WSUSは更新プログラムの配信に関する管理や制御ができるソフトウエアで、Microsoft 社から無償で提供されています。
社内のPCをグループ管理してアップデートが行えたり、レポート機能でアップデートの適用状況が確認しやすくなったりする点が特長であり、導入している企業も多いものの、デメリットも存在します。
この記事では、WSUSの仕組みや必要性、導入手順などを解説します。
WSUS (ダブルサス、Windows Server Update Services) とは、Microsoft 社が企業を中心に提供する無償のソフトウエアで、Microsoft 製品の更新プログラムの適用を制御する役割を持ちます。
通常、Windows PCで Microsoft のアップデートを行う場合は、各PCをインターネット上の Microsoft アップデートサーバーに接続して更新プログラムのダウンロードやインストールを進める必要があります。
このとき、社内のどのPCが更新されているかを把握しづらくなるなど、管理体制に課題が生じる場合があります。
そこで、WSUSサーバーを社内に設置し、更新プログラムを一度WSUSサーバーへダウンロードすることで、社用PCの更新プログラムの一元管理や、社内への効率的なプログラムの配布を実現できます。
WSUSは基本的に、Windows のアップデートに関する機能を持ちます。
主に、社内のPCをグループごとに分けて更新プログラムを配布する機能や、更新プログラムを配布する製品の管理機能、アップデート状況のレポート機能、更新プログラムの配布方法の制御機能などが基本的な機能です。
ここでは、それぞれの機能についてご紹介します。
WSUSでは、社内のPCをグループに分けて管理できます。
特定の部署に必要な更新プログラムを配布し、特定の業務を行っている従業員のPCにはすぐに更新を適用させないなど、各従業員の業務内容に合わせて柔軟に更新プログラムを配布できるようになります。
また、グループごとにアップデートの日程を分けて、社内のサーバーやネットワークにかかる負荷を軽減するといった方法も可能です。
WSUSでは、各 Windows OSだけでなく、Microsoft Word などの Office 製品、各種ドライバーやツールなどに対しても更新プログラムを配布できます。
一部の Office 製品にのみ更新を適用させたい場合や、特定の更新プログラムのみを適用させたい場合などでも柔軟に対応できる点が特長です。
各更新プログラムがどのPCに適用されているかなどの適用状況を確認でき、PDF や Microsoft Excel といったレポートとしてダウンロードできます。
管理画面からステータスを確認できるだけでなく、レポートで必要なデータを抽出できるため、アップデートが適用されていないPCの見落としや、各PCへの更新プログラムの配布漏れなどのリスクを防ぐことができます。
WSUSでは、各PCに更新プログラムの配布やインストールを実施するほか、更新プログラムの削除や検出、検出の拒否といった制御を管理者側で行えます。
検出では、PCに更新プログラムの存在を公開することのみを行い、インストールの許可は出しません。
検出を拒否した場合は、WSUSの管理画面にも表示されなくなります。
近年WSUSを導入する企業も増えており、注目度が高まっています。
ここでは、企業でWSUSを導入する必要性を解説します。
先述のとおり、WSUSでは社内のPCを部署や業務別にグループ分けし、特定のグループに対して更新プログラムを配布したり、グループごとにアップデートのスケジュールを分け、更新作業を分散させたりすることができるため、サーバーへアクセスが集中することによる業務の遅延を防止できます。
PCの台数が多い場合や24時間システムを稼働させる必要がある企業においては、サーバーへの負荷が少ない時間を把握した上でスケジュールを調整することで、各PCをスムーズに更新できます。
通常のアップデートでは、更新プログラムを適用させるために各PCをインターネットにつなぐ必要があったことから、ネットワークへのアクセスが集中し、動作が重くなるといった課題が生じるケースも見られました。
WSUSを導入することで、WSUSサーバーのみがインターネットに接続し更新プログラムをダウンロードするため、ネットワークへの負荷が軽減されます。
しかし、ダウンロードするファイルの大きさによってはWSUSサーバーが負荷に耐えきれず、通信速度が落ちてしまう場合もあるため、注意が必要です。
更新プログラムが配布されてからすぐにアップデートを行ってしまうことで、業務に使用しているアプリケーションが最新のOSに対応しておらず、正常に動作しない場合があります。
従業員が個別にアップデートを行うことでこのようなリスクが生じるケースも見られますが、WSUSを導入し、企業で更新プログラムを管理することにより、管理者側でアプリケーションの動作確認を行ったり、最新情報を確認したりしてから更新プログラムをインストールできます。
しかし、テレワーク時など、帯域の狭いVPN回線を利用して更新プログラムをダウンロードする場合、通信負荷がかかりやすく一度に大人数がダウンロードできない可能性もあり、アップデートに遅れが生じるケースも見られます。
WSUSでは、先述のとおり各PCでの更新プログラムの適用状況を管理画面上で把握できます。
このように、ステータス一覧やレポートでアップデート状況を把握できるようにすることで、更新プログラムの適用漏れによるPCの不具合やセキュリティーリスクを防ぐことができます。
また、適用状況が容易に確認できるようになることで、1台ずつPCをチェックする必要もなくなるため、管理者側の負担も軽減できるでしょう。
しかし、テキストベースでのレポートとなるため、グラフなどを用いて視覚的にわかりやすく表示させたい場合は、別途ツールを利用するなどの工夫が必要です。
WSUSを導入するには、事前に要件を満たすサーバーや、管理に必要な人的リソースを準備し、運用体制を整えることが大切です。
ここでは、WSUSを実施するにあたって必要な準備や簡単な導入手順をご紹介します。
なお、WSUSは Windows のディレクトリサービスである Active Directory (アクティブ・ディレクトリ) と連携することを前提に作られたシステムのため、Active Directory をあらかじめ利用している必要があります。
各項目でご紹介する要件や手順は変更される場合があるため、正確な情報はあわせて記載する Microsoft のページをご確認ください。
WSUSの導入に必要な最小ハードウエア要件は、次のとおりです。
| プロセッサ | x64プロセッサ、1.4GHz (2GHz以上推奨) |
| メモリ | サーバーおよびその他のすべてのサービスやソフトウエアで必要とされているものとは別に2GBのRAMが追加で必要 |
| 使用可能なディスク領域 | 40GB以上を推奨 |
| ネットワークアダプター | 100メガビット/秒 (Mbps) 以上 (1GBを推奨) |
| プロセッサ | |
| x64プロセッサ、1.4GHz (2GHz以上推奨) | |
| メモリ | |
| サーバーおよびその他のすべてのサービスやソフトウエアで必要とされているものとは別に2GBのRAMが追加で必要 | |
| 使用可能なディスク領域 | |
| 40GB以上を推奨 | |
| ネットワークアダプター | |
| 100メガビット/秒 (Mbps) 以上 (1GBを推奨) | |
ハードウエア要件と、そのほかダウンロードが必要なソフトウエアなどについて詳しくは、Microsoft のページ をご確認ください。
WSUSを導入する際は、大きく分けて次の三つの手順で進めます。
サーバーマネージャーを起動したら、「ロールと機能の追加」から、WSUSサーバーの役割を追加します。
WSUSのインストールが完了した後は、サーバーマネージャーで、サーバーの再起動が必要な通知が表示される場合があります。
再起動が必要な場合は、必ずサーバーを再起動してからインストールを完了しましょう。
手順について詳しくは、Microsoft のページ をご確認ください。
次に、WSUSの基本構成を設定します。基本構成は、サーバーマネージャーのダッシュボードの「ツール」にある「Windows Server Update Services」から設定を進めます。ここでは、WSUSで受信する更新プログラムの言語や、更新プログラムを適用する製品の指定などを細かく設定できます。
手順について詳しくは、Microsoft のページ をご確認ください。
WSUSサーバーの設定が完了したら、アップデート時にPCがWSUSサーバーを参照するように設定します。
WSUSでのクライアントの設定は、グループポリシー管理コンソール (gpmc.msc) から進めます。
手順について詳しくは、Microsoft のページ をご確認ください。
このように、WSUSの準備や設定には専門的な知識が必要になります。
さらに、公式情報が最新の内容に更新されておらず自身での調査が必要になるケースもあるため、導入時に想定以上の時間を要してしまうこともあります。
そのため、専門業者からのサポートを受けながら導入したり、別途更新プログラムの管理が行える専用のツールを導入する企業も見られます。
WSUSは無償で利用できるため、導入する企業も多いです。
しかし、Windows 10 以降のOSで提供される Feature Update (以下、FU) の更新プログラムをスムーズに配信できなかったり、テレワーク時に更新プログラムを配信できなかったりするなどのデメリットも挙げられるため、導入前には慎重に検討する必要があります。
WSUSのデメリットと、デメリットを解決するソリューションについては、この後詳しくご紹介します。
WSUSを企業で利用することで、アクセス集中によるネットワークへの負荷軽減などさまざまなメリットが挙げられますが、同時にデメリットも存在します。
WSUSのデメリットは、次のとおりです。
Windows 10 / Windows 11 の時代になり、PC運用管理者の頭を悩ませているのが、Windows Update ではないでしょうか。
月例のセキュリティーパッチである品質更新プログラム (Quality Update:以下、QU) に加え、Windows 10 以降のOSでは、1年に1回のペースで Feature Update (以下、FU) の更新プログラムが配信されます。
FUでは主に新機能の追加や現状の機能の拡大といった Windows の機能を更新させるための大型アップデートが行われます。
しかし、FUで配信される更新プログラムはデータ容量が大きく、動作検証や各PCへの配信時にかかるWSUSサーバーへの負荷が課題となる場合があります。
社内の Windows Update 配信システムとして、Microsoft 社はWSUSを無償で提供しています。
Windows 7 のPCを扱っていた際に導入した企業も多いのではないでしょうか。
しかし、Windows 10 / Windows 11 の Windows Update 用としては、あまり使い勝手の良いものではなくなっているといえます。
Windows 10 や Windows 11 など最新のOSのアップデートで用いる際には、WSUSサーバーへの負荷が大きくなる場合があります。
そのため、複数のWSUSサーバーを用意し、各拠点に設置するケースも見られ、設置や運用にかかるコストが課題になるでしょう。
FUの更新プログラムを配信する際には、数GBものデータをやりとりする必要があります。
WSUSではグループ化機能があるため、部署ごとに細かく更新プログラムを配信できるものの、FUのデータを受け取るために複数台のPCがWSUSサーバーに接続することによってネットワークの帯域を使い果たしてしまうケースも見られます。
実際、FUの配信によって業務に支障が出るほどネットワークが遅くなった、という話はよく耳にします。
非常にネットワーク負荷が高いため、DVD-RやUSBメモリといったメディアにアップデータを格納し個人でアップデートを実行したという企業も少なくないようです。
しかし、DVDドライブを持たないPCも増え、セキュリティーの観点からUSBメモリの接続を制限している企業も多い今、そもそもメディアを大量に準備することは管理者にとって負担にしかなりません。
多様な働き方を実現する一環としてテレワークを導入する企業も増えています。
しかし、テレワーク時にFUの更新プログラムをダウンロードする際に、帯域の狭いVPN回線でデータをダウンロードすることによって、通信負荷がかかってしまいます。
通信速度の低下が原因で業務の進行に支障が出る場合もあるものの、社用PCのアップデートは欠かさずに行わなければならないため、テレワーク時にも大容量のデータをやりとりできる通信環境の強化が求められています。
PCの容量不足や、インストールされているソフトウエアとの相性などが原因でFUのアップデートが失敗するケースも少なくありません。
このとき、管理者側ではどのPCがアップデートに成功していて、どのPCが失敗しているかといったステータスを正確に把握する必要があります。
しかし、WSUSのレポート機能ではアップデートの成功・失敗の状況といったステータスをテキストベースで確認することになります。
そのため、図やグラフを用いてステータスを管理したい場合は、管理者側でデータを加工しなければならない点がデメリットです。
また、PC台数が増えた際は、それぞれの配信サーバーでアップデート状況を確認しなければなりません。
このため、PCの状況が一元的に把握できる資産管理ツールを併用しているところも少なくないようです。
先述したとおり、WSUSにはメリットも多くある一方で、大容量のデータを配信する際に通信負荷がかかるなどのデメリットもあります。
これらのデメリットを解決するソリューションとして、横河レンタ・リースの「Unifier Cast」をご紹介します。
Unifier Cast では、ソフトウエアの分割配信機能と、Windows アップデートの状況を可視化するダッシュボード機能を軸に、業務効率化を実現します。
Windows PCを運用する際は、アップデート時のネットワーク負荷の軽減やアプリケーション配布の効率化、各PCのアップデート状況の把握を正確に行うことが重視されます。
このような要件に対して、Unifier Cast では「大容量の更新ファイルを配信する際に、ネットワーク負荷を軽減する分割配信機能」や「VPNの負荷を軽減する軽量パッケージ機能」「アプリケーションの配布を効率化するSimple Package Editor機能」「アップデートの適用状況を可視化するダッシュボード機能」を備えています。
Unifier Cast の機能について詳しくは、次のとおりです。
Unifier Cast はWSUSの持つ、「 配信サーバーの課題 」「 大容量アップデータの課題 」「 アップデート状況把握 」の課題を解決する Windows Update 運用ソリューションです。
Unifier Cast の最大の特徴は、FU / QUのアップデータを細かく分割して分散配信すること。
細分化されたアップデータは、各ネットワークセグメントの限られた台数のPCに対して配信されるのでネットワーク負荷を最小限に抑えます。
細分化されたアップデータは、各PCにインストールされたエージェントが再び組み立てて、元の形に戻された上でアップデートに使われます。
また、エージェントは、同じネットワークセグメント内にある他のPCに、細分化されたアップデータを再配信する仕組みも持つので、サーバー1台でも数多くのPCに速やかに配信されていきます。
アップデータの細分化・分割配信にはもう一つのメリットがあります。
配信中、ネットワークが切れると配信は一時停止され、ネットワークがつながるとまた配信を再開。
つまり、社内での移動時や、出張などでネット接続が切れることによるアップデータ配信の失敗がなくなるのです。
WSUSではわかりにくかった、各クライアントPCのアップデート状況も、Unifier Cast のダッシュボードならひと目で確認できます。
各PCのアップデートの成功・失敗や、失敗の原因となりやすいディスクの空き容量状況、アップデータの通信量など、管理者が必要な情報がこのダッシュボード画面で確認できます。
また、アップデートの失敗時には、Unifier Cast がPCの画面にエラーの内容を日本語で表示します。
ユーザー自身である程度解決できるようになるので、速やかなアップデートの適用を促進しつつ、管理者の負担を軽減します。
コロナ禍によるテレワークの増加にあわせて、管理者を悩ますテレワークPCの Windows Update 運用に対応するため、Unifier Cast は二つのテレワーク対応アップデートを行いました。
一つは「軽量パッケージ」によるアップデート適用です。
軽量パッケージとは、指定のアップデートをインターネット上からダウンロードするという指示情報だけ含められたファイルパッケージのことです。
その軽量パッケージを、テレワークPCにVPN経由で配信し、アップデータ本体は Microsoft の Windows Update サーバーからダウンロードできるようにしたものです。
ユーザーが直接 Windows Update サーバーに接続してダウンロードするのとは異なり、管理者が設定したアップデートファイルのみ適用させることができるので、社内と同様のアップデート管理が可能です。
