログラムを適用させるべき全PCに対し、アップデートがどれほど進んでいるのか、アップデートが成功しているのかといった進捗状況を詳細に追えることだ。

 特にFUに関しては、半年に1度という短いサイクルの中で、問題を最小限に抑えながら配信を完了させるために「まずはIT部門の一部に先行配信し、次に現場に展開する」などテストをしながらアップデートを適用することが推奨される。このパイロット運用を実現するためには進捗状況を追えることが欠かせない。

 この点に関し、Unifier Castは、全社の進捗状況を一覧表示するとともに、ユーザーを「プレビュー」「ターゲッテド」「ブロード」「クリティカル」と、トラブルが起きても問題を小さく収められる順に分類し、グループごとの更新進捗状況もグラフで確認できるようにしている(図2)。ドリルダウンすれば、更新が進んでいないユーザーも特定される。

図2 社内のアップデート状況を把握するダッシュボード(出典:横河レンタ・リース)

 3つ目は、何らかのトラブルが起きた際、速やかに原因を特定し、対処できるようサポートする仕組みがあるかということだ。

 「Windows 10のみならず、あらゆるシステム運用において、トラブルをゼロにすることは不可能です。よって、トラブルが起こった際に、早々に解決に向けて動けるかどうかが鍵になります。製品を選ぶ際は、トラブルシューティングにおいてどのような機能を提供しているかをチェックした方がいいと思います」(松尾氏)

 ちなみに、Unifier Castではエラーコードを独自にデータベース化しており、更新に失敗した際は、そのデータベースを基に、トラブルの原因とその対処法を管理画面に表示する。例えば、更新がストップした際に「ディスク空き容量が不足しています」といったガイドを示し、ユーザーに空き容量の確保と再更新を促す(図3)。

 松尾氏によればこれらの3つの選定ポイントが重要である一方、「更新ファイルの配布の際に、ネットワークの負荷を下げる機能」については既に多くのツールが備えており、差別化の要因とはなり得ないという。

 「Windows 10ユーザー企業は、ネットワークの負荷リスクを非常に恐れており、これを解消してくれるならば『よい製品』と判断してしまう傾向があります。しかし、実はネットワーク負荷の問題を解決するのはそれほど難しくはなく、ツールを選定する際の重要なポイントではありません」(松尾氏)

図3 ユーザーが自らトラブルを解決できるようガイドを提供(出典:横河レンタ・リース)

Windows 7の延長サポート

 松尾氏は、Windows 10への移行を機に、管理者やエンドユーザーも更新に対する認識をあらためることが必要だと訴える。

 最大のメッセージは「トライ&エラーに慣れること」だ。日本企業は「品質保証」の発想が根強い傾向にあり、管理者が「エンドユーザーに下手なものは渡せない」と検証に時間をかけることになる。しかし、今は安定性だけでなく技術の進歩に追随することも重要な時代であり、その際にある程度のエラーが起こることを「当たり前」として捉え、管理者もエンドユーザーも柔軟に対処する姿勢が求められるというのが松尾氏の考えだ。

 ちなみに、2019年10月にマイクロソフトが、1年間有効の延長サポートプログラムWindows 7 Extended Security Update(ESU)を2023年までの3年にわたって提供するという方針を打ち出した。しかも、従業員規模やボリュームライセンス契約の有無に関わらず無条件で全企業が延長サポートを購入できるとしており、これまでのポリシーからも随分条件が緩和される形となった。

 「どうしてもWindows 10へ移行したくない、このままWindows 7を使い続けたい」という企業は、このサポートとプログラムを購入するという選択肢もあるが、松尾氏によれば「お勧めはしない」。ESUは2020年1月15日から2021年1月14日までの間、いつ購入しても1年分の費用が発生する上に、2年目、3年目の値上げは確定している。それでいて機能拡張が提供される予定はない。

 なお、「ESUを購入しなくても、ダウングレード権を行使すれば、Windows 7を使い続けられる」と考える人は要注意だ。Windows 7の延長サポート終了に伴って、ダウングレード権も消滅し、ESUなしにWindows 7を使い続けるのは明確なライセンス違反になる。

 Windows 10の利用に関しては、保守的態度を捨て、革新を積極的に受け入れることが最善だ。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。