メディア

社員任せのWindows 10アップデートはリスクだらけ、IT資産管理ツールでどう回避する?IT導入完全ガイド

Windows 7のサポート終了を目前に、Windows 10へ移行を急ぐ企業は多いが、移行して終わりではない。WIndows 10のアップデート管理という次なる問題もある。今までのようにアップデート運用を社員任せにしていては、大きなリスクを引き起こす恐れがある。

» 2019年02月18日 08時00分 公開
[土肥正弘ドキュメント工房]

 「Windows 7」から「Windows 10」への移行が大詰めを迎える中、IT部門が気になるのはWindows 10のアップデートの運用管理だ。どこのメディアでも取り沙汰されているように、組織のシステム管理に影響を与える大きな問題だ。

 今までは、「Windows 7、Windows 8……」というように大型アップデートを繰り返してきたが、Windows 10からはサービスコンセプトが変わり、半年に一度アップデートがリリースされる提供形態に変わった。このサービスコンセプトは「WaaS」(Windows as a Service)と呼ばれる。常に最新の状態に保てるというメリットがある一方で、新たな運用課題も生まれた。

 本特集では、Windows 10のアップデート運用管理に焦点を当て、OSのサービスモデルがWaaSになったことで生まれる運用問題と社員任せのアップデートのリスク、IT資産管理ツールを活用した運用管理のポイントについて紹介しよう。

Windows 10ではアップデートの何が変わり、厄介なのか

 まずは、Windows 10のコンセプト変更により従来から何が変わり、何が新たな課題となるのかを簡単に整理しよう。

 Windows 10以降は、大型バージョンアップやサービスパックの提供はなくなり、「品質更新プログラム」(Quality Updates)と「機能更新プログラム」(Feature Updates)の2種類の更新プログラムを定期的にリリースするアップデート方式に変わった。それぞれの違いは、以下の通りだ。

機能更新プログラム(Feature Updates)

更新内容:主に機能強化などの更新プログラム

提供時期:年に2回(3月、9月)

データ量:約3〜4GB(今後、軽量化される可能性もあり)

品質更新プログラム(Quality Updates)

更新内容:セキュリティ修正やその他の更新

提供時期:毎月1回

データ量:150MB〜1GB(※)

※更新プログラムの配信方法が「フルアップデート」と「エクスプレスアップデート」で異なる

 各バージョンのサポート期間はリリース後18カ月と決められている。2018年9月には「Windows 10 Enterprise」「Windows 10 Education」に限り、9月リリースの機能更新プログラムのサポート期間が30ケ月に延長されたが、半年サイクルでのアップデートプログラムの提供は変わらないため、サポート期限が延長になっても、テンポよく更新できるよう計画しなければならない。

 また、機能更新プログラムは1回当たりの配信データ量も多い。アップデートプログラムのリリース日に一斉に自動更新が走った場合は、ネットワークの負荷も高く、帯域の奪い合いにもなりかねない。

 一番重要であり面倒なのが、各端末へのアップデートプログラムの適用計画だ。最新のプログラムがリリースされたからといって、すぐに適用するのはリスクが高い。バージョンによっては、業務で利用するアプリケーションなどに何らかの影響を及ぼす恐れもある。IT部門で事前検証し、安全だと判断した時点で全社展開するといった流れを事前に考えたい。そのためにも、IT部門での検証項目や適用フロー、今後のスケジュールについてあらかじめ策定する必要がある。

 このように、Windows 10のアップデート形式と更新サイクルが変更されたことで、IT部門が考えるべきことは一気に増えた。次に、これらのアップデート変更が業務にどのような問題を引き起こすのかを例を基に説明しよう。

2つの失敗例から考える「従業員任せのアップデート」のリスク

 Windows 10のアップデートは事前の検討事項と対応項目が多いため、IT部門が主管部署となり、集中管理する必要がある。アップデート対応を従業員任せにしているとどのような問題が起こるだろうか。起こり得る問題をケース別に見てみよう。

外出先で起こり得る災難

 ある企業の営業員Aさんは、外回りの業務が中心で、いつも社用PCを持ち歩きながら仕事をしている。次の取引先とのアポイントまでまだ少し時間があるため、待ち時間を使って近くのカフェで仕事をすることにした。

 立ち寄ったカフェには通信環境がないため、私物のスマートフォンを使ってテザリングし、業務を進めた。業務が一通り終わりPCをシャットダウンしようとしたところ、機能更新プログラムが動き、PCを閉じようにも閉じられない状況になった。私物のスマートフォンのため、通信量にも限度がある。結果的に「ギガ」を使い果たし、契約している通信容量を大きく超過してしまった。

 いわゆる「ケータイ」が主流であった時代は、パケット通信の使い過ぎで通信会社より月末にとんでもない通信料を請求される「パケ死」という言葉があったが、まさに「パケ死」ならぬ「ギガ死」が起こり得る可能性がある。

仕事は山積み、再起動しようとしたそのとき……

 Bさんは、多くの業務を抱え毎日何らかの締め切りに追われていた。また、参加する会議も多いため、業務のほとんどを社内で行うことが多い。その日も、当日に締め切りの業務があり、ひどく立て込んでいた。だが、使用していたアプリケーションが不調のため、一度シャットダウンし再起動しようと考えた。このタイミングで更新プログラムが動き、画面には「コンピュータの電源を切らないでください」というメッセージが表示された。業務を続けようにも、更新が完了するまでは何もできず、結果的に業務の締め切りを延長するハメになった。

 このように、アップデートタイミングと適用作業を従業員任せにしていると、個人や業務に大きな影響を与える可能性がある。これ以外にもまだ考えられるシーンはあるが、こうしたリスクを避けるためにもWindows 10の更新作業は組織で集中的に管理することが重要なのだ。

WSUSからはじめるWindows 10アップデート管理

 アップデートを集中管理する仕組みとして大きく3つの手段がある。

1.WSUS(Windows Server Update Services)を利用する

2.WSUSとIT資産管理ツールを併用する

3.IT資産管理ツールで運用する


 WSUS(Windows Server Update Services)とは、マイクロソフトが無償で提供するプログラム更新制御のためのサーバアプリケーションだ。WSUSサーバがマイクロソフトのアップデートサーバから更新プログラムを収集し、各クライアント端末に配布する仕組みである。クライアント単位で更新状況を把握できるため、更新プログラムの未適用端末も簡単に特定できる。部署や部門などグループに分けて管理することも可能だ。

 これを見ると、「Windows 10のアップデート管理はWSUSを導入すれば終わる話じゃないか」と思う人もいるだろう。だが、WSUSでできないことも幾つかある。そこで、WSUSで「できること」と「できないこと」をまとめたのが以下の表だ。

図1 エムオーテックスが提供するIT資産管理ツール「LanScope Cat」と「WSUS」の機能比較表(資料提供:エムオーテックス) 図1 エムオーテックスが提供するIT資産管理ツール「LanScope Cat」と「WSUS」の機能比較表(資料提供:エムオーテックス)

 WSUSを用いることで更新プログラムを集中管理できるが、各端末への更新プログラムの配信は25時間間隔でしか設定できず、細かな時間指定は難しい。そのため、一度ダウンロードに失敗すれば、次の開始まで25時間待たないと再開できない。

 ネットワーク圧迫を防ぐ帯域使用制限もWSUS単体では難しい。マイクロソフトが提供するWebサーバソフトウェア「IIS」(Internet Information Services)を使うことで設定はできるが、IISを使って設定するにはそれなりの知識が必要だ。また複数箇所に拠点を持つ企業は、拠点ごとにWSUSサーバを用意する必要がある。

 このようにWSUSでできることとできないことを確認した上で、どういうシステム構成を取ればいいのかを検討したい。それでは、WSUSだけでは運用が難しい場合はどういう構成を取ればいいのだろうか。そこで考えられるのが、「WSUSとIT資産管理ツールを併用する」「IT資産管理ツールだけで運用する」という選択肢だ。

部署、部門ごとにアップデートを管理したいときはどうする?

 IT資産管理ツールだけで運用する場合はシンプルだが、WSUSとIT資産管理ツールを併用する場合は、どのような構成を取ればいいのだろうか。国産のIT資産管理ツール「LanScope Cat」を提供するエムオーテックスが考えるモデルケースを基に説明しよう。

 例えば、ネットワークの帯域圧迫を避けるために、部署や部門、グループによって更新プログラムの配布タイミングをずらしたいといった場合は、WSUSだけでは実現が難しい。そうした場合は、任意のタイミングを設定できるIT資産管理ツールを併用する必要がある。

 WSUSとIT資産管理ツールを併用する場合は、以下の図のような形となる(図2)。WSUSが更新プログラムを保存する「Microsoft Update カタログ」から必要なプログラムを収集し、IT資産管理ツールでクライアントへの配布タイミングを制御するという形だ。このような構成を取ることで、IT部門が展開したいグループやタイミングを指定できる。

図2 WSUSとIT資産管理ツール「LanScope Cat」を併用する場合(資料提供:エムオーテックス) 図2 WSUSとIT資産管理ツール「LanScope Cat」を併用する場合(資料提供:エムオーテックス)

 なお、エムオーテックスが提供するLanScope Catを用いて更新プログラムの配布タイミングを制御する場合は、管理者がクライアント端末に一括配布する方法と、クライアント端末の利用者が任意のタイミングでプログラムをダウンロードし実行する方法の2パターンがある(図3)。

 前者は、管理者が各端末への更新プログラムの配信タイミングを制御したい場合に有効だ。後者は、業務に支障がでないよう、日中は各端末へ更新プログラムの配信までに留め、業務時間外でプログラムを実行するといったことが可能だ。

 LanScope Catの提供元であるエムオーテックスでは、社員が退社するタイミングでアップデートが実行されるように設定しているという。ノートPCを付けっぱなしにした状態で帰り、出社するころにはアップデートが終了している。もちろん、セキュリティの問題もあるため、ノートPCにワイヤーロックを付けて会社を離れるそうだ。

図3 2つの更新プログラム配布パターン。(左)スケジュール管理が容易であり、管理者で配信タイミングの管理が可能、(右)利用者の業務を中断させず、現場の業務に合わせたプログラムの適用が可能(資料提供:エムオーテックス) 図3 2つの更新プログラム配布パターン。(左)スケジュール管理が容易であり、管理者で配信タイミングの管理が可能、(右)利用者の業務を中断させず、現場の業務に合わせたプログラムの適用が可能(資料提供:エムオーテックス)

WSUSでの更新プログラム取得に失敗した場合は?

 エムオーテックスによると、WSUSでも更新プログラムの取得に失敗するときがあるという。そのようなWSUS自体に問題が発生するリスクを考慮したシステム構成を取るにはどうすればよいだろうか。

 そこで考えられるのが、次の構成パターンだ(図4)。WSUSで更新プログラムの取得に失敗した場合は、IT資産管理ツールで任意のタイミングでリトライし、カバーするという仕組みだ。

図4 WSUSとWindows Updateをメインに、IT資産管理ツールと併用するケース(資料提供:エムオーテックス) 図4 WSUSとWindows Updateをメインに、IT資産管理ツールと併用するケース(資料提供:エムオーテックス)

 WSUSを軸にしながらも、それだけでは自社の求める要件を満たせないと考える企業は、このようなシステム構成を参考にしてほしい。

 本稿の前半でも説明した通り、Windows 10のアップデート運用問題は多岐にわたり、紹介しきれない問題はまだまだある。Windows 10のアップデート運用で重要なのは、アップデート対応を従業員任せにするのではなく、組織が体制を組んで対応にあたることだ。

 ただ、IT部門の人材不足という問題もある中で、全ての作業を人力で対応するのは限界がある。そういう場合は、IT資産管理ツールをうまく活用することで、作業の省力化も期待できるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。