長らくWinfowsアップデートプログラム管理を支えてきた「WSUS」が実質的に提供終了となる。ツールの移行やプログラム更新管理の見直しなど考えるべきことは多い。その際、注意すべき点についてまとめた。
2024年9月20日にMicrosoft から発表された「Windows Update Service」(WSUS)廃止計画は、長年WSUSを利用してきたユーザー企業に大きな影響を与える発表となった。新規機能の追加が見込めなくなり、「Windows Server 2025」サポート終了までが利用期限となった今、代替策を検討すべき時に来ている。本稿では、PC運用管理の専門家の解説を基に、今後の「Windows Update」運用の見直し方とWSUSの代替ツールへの移行を考える上で注意すべきポイントを解説する。
Windows PCの更新を一元的に担ってきた「Windows Update Service」(WSUS)は、最新のWindows Server 2025に搭載されているものの、今後新規機能が追加がされなくなる。Windows Server 2025のサポート終了は2034年10月10日なので、それまでの約10年間はWSUSの利用を続けられるだろう。だが、その10年を待たずにWSUSが徐々に最新のIT環境に適合しなくなる懸念がある。PC運用管理方法の見直しの準備期間を考えると、今後数年間でWSUSの代替策を検討しなければならない。
キーマンズネット会員調査を見ると、Windows Updateを従業員個人に任せている企業は501人規模以上の企業では10%前後であり、オンプレミスでのWSUS運用に頼る企業が全体の4割弱、501人〜1000人規模の企業では6割弱に上る。
オンプレミスでのWSUS運用、クラウドでのWSUS運用、WSUSと他ツールやサービスを併用している企業を合計すると、少なくとも61.1%の企業がWindows UpdateでWSUSを利用しており、WSUS終了はそれらの企業に影響が与えることが予測できる。
WSUSを利用する理由は主に次の3つだ。
(1)更新プログラムが既存システムに悪影響を及ぼす可能性を事前にチェックしたいため
(2)管理対象PCのアップデート実行状況を可視化して情シスが管理したいため
(3)更新スケジュールを作成して各PCグループで順次実行したいため
特に重要なのが(2)の脆弱(ぜいじゃく)性対策だ。OSアップデートは最新のセキュリティ対策を施したプログラムが適用されるので、最新の知見に基づいた脆弱性対策が施されている。社内ネットワークに最新の脆弱性対策が施されたPCと未適用のPCが混在すると、セキュリティの弱点が生じる。現在のサイバー攻撃は攻撃が容易なシステム領域を見つけてそこをターゲットに侵入を試みる手法が主流だ。最新アップデートを適用していないPCは格好のターゲットになる。情シスはそのようなPCを常に監視し、適切にアップデート適用する必要がある。
また、(3)はネットワーク負荷をできるだけかけずに、多数のPCに確実にアップデート適用するために重要だ。アップデートが検証されて安全だと確認されても、すぐに全PCに適用を図るとネットワーク帯域が圧迫され、業務に支障が生じる可能性がある。
WSUSはこうした機能を、Windows Serverライセンスさえあれば無料で利用できる。「Microsoft Active Directory」(AD)との連携によりグループ別のアップデート適用も容易だ。この機能が利用できなくなれば、同様の機能を他のツールで実現しなければならない。
WSUSを利用しなくても、サードパーティーのIT資産管理ツールを利用してアップデート運用をすることは可能だ。
IT資産管理ツールは、もともとPCやサーバのインベントリ情報の収集や管理、ファイル配信、リモート管理の3大機能を実現するツールとして利用されてきたが、近ごろはこれらの機能を利用して総合的にセキュリティ管理を担うツールとして再認識されるようになった。アップデートに関しては、OSだけでなく各種アプリケーションのアップデートプログラムの配布や実行、その状況の可視化が可能なものも多い。
また、IT資産管理ツールとWSUSを連携させて機能を構成している場合もある。WSUSと他ツールを組み合わせて利用してきた企業はもちろん、バックグラウンドでWSUSの機能を利用するIT資産管理ツールを利用してきた企業にも、WSUSの廃止は影響を及ぼすと考えられる。IT資産管理ツールベンダーが今後どのようにWSUS廃止に向けた対応を図るのかは本稿公開時点では不明だが、WSUSと連携している場合は影響が生じることは予想できる。WSUS代替ツールとしてまず検討に上がるのが、Microsoftが提供する次のクラウドサービスだ。
「Windows 10/11 Pro」ユーザーなら無料で利用できるサービスだ。更新プログラムをクラウドからダウンロードして自動的に適用できる。機能更新プログラムは最大365日、品質更新プログラムは最大30日間適用を延期できるため、その間に検証マシンでの検証と対応検討を進められる。
クラウドベースのデバイス管理ツールだ。Windows Update for Businessを利用し、更新リングを設定してPCをグループ分けして任意のタイミングでアップデートプログラムの適用が可能になる。また、PCのアップデート適用状況の可視化もできる。有償のツールではあるが、「Microsoft 365」などのアプリケーションのアップデートも容易で、レポート機能を使ってPCなどのハードウェアおよびソフトウェアのリアルタイムな状況監視が可能だ。
WSUSと同様に利用するにはIntuneの利用が推奨される。ただし、WSUSはオンプレミスでの運用を前提にしているのに対して、Intuneはクラウドベースでの運用になる。グループ分けしてスケジューリングしたアップデートを実行するにしても、インターネットゲートウェイでのネットワーク負荷は懸念要因となる。
「Microsoft Connected Cache」によりオンプレミスサーバからコンテンツ配信が可能で、ネットワークの輻輳(ふくそう)を防止する。従来のWSUSサーバと同様に、業務に影響を与えることなく社内サーバからPCへのアップデートプログラムの配信が可能だ。また「Delivery Optimization」(配信の最適化。Intuneなどで設定可能)機能により、アップデートが完了したPCから未適用のPCへ更新プログラムを配信することもできる。これなら社内ネットワークの負荷も最低限に抑えながらアップデートを適用することが可能だ。
同様に社内サーバに更新プログラムを保管し、適切なタイミングでPCに配信する仕組みは、多くのIT資産管理ツールの基本機能として備わっている。ただし、ネットワーク負荷を最小限にする仕組みはツールごとに異なり、スケジューリングやグループ別の配信設定などのしやすさには違いがある。また、PC運用管理の専門家によると、現実のネットワーク帯域使用率を検証すると無駄に帯域を消費してしまうツールもあり、導入前の検証は不可欠だ。
IT資産管理ツールではないが、Windows Updateに特化したツールもある。例えば、横河レンタ・リースが提供する「Flex Work Place Unifier Cast」は図2のように業者側のサーバにMicrosoft からダウンロードしたプログラムファイルが保管され、各拠点のネットワーク事情に合わせて適切に配信する仕組みを備える。こうしたツールの利用もWSUS代替策の候補として考えられる。
なお、Intuneの管理下にあるPCに対してMicrosoftがアップデートを自動的に適用する運用サービスもある。「Microsoft Autopatch」がそれで、「Windows、Microsoft 365 Apps for enterprise」「Microsoft Edge」「Microsoft Teams」の更新プログラムを自動化するクラウドサービスだ。適用タイミングやグループ分け配信も可能だ。WindowsまたはMicrosoft 365の対象ライセンスで利用できる。ただし、特定の更新プログラムの適用スキップなど、情シス判断による対応が難しい場合があるので注意したい。
本稿では、Windowsの更新運用について注意ポイントとツールについて概要を記した。WSUSがオンプレミスシステムを前提にしたツールなのに対して、代替ツールはクラウドベースが有力候補として考えられる。これはMicrosoftの戦略でもあり、ITツール全般のトレンドでもある。ユーザーIDもオンプレミスADのローカルIDから、クラウドベースの「Microsoft Entra ID」にシフトせざるを得ない。今後はOSのアップデート管理もクラウドベースになっていくのが必然だろう。これを機に、クライアント管理の在り方を見直さなければならない。WSUS廃止の公表は、クライアント運用管理を再定義するための良い機会ではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。