テレワークPCの Windows アップデート管理術

テレワーク環境における Windows アップデート対応の課題

テレワーク下でセキュリティーアップデート未対応PCを狙ったサイバー攻撃も

コロナ禍によるテレワークで管理者の頭を悩ませているのが、Windows アップデートの滞りです。
WSUS (Windows Server Update Services) などの Windows アップデートソリューションは、社内ネットワーク内のPCを対象としたものであり、テレワーク環境にあるPCのアップデート管理には向いていないということが背景にあります。

また、VPN環境では、Windows 10 の大きなアップデータが帯域を圧迫してしまうことから、アップデータの展開がうまくいかないということも発生しています。

攻撃者はセキュリティーが弱まっているこの間隙 (かんげき) を縫ってサイバー攻撃を仕掛けてきています。
実際に2020年春以降、Operating System (OS) のセキュリティーホールを狙ったサイバー攻撃が増えてきています。

Windows 10 アップデート運用の課題をおさらいする

Windows 10 では Windows アップデートに大きな変化がありました。
改めておさらいしてみます。
最大の変更点は半期ごとに実施される大規模な機能更新プログラム (Feature Update：以下、FU)、そして毎月1回以上の品質更新プログラム (Quality Update：以下、QU) と、アップデートのサイクルが短くなった点です。

もちろん定期的な機能強化や素早いセキュリティー対応などメリットが多いアップデートではありますが、大型のアップデートが頻繁に行われるようになった結果、運用において次のような課題が表面化しました。

一つは短いアップデートサイクルによる大きな運用負荷。
半期に一度、機能や仕様の変更を伴う FU が行われますが、そのたびにすべてのアプリケーションや、機種ごとの動作確認を行うことは現実的に不可能です。

さらに、アップデータの容量が大きいことによるネットワークの負荷の増大。
FU のアップデータは4GB前後もあり、社内のPCが一斉にアップデータのダウンロードを開始したところ、業務に支障をきたすほどネットワークの速度が低下した、という事例もあったといいます。
このようなことから、VPN接続時は負荷増加抑止のためVPN経由のアップデートを禁止している企業も少なくありません。

また、会社のPCでVPNを使わず自宅の回線を使っているような場合は、セキュリティーポリシーによって社外ネットワーク経由のアップデートを規制している企業も多いでしょう。
こうなりますと、長期テレワークで使われているPCは適切な Windows アップデートが実行されないことになってしまいます。

長期テレワークPCは Windows アップデートが実行されない？

また、既存のアプリのアップデートも不安要素です。
各ソフトウエアベンダーはアプリが FU で影響を受ける場合、アップデートを提供しますが、アプリがアップデートされていない場合は、不具合を避けるために Windows アップデートを中止してしまいます。
こうなるとアップデートによるリスクは解決できませんが、アプリのアップデートをユーザーに徹底するのは、これまたハードルが高いものです。

Windows 10 アップデート運用の課題

Windows アップデートの課題を解決するソリューションとは

Windows アップデートの課題を解決する、Unifier Cast

このような Windows アップデートの課題を解決するソリューションとして、横河レンタ・リースでは Flex Work Place Unifier Cast (以下、Unifier Cast) を提供しています。

Unifier Cast は三つの特徴を持っています。
一つは大容量の FU の配布でもネットワークの負荷を上げないために分散配布を行うことです。
アップデータを細かいデータブロックに分割して配布、拠点単位では配布されたPC間でもデータブロックを共有することで分散配布を実現します。
データブロックを取得途中に拠点を移動しても、異動先で不足分のデータブロックを持つPCを探して受信が継続できますので、効率よくアップデータの配信ができます。

Unifier Cast

Microsoft では Windows 10 のアップデート運用において、パイロット運用を推奨しています。
これは限られた台数のPCを先行してアップデートし、アップデートによる影響を調査する運用方法です。
この際に大切なのは、社内のPC、そのアップデート状況の把握です。
どのPCがパイロット運用中なのか、各PCの適用されているアップデートのバージョンはどれなのかを確実に把握しておかなくてはなりません。

そこで Unifier Cast では各PCのアップデート状況を可視化するダッシュボードを備えています。
適用されているアップデートのバージョンや、アップデートの成否などが簡単に把握できます。

Unifier Cast ならダッシュボード機能で運用を可視化できます

アップデート運用において、もう一つ重要なのは、アップデート失敗の状況把握です。
アップデートの成否についてダッシュボードで把握した後、もし失敗していた場合、その原因を探り、トラブルシューティングした上で再度アップデートをかける必要があります。

Unfier Cast では、各PCからエラーログを収集し、アップデート失敗の原因を当社のデータベースの情報を基に分析。
原因を予測して表示する機能を持っています。
この情報は Unifier Cast の管理画面だけでなく、ユーザーのPCにも表示されるため、ユーザー自身が自己解決できる工夫がなされています。

数十万台におよぶPCを提供、運用しているレンタル会社だからできる 各PCからエラーログを収集し、分析

Unifier Cast は、Windows アップデート以外に、アプリケーションのアップデータの配布も可能です。
Office 2010 以降のパッケージ版 Office、Microsoft 365 さらには .NET Framework などのアップデータ配信も可能です。

共存アプリケーションの更新対応

このように、Unifier Cast は、強力なアップデータ配布機能、ダッシュボード、失敗解決支援機能で、Windows 10 アップデートの管理者負担を大幅に軽減します。

テレワークPCには AppSelf と連携して、アップデートを支援

先に述べたように、WSUSは社内ネットワークへのアップデータの配布を前提としているため、外部への配布はできません。
またセキュリティーポリシーで、PCから Windows Update から直接ダウンロードの禁止や、帯域の問題からVPN経由のアップデートも禁止している企業が一般的でしょう。
このような状況では、テレワーク環境のPCに QU を実施したくても、適用できないPCが出てきてしまいます。

この問題を解決するのが、横河レンタ・リースの Flex Work Place AppSelf (以下、AppSelf) です。
AppSelf は管理権限を持たないユーザーでも安全にインストールできるパッケージを作って配布することができるソリューションです。

AppSelf を使ってスタンドアローンで実行できるアップデータのパッケージを作成します。
このパッケージは秘密鍵によって暗号化されていますので、セキュリティーが守られています。
このパッケージをVPN経由でなく OneDrive や SharePoint などのクラウドで配布し、ユーザー自身が公開鍵で検証後、ダブルクリックするだけでアップデータが実行できます。

AppSelf を連携して、VPNネットワーク環境のアップデートを

Unifier Cast への実行結果リポートは、アップデート実行後にVPN接続したタイミングで行われるため、VPN回線に負荷をかけることなく、アップデートが実施でき、きちんとリポートを上げることも可能です。

このように、クラウドと、クラウドに最適化されたツール類を使うことで、VPNを使わずともかなりの業務がテレワーク環境において安全に行うことができるとご理解いただけたと思います。

横河レンタ・リースでは自社においてもこれらを実践し、ノウハウを蓄積しておりますので、テレワーク環境構築の課題をお持ちのお客さまはぜひ当社にご相談ください。

サービスのご紹介

• ● Windows 10 運用支援ソリューション「Unifier Cast」
• ● アプリケーション管理を安全にセルフサービス化「Appself」