Windows 10 / Windows 11 PCを数多く運用されているシステム管理部門の方々で、Windows Update の運用に苦労されている方は多いのではないでしょうか。特に Windows Server Update Services (以下、WSUS) は無償で使えるものの、その運用は楽ではありません。また、Microsoft社が WSUS廃止の計画を発表後、WSUS後継やWSUS代替ツールをご検討されている情報システム部門の方は多くいらっしゃるのではないでしょうか。
本稿では、Windows Update とWSUSの課題と今後の展望、そして代替となるソリューションについて詳しく解説します。
サイバー攻撃対策において、Windows Update は最も基本的かつ重要な対策です。
なぜなら多くのサイバー攻撃は、OSの脆弱性を標的としているからです。
確かに、未知の脆弱性を狙ったゼロデイ攻撃のような高度な手法も存在しますが、多くの攻撃者は既知の脆弱性を狙います。
理由はそれが最も簡単で低コストだからです。
わざわざ知られていない脆弱性を探して攻撃を行うよりも、すでにわかっている弱点を狙ったほうが簡単だという単純な理由に過ぎません。
2017年に世界的な猛威をふるったランサムウエア「WannaCry」は、流行前に Microsoft がセキュリティーパッチを提供していた脆弱性を狙ったものでした。
また、コロナ禍の最中には急激なテレワークによって需要が高まったVPNの既知の脆弱性を狙った攻撃で、ファームウエアをアップデートしていなかったUTMが数多く狙われ、それによってマルウエアやランサムウエアの被害を受けた企業・組織は数多くありました。
したがって、Windows Update の Quality Update (品質向上プログラム。以下、QU) によって組織内のすべてのPCを常に最新の状態に保つことは、セキュリティー対策の最も基本的で最重要課題と言えるのです。
このように、セキュリティーを考慮すると、組織内で使用されるPCの Windows Update を適切に管理する必要があります。
Windows Update をユーザーに任せきりにすると、放置されてアップデートが行われない可能性が高くなります。
そこで重要になるのが、以下の2点です。
これらを適切に管理するためには、いくつかの課題があります。
組織内で一斉に Windows Update を実行すると、ネットワークの帯域が不足する可能性があります。
特に、Feature Update (機能更新プログラム。以下、FU) のような大容量の更新プログラムでは、この問題が顕著になります。
過去に、社内で一斉にFUの実行がかかって、ネットワークの負荷が増大し、業務に支障をきたしたという事例もあります。
システム管理者は、クライアントPCのアップデート状況や、アップデート実行後の成否を正確に把握しておく必要があります。
状況把握することで、アップデートが行われていないPCのユーザーにアップデートを促したり、アップデートに失敗したPCに対するリカバリ対応を行ったりする必要があるからです。
したがって、アップデート状況の把握は、アップデート管理に置いて非常に重要なポイントとなります。
このような課題を解決するには、Windows Update を管理するツールを利用することが適切です。
その代表的なものが、Microsoft 社が提供する Windows Server Update Services (以下、WSUS) です。
WSUSは、Windows Server を組織内で運用していれば無償で使えるのが最大のメリットです。
しかし、いくつかの課題があります。
WSUSには更新プログラムをあらかじめ設定したグループ単位で配信する機能があります。
しかし、配信する際にネットワーク帯域を考慮した配信を行うことができないため、FUのような巨大な更新プログラムを、同じグループの複数のクライアントPCが同時にダウンロードした場合、ネットワークの帯域不足に陥る可能性があります。
また、WSUSサーバーへの負荷も大きく、負荷分散のために複数台のサーバーを用意する必要があることもあります。
WSUSではアップデート状況を確認することはできますが、その情報表示はログ形式 (テキストベース) で、ビジュアル化されていません。
そのため、全体的なアップデートの状況や、個々のPCの状況を素早く確認することは困難です。
WSUSはLAN内の配信を想定しているため、テレワーク環境への対応が困難です。
VPN経由することで、更新プログラムの配信は可能ですが、特に容量が大きなFUの配信は、VPN機器に大きな負担をかけ、帯域不足などで他のユーザーの業務に支障をきたす可能性があります。
Windows 10 / Windows 11 で利用可能な Windows Update for Business は、クラウド型の更新プログラム配信サービスで、WSUSの後継的存在と言えます。
最大の特徴は、これまでの Windows Update ではできなかった、配信のコントロールが可能な点です。
グループポリシーや Microsoft Intune などのMDM (モバイル デバイス管理) を使用して、更新の対象となるクライアントや更新プログラムの配信タイミングをコントロールできるので、更新プログラムの互換性確認が済んでからの配信も可能となります。
また、当然ですがクラウドからの配信となるので、テレワークPCへの対応も可能です。
また、Azure Portal でアップデート状況の確認が可能となっています。(ただし、表示はログベース)
このように、Microsoft 自身が無償で Windows Update ソリューションを展開しており、またサードパーティーからもさまざまな Windows Update ソリューションが提供されていますが、実用面を考えたときに、理想的な Windows Update ソリューションとはどのようなものか考えてみましょう。
使いやすい Windows Update ソリューションには、以下の特徴が求められるでしょう。
このような理想的な Windows Update 環境を提供するソリューションの一つが、横河レンタ・リースが提供する Flex Work Place Unifier Cast (以下、Unifier Cast) です。
Unifier Cast は、WSUSや Windows Update for Business の足りない点を補う、より運用しやすい Windows Update 環境を実現します。
このように、Unifier Cast は Windows Update の運用管理負荷と、更新プログラム配信に伴うネットワークやサーバー負荷を軽減することで、効率的な Windows Update 運用の支援を行うことができるソリューションとなっています。
Unifier Cast はすでに数多くの企業・組織で導入されており、多くのユーザーさまから高い評価をいただいています。
WSUSや Windows Update for Business は無償で使用できるメリットがありますが、管理面では課題が残ります。
特に、ネットワーク帯域負荷の問題やアップデート状況の把握のしにくさは、大きな懸念事項です。
より高度かつ簡単な管理と柔軟な配信を求める組織にとって、Unifier Cast は魅力的な選択肢となるでしょう。
セキュリティー対策の基本である Windows Update の管理を最適化することで、組織全体のセキュリティーレベルを向上させ、同時に管理者の負担を軽減することができます。
情報システム部門の皆さま、自組織に最適な Windows Update 運用管理ソリューションを選択し、効率的かつセキュアなIT環境の構築を目指しましょう。