Windowsクライアント(Windowsを搭載したPCなど)には、新機能の追加や不具合、脆弱性の修正のため更新プログラムが提供される。Windows Updateという機能によって、更新プログラムのダウンロード、インストールを行う。だが、このプログラムを適用すると、これまで動作していたシステムやアプリケーションが正常に動作しなくなることがある。

 本記事ではWindows Updateに代表されるWindowsの更新管理について、その機能についてはもちろん、メリットとデメリット、活用のポイントなどを、Windows関連技術に詳しい富士ソフトの増田裕正氏が解説する。併せて、日経クロステックActiveの記事から、事例や関連記事・資料などをまとめて紹介する。

初回公開:2022/4/8
目次
1. Windows 更新管理とは
2. Windows更新管理のメリットとデメリット
3. Windows更新管理の基本的な機能
4. Windows更新管理の代表的な製品・サービス
5. Windows更新管理の料金相場
6. Windows更新管理の選定・活用のポイント
7. Windows更新管理の代表的な事例
8. Windows 更新管理の関連記事・資料
9. Windows 更新管理関連の新着記事
*「1.Windows 更新管理とは」「2. Windows更新管理のメリットとデメリット」「3. Windows更新管理の基本的な機能」「5. Windows更新管理の料金相場」「6. Windows更新管理の選定・活用のポイント」は増田裕正氏が執筆

1. Windows更新管理とは

 Windowsクライアント(Windowsを搭載したPCなど)には、新機能の追加や不具合、脆弱性の修正のため更新プログラムが提供される。この更新プログラムのダウンロード、インストールは、Windows Updateという機能によって行う。

 

 ところがこのプログラムを適用すると、これまで動作していたシステムやアプリケーションが正常に動作しなくなることがある。

 そこでシステム管理者は、事前にシステムやアプリケーションの動作確認を行い、正常動作を確認できた後に、更新プログラムを配布し、Windowsクライアントに適用させる必要がある。

 Windowsクライアントでは、標準の設定では、新しい更新プログラムのリリース後、順次、Windows Updateによって更新プログラムが自動的に適用される。つまり、動作確認が済んでいない更新プログラムも適用されてしまい、業務に必要なシステムが利用できなくなるというトラブルが発生する可能性がある。

 システム管理者は、動作確認が済んでいない更新プログラムが配信・更新されるのを未然に防ぐため、更新プログラムの提供タイミングを制御しなければならない。

図1●Windows Updateによる機能更新のダウンロードとインストールの画面
図1●Windows Updateによる機能更新のダウンロードとインストールの画面
[画像のクリックで拡大表示]

機能更新プログラムと品質更新プログラム

 更新プログラムには、「機能更新プログラム」と「品質更新プログラム」の2種類がある。

 機能更新プログラムは、年に1回の頻度*1でリリースされ、新しい機能が提供される。品質更新プログラムは、月に1回の頻度でリリースされ、不具合や脆弱性の修正が提供される。

*1 Windows 10の機能更新は、以前は年に2回リリースされていたが、2021年下期以降は、年1回のリリースとなった。

 機能更新プログラムの特徴としては、リリースされた機能更新プログラムごとにサポート期間が設定されている。Windows 10では、機能更新プログラムのリリース日から18カ月間*2、Windows 11では24カ月間*3と設定されている。

*2 Windows 10 Proの例。Enterprise/Educationの下期リリースは30カ月
*3 Windows 11 Proの例。Enterprise/Educationでは36カ月

 気をつけてほしいのは、新しい機能更新プログラムを適用しないまま設定されたサポート期間を過ぎて利用を続けると、Microsoftからのサポートが受けられない状態になること。未サポート状態になると、脆弱性の修正も提供されなくなるため、Windowsクライアントが攻撃を受け、悪用されるリスクが高くなる。

 このためサポート期限より前に、Windowsクライアントへ新しい機能更新プログラムを適用する必要がある。機能更新プログラムでは、大きな変更が行われることがあるため、動作検証に時間を要するケースもある。機能更新プログラムの適用は、動作検証にかかる期間を踏まえた計画的な実施を推奨する。

 品質更新プログラムは、主に不具合や脆弱性の修正が行われる。脆弱性を悪用した攻撃から身を守るため、リリース毎に動作検証を効率よく行い、速やかに適用することが推奨されている。

更新プログラム適用の一元管理

 企業では、多くのWindowsクライアントが利用されている。システム管理者が、これらWindowsクライアントに対して、更新プログラムの適用タイミングを制御するには、非常に大きな労力を要する。そのため、管理下のWindowsクライアントへの更新プログラムの適用タイミングを一括で制御、各Windowsクライアントの更新プログラムの適用状況を一覧で確認、といった機能を持つ製品やサービスが提供されている。

 これ以降、このような製品やサービスを活用することを前提としたうえで、 Windowsの更新管理について説明する。

目次に戻る

2. Windows更新管理のメリットとデメリット

Windows更新管理のメリット

 Windowsクライアントの更新を管理することのメリットは、以下の通り。

(1)常に動作確認済みのWindowsを利用できる

 システム管理者が、更新プログラムの提供タイミングを制御することで、ユーザー(従業員)のWindowsクライアントには、動作確認の済んだ更新プログラムだけが適用されるようになる。動作確認の済んでいない更新プログラムが、適用されることはなくなる。

 システム管理者は、新しい更新プログラムのリリースごとに、動作確認を行う労力が必要となる。一方ユーザーは、提供された更新プログラムを適用するだけ。更新プログラムに起因する問題で、業務の継続が妨げられる心配はなくなる。

(出所:123RF)
(出所:123RF)

(2)セキュリティリスクのあるWindowsクライアントの確認

 システム管理者は、更新管理ツールを使って、企業内のWindowsクライアントへの更新プログラムの適用状況を確認できる。つまり、セキュリティリスクの有無を判断できる。

 機能更新プログラムの適用状況では、既にサポートが終了してしまっていないか、品質更新プログラムにおいては、動作確認の済んだ最新のプログラムが適用されているか、が重要で、どちらも確認できる。セキュリティリスクを抱えたWindowsクライアントが発見された場合は、適切に対応すればよい。

Windows更新管理のデメリット

 Windowsクライアントの更新を管理することのデメリットは、以下の通り。

(1)アプリケーションの動作確認や動作不良時の対応

 システム管理者は、更新プログラムのリリースごとに、システムやアプリケーションの動作確認を行う必要がある。また、動作確認時に問題が見つかった場合には、正しく動作するように対応を行う必要がある。

 パッケージやクラウドサービスを使用しているのであれば、メーカーへ対応方法の確認を行う。スクラッチ開発のアプリケーションの場合は、開発者に修正を依頼する。企業内で使用しているアプリケーションやシステムの数が多い場合は、非常に多くの時間や労力を費やすことになる。

(2)Windowsの更新管理を実現する製品、サービスの導入コスト、運用コスト

 Windowsの更新を管理するためのサーバーやサービスが、Microsoftや他メーカーから提供されている。利用するには、ライセンスや機材が必要となるケースが多い。導入時には、構築作業、セットアップも必要となる。加えて、更新プログラムは継続して提供されるので、構築した環境に対しても継続的なメンテナンスが必要になる。

(3)ユーザーがタイムリーに新しい機能を活用できない

 Windows の更新の管理を行うと、ユーザーは更新プログラムを適用できなくなる。最新の機能をいち早く業務に活用したいと考えるユーザーにとっては、フラストレーションが溜まりかねない状況になる。なぜなら、システム管理者側での確認が終わるまでは、ユーザーは新しい機能を利用することができないからだ。

目次に戻る

3. Windows更新管理の基本的な機能

 Windowsクライアントの更新管理に必要となる基本的な機能は、以下の通り。

更新プログラムの配信タイミングの制御

 システム管理者が、任意のタイミングで更新プログラムの配布を開始できる。システム管理者は、動作確認の済んだ更新プログラムを選択し、管理下のWindowsクライアントへ配布を開始する。ユーザーは何も意識することなく、提供された更新プログラムがWindowsクライアントに適用される。

 この配信タイミングの制御を実現する機能としては、大きく2つのタイプがある。

(1)WSUS(Windows Server Update Services)タイプ

 WindowsクライアントがWindows Updateを実行する時に、社内ネットワーク内に構築した管理サーバーを参照する。この管理サーバーからは、システム管理者が選択した更新プログラムのみが配信される。

 Windowsクライアントが管理サーバーを参照するように設定するには、グループポリシーが使用される。グループポリシーによって、一括で管理下のWindowsクライアントへ設定を強制できる。

図2●Windows Update WSUSタイプの概略図
図2●Windows Update WSUSタイプの概略図
[画像のクリックで拡大表示]

 このような構成は、Windows Serverの機能として古くから提供されているWindows Server Update Services(以降、WSUS)が代表的であるため、WSUSタイプと分類した。管理サーバーは、社内ネットワークに配置される。一般的には社外のWindowsクライアントは管理サーバーを参照できないので、テレワーク環境では機能しない。

 一方、管理サーバーは社内に配置するが、クラウド上に中継ポイントを配置することで、社外のWindowsクライアントも制御可能な製品がある。例えば、Microsoft Endpoint Configuration Managerとクラウド管理ゲートウエイといった構成で実現できる。

(2)Windows Update for Businessタイプ

 更新プログラムの適用を遅延させることで、管理する。Windowsクライアントへの設定の適用は、グループポリシーや Mobile Device Management(以降、MDM)によって行う。例えば、システム管理者が機能更新プログラムの適用を90日延期する設定を行うと、クライアントはWindows Update実行時に、遅延期間を終えた更新プログラムだけを要求するようになる。遅延期間内の更新プログラムは要求しない。システム管理者は、期間内に更新プログラムの動作確認を済ませておく必要がある。

図3●Windows Update for Businesタイプの概略図
図3●Windows Update for Businesタイプの概略図
[画像のクリックで拡大表示]

 このような構成は、Windows10以降に提供されたWindows Update for Businessが代表的なので、Windows Update for Businessタイプと分類した。

 WindowsクライアントからWindows Updateサービスへ直接接続するので、インターネットへ接続できる環境であれば、リモートでも在宅でもどこからでも機能する。管理サーバーを構築する必要がないため、シンプルな構成で済む。MDMの機能の一部として提供され、MDMとともに利用されることが多い。

目次に戻る

Windowsクライアントの更新プログラム適用状態の監視

 システム管理者は、管理下にあるWindowsクライアントへの更新プログラムの適用状況を確認する必要がある。配布した更新プログラムが適用されていないWindowsクライアントが見つかった場合、適用されるように対応しなくてはいけない。

 このようなニーズを受けて、Windowsクライアントの更新プログラムの適用状況を確認できる機能が提供されている。管理下のWindowsクライアントへの更新プログラムの適用状況を監視し、状況を一覧で確認できる。

 主な監視項目は、マシン名、IPアドレス、OS種別、更新プログラムの適用状況など。この情報を基に、システム管理者は、更新プログラムが適用されていないWindowsクライアントを特定し、適切な対応を行うことができる。

図4●WSUSの監視レポートの例。管理下の Windowsクライアントの一覧と、更新プログラムの適用状況を確認できる。
図4●WSUSの監視レポートの例。管理下の Windowsクライアントの一覧と、更新プログラムの適用状況を確認できる。
[画像のクリックで拡大表示]

4. Windows更新管理の代表的な製品・サービス

 代表的なWindows更新管理の製品・サービスとして、マイクロソフトが提供する4つの製品・サービス(一部は機能・ポリシー)を挙げる。

WSUSタイプ

 WSUSタイプにあたるのが、以下の2つである。(1)Windows Server Update Services(WSUS) Windows Server Update Services(WSUS) 、(2)Microsoft Endpoint Configuration Manager(MECM) Microsoft Endpoint Configuration Manager(MECM)

Windows Update for Businessタイプ

 Windows Update for Businessタイプにあたるのが、以下の2つである。(3)Windows Update for Business Windows Update for Business 、(4)Microsoft Intune Microsoft Intune

目次に戻る

5. Windows更新管理の料金相場

 Windowsクライアントの更新プログラムを管理する製品・サービスを導入する際に、検討すべき項目は、ライセンス、構築費用、運用費用が挙げられる。当然、ユーザーやWindowsクライアントの数が多くなるほど、コストも増大する。

ライセンス

 WSUSタイプでは、管理サーバーのライセンスが必要となる。WSUSを使用する場合は、Windows ServerのライセンスやCAL(クライアント アクセス ライセンス)が必要となる。

 Windows Update for Businessタイプは、MDMサービスの一部の機能として提供されることがほとんど。利用する場合は、MDMのライセンスが必要となる。

構築費用、運用費用

 WSUSタイプでは、サーバー機や周辺機器の調達、設置はもちろん、サーバーや機能のセットアップも必要。構築したサーバーを継続して保守メンテナンスする費用も必要となる。

 Windows Update for Businessタイプでは、クラウドサービスとして提供されるMDMを使う場合、機能のセットアップ費用だけで済む。クラウドサービスを利用するので、運用費用もWSUSより安めだ。

目次に戻る
(出所:123RF)
(出所:123RF)

6. Windows更新管理の選定/活用のポイント

 Windowsクライアントの更新プログラム管理方法の選択については、多くのユーザーの作業場所はどこか、そこではンターネットアクセスが十分に確保されているかどうか、を考えるとよい。

作業場所が社内のみで、インターネットアクセスを禁止もしくは帯域が不十分

 Windowsクライアントの利用は社内のみ、で社外に持ち出すことはない、さらに、Windows クライアントからのインターネットアクセスを禁止、もしくはインターネットアクセスの帯域が十分に確保できない場合は、WSUSタイプを選択する。

 WSUSタイプでは、管理サーバーがWindows Updateサービスとインターネット経由で通信して、更新プログラムをダウンロードする。管理下のWindowsクライアントは、管理サーバーから更新プログラムをダウンロードするので、インターネットへのアクセスは必要がない。

作業場所が社外でインターネットアクセスも十分に確保

 テレワークを主体としている場合は、Windows Update for Businessタイプを選択する。Windowsクライアントからインターネット上のWindows Updateサービスへ直接接続し、更新プログラムをダウンロードする。更新プログラムによっては、数ギガの容量になることもあるため、インターネットアクセスが十分に確保されている必要がある。なお、社内のみで利用する場合でも、こちらのタイプの選択は可能だ。

目次に戻る

7. Windows更新管理の代表的な事例

目次に戻る

8. Windows更新管理の関連記事・資料

横河レンタ・リース

JALインフォテック

JALインフォテック

目次に戻る

9. Windows 更新管理関連の新着プレスリリース

目次に戻る
増田 裕正(ますだ ひろまさ)
富士ソフト MS事業部 フェロー
増田 裕正(ますだ ひろまさ) マイクロソフト関連の技術プロジェクトに数多く参画し、システムアーキテクトとして開発からインフラまで広範囲の技術領域に対応。日々進化するマイクロソフト新技術領域において、最新技術の調査・検証を実施し、新ビジネス創出の推進に従事している。