横河レンタ・リースにおける社内 Windows 10 導入と Unifier Cast によるFUアップデート事例

横河レンタ・リースのPC環境と運用スタンス

横河レンタ・リース (以下、当社) では正社員780人、派遣社員、その他業務委託などに関わっている人員をあわせて1,000人以上の従業員が働いています。
PCは1人1台に加え、テクニカルセンターで行っている検証用のPCなどを合わせると、社内で1,340台のPCを運用しています。
その他、営業を中心に、iPhone を420台ほど使っています。

情報システム部門では、PCの運用管理スタンスとして、

• Windows 10 は従来の Windows XP や Windows 7 のような PC用のOSではなく、iOS や Android と同様の“モバイル OS”として捉える
• DaaS (Device as a Service) の普及に取り組んでいる会社として、お客さまよりも“先行して取り組む”＆“自社ソリューションを試す”ことを掲げている。

このスタンスに基づいて、当社では Windows 10 を導入するにあたり、運用ポリシーを次のように定めました。

1つ目は、自社ソリューション Flex Work Place Passage ※1 (以下、Passage) を使って「ユーザーデータはローカルに保存させないで、データレスPC™とする」ことです。
最大のポイントとして、デバイスからすべてを分離するということです。
これにより、PCの故障や紛失・盗難にあっても、外部漏えいや損失のリスクからデータを守ることができます。

• 1：Passage 詳細は こちら をご覧ください。

2つ目は「Windows 10 のアップデート運用」についてです。
動作試験の工数を省くパイロット運用 (注) を行うこと、そしてユーザーデータや設定を「デバイスから分離する」ことを徹底しています。
ここでは横河レンタ・リースが Windows 10 の運用で一番のポイントと考える「デバイスからの分離」について説明します。
注：パイロット運用に関しては、後章で説明します。

データレスPCによるユーザーデータの分離は、PCのローカルドライブにデータを持たないという点で、セキュリティー面でメリットがありますが、情報システム部門によるPCの運用という面においても、3～5年おきに発生するPCのリプレース時において、PC内のデータ移行作業から解放されることも大きなポイントであるといえるでしょう。

もう一つ、設定・アプリの分離は、Windows 10 で導入されたアップデートの仕組みに関連しています。

Windows 10 では定期的に機能強化を行う Feature Update とセキュリティー対策を主眼とした Quality Update (以下、QU) が行われます。
このうち、FUは4GBのファイルをインターネットからダウンロードして、OSごと入れ替えるレベルの更新が行われるため、端末個体の問題によってアップデートに失敗したり、起動しなくなったりというトラブルも発生することがあります。
また、FUによってOSやアプリの設定が予測不可能な形で変わってしまったり、初期化されてしまったりするようなことも起きています。

実際、当社では Edge を無効化し、Internet Explorer と Chrome を使う設定をしていたところ、FUの後で Edge が有効化されてしまう現象が起きました。
このようなことから、マスターイメージの再配布を可能にしておくことが大切です。

そこで Active Directory を使ってポリシー管理を行い、アプリを配信する Flex Work Place Unifier (以下、Unifier) を使ってアプリを配信できるようにしたり、復旧を急ぐ場合は、ユーザー自身が管理者権限を持ってアプリを再インストールできる Flex Work Place AppSelf (以下、AppSelf) で対応できるようにしたりしています。

Windows 10 導入までの道のり

当社では Windows 10 への移行プロジェクトを2017年10月に開始し、2018年4月から社内への展開を開始、2019年3月までに導入を終えました。
この導入までの道のりを紹介します。

導入までのタスクを「情報収集」「一部先行検証」「FU運用検討」「全社展開」と定義して進めていきました。

2017年10月に情報収集を開始しました。
情報収集では、社内SEや取引のある販売会社などに聞いたりしましたが、利用中のソフトの動作状況はWeb検索から得る情報が一番でした。
また並行して、従来のクローニングに代わり Windows 10 で導入されたOSの展開方法、プロビジョニングのパッケージの検討を行うため Windows 10 に明るい社内SEに相談しました。

先行の検証は約1カ月かけて、ネットワークが接続できるのか、Active Directory のグループポリシーが反映できるのか、Windows 7 で使っていたソフトを入れることができるのかなど、簡単なチェックリストを作り、進めていきました。
さらに約10種類の利用中のソフトウエアの検証を行いました。
次いで、1次展開として、情シスのアプリ担当者、SE、サービスデスク担当者など20人が実際の業務に導入し、検証を行いました。

さらに第2次展開として、業務が停止した場合、影響の大きい部署や経理、マクロ使用部署に展開して、2カ月ほど検証してもらいました。
部署個別で使っているマクロの検証は、この段階でユーザーに行ってもらいました。

その結果、6割ぐらいのソフトウエアが継続利用可能ということが判明しました。
実際に使ってみて分かったということがほとんどでした。
例えば、Webアプリなら影響がさほどないであろうと考えていたところ、Java の状況で不具合があったり、PC用のセキュリティーソフトでは Windows 7 と Windows 10 の混在環境ではエンジンが異なっていたので、パターン配布するサーバーをそれぞれのバージョン用に立てる必要があるといったことでした。

FU、QU の対応では、まず Windows 7 で使っていたWSUSが Windows 10 でも使えるかという検証を行いました。
その結果、WSUSでは配信結果を確認できないということが分かり、WSUSを導入することは難しいと判断しました。
また検証で、QUの配信も100MBものファイルが配信され、さらに累積だと1GBを超える場合もあることが分かり、配信に工夫をしないとネットワーク負荷などの問題が生じることが判明しました。
そこで、自社ソリューションである Flex Work Place Unifier Cast (以下、Unifier Cast) を導入し、お客さまへ提供する前の検証を兼ねて、FU、QUの配信を Unifier Cast で行うことにしました。

このような検証を経て、2018年3月から全社への展開を始めました。

Unifier Cast による Feature Update 事例

Windows 10 の全社展開開始から 1年たった2019年3月、最初の Unifier Cast を使ったFUを実施しました。

ここで、Unifier Cast の簡単な紹介をします。
Unifier Cast は強力な配信機能を持つ、Windows PC の運用管理ソフトです。
Windows 10 のFU/QUをはじめとするアップデートデータなどの大容量ファイルを、サーバーからの分割配信やPC同士で分割されたデータブロックを共有することで、ネットワークの負荷を上げることなく配布を行える分割配布 (Cast) 機能、ダッシュボードによりアップデート状況を一括して把握できる管理機能、各クライアントPCから収集したアップデート失敗の情報を分析する強力なトラブルシューティング機能など、Windows 10 の FU/QU 運用の課題を解決するソリューションです。
Unifier Cast 詳細は こちら をご覧ください。

では、FUにあたって、当社ではどのようにアップデートビルドの検証を行っているかを紹介します。
ここでは先にも述べましたが、段階的に検証を行う、パイロット運用にて実施しています。

FUの検証を開始するのは、サードパーティーのソフトが対応を終える時期である、FUリリース後3～4カ月後です。
まずは5人ほどの情シスのインフラ担当者が社内共通で使用する Flex Work Place の各アプリ、Office アプリなど各種アプリ・ソフトの検証を行います。
これを社内では0次検証としています。

この検証が終了後、SE、開発運用部の業務アプリ担当の約20人が行う1次検証に入ります。
この検証では、基幹システムやデータウエアハウス、Web アプリなど、業務アプリの動作検証を行います。
検証は約1カ月、さらに改修に1カ月ほどをかけています。

1次検証がある程度進んだところで、実際のユーザーに検証を行ってもらう2次検証がスタートします。
これは経理など比較的業務影響の大きい部門で、約10人のメンバーが、マクロや EDI などの検証を行います。
こちらも検証に約1カ月、改修に1カ月を取っています。

このようなプロセスを経て、FUリリース後半年程度で全社への展開を実施できる体制を整えています。

では当社で初めて全社にFUを展開した2019年3月のアップデート実施をみてみましょう。

2019年3月のアップデートは、2018年3月に最初の Windows 10 の展開を行った Surface Pro 200台が対象でした。
これらのPCにはビルド 1709 がインストールされていましたが、これを約7GBあるビルド 1803 のアップデートファイルを配信してアップデートを行うというものです。

先にお話ししたとおり、このアップデートの展開は Unifier Cast を使って行いました。
まず、最初に展開する1次グループとして、3月12日に40台のクライアントに対してマスターサーバーから配信を行いました。
その後3月14日には、Cast 機能を使って、配信が済んだ40台から2次グループの80台へ、さらに3月20日は3次グループである残りの80台へ、すでに展開済みの120台から Cast 機能による配信を開始し、約1週間で200台のPCをアップデートしました。

FUの展開にあたっては、社内のポータルである SharePoint にアップデートの作業概要と注意事項を掲示してアナウンスをしました。

このアップデート展開の結果、アップデートのやり方についての問い合わせはゼロで、アップデートの失敗もありませんでした。
ただし一部アプリが起動不能となり、15台のPCがクリーンインストールした後のような挙動を見せましたが、アプリの再インストールは Unifier Cast と AppSelf で迅速に対応したため、ほぼ実害は発生していませんでした。

また、アップデート期間 (アップデート配布後7日間を設定) 中にアップデート作業を行わず、強制アップデートがかかったPCは2台でした。

このように、綿密な準備と、Unifier Cast を活用したFUの配信により、業務に支障をきたすことなくFUを完了することができたといえるでしょう。