Windows Update管理を解説!効率的に更新する方法とは?
組織内で利用している端末のOSがWindowsであった場合、Windows Update機能によって更新プログラムを適用できます。
Windows Updateでは、自動更新を有効にすることで定期的に最新の更新プログラムを取得/適用し続けてくれます。セキュリティ上の脆弱性をなくすという意味では安心の機能なのですが、IT担当者にとってはしばしば悩みの種となっていることでしょう。
さまざまな業務システムと連携して稼働している組織の端末にとって、更新プログラムの自動適用は、システム不具合のリスクと常に隣り合わせだからです。
そこでIT担当者がおこなわなければならないのが、Windows Updateの一元管理です。
今回は、Windows Updateを管理するメリットや課題、おすすめの解決方法をご紹介します。
・Windows Updateを管理するメリット
・Windows Update管理の課題
・Windows Update管理の方法
・Windows Update管理ツールを選ぶポイント
・Windows Update管理ツールはSS1がおすすめ
・まとめ
Windows Updateとは
(Windows Updateから確認できる過去のパッチ適用履歴)
Windows端末には、脆弱性に対する修正パッチや新機能などを適用させるための「更新プログラム」が定期的に配布されています。
Windows Updateは、それらの更新プログラムのダウンロード/インストールをおこなうために搭載されている標準機能です。
ちなみに更新プログラムは2つに大別されます。
機能更新プログラム (FU:Feature Update) | Windows大型アップデートとも呼ばれ、主に新しい機能追加などを実施するもの。 1年に1回の頻度で配信されている。 |
---|---|
品質更新プログラム (QU:Quality Update) | 主にセキュリティパッチや軽微な修正を含み、毎月第2火曜日に配信されている。 「セキュリティ更新プログラム」「重要な更新プログラム」「サービススタック更新プログラム」「ドライバー更新プログラム」など細かい分類が存在する。 |
Windows Updateを管理するメリット
冒頭で述べた通り、Windows Updateは基本的に自動適用となっているため、管理者側でクライアント端末に対して作業をおこなわずとも最新のパッチをあて続けることはできます。
しかし、あえて管理者側で一元管理することで、以下のようなメリットがあります。
更新プログラムの適用漏れを防げる
管理者側でOS情報を常に把握しておくことで、更新プログラムの適用漏れを防げるようになります。
更新プログラムの適用漏れによって生じるもっとも大きなリスクは、サポート期限の切れたOSを使い続けてしまうことです。
通常、Microsoftが配信している機能更新プログラムには「サポート期間」が設定されています。このサポートが切れてしまうと新たな修正プログラムが配信されなくなるため、脆弱性に対処できなくなってしまうのです。
Windows Updateを自動適用とすることで常に最新のパッチをあてているつもりでも、何らかの不具合によって更新が止まっている可能性もゼロではありません。または、ユーザー側で勝手に自動適用をオフにされてしまうケースもあります。
管理者側でOS情報を一元管理することで、適用漏れがある端末をなくし、これらのリスクに対応できます。
更新プログラムに付随する不具合を防げる
更新プログラムの適用によって、業務で利用しているシステムやアプリケーションに不具合が生じたり、端末が動作しなくなったりすることがあります。
Windows Updateを管理者側でコントロールできていれば、先に検証用端末に対して更新プログラムを適用し、動作確認をおこなったうえで全体に展開するといった運用が可能です。
ユーザー側は常に動作確認済みのパッチを適用できるため、更新プログラム適用によって業務に支障が出てしまう危険性を低減させられます。
適用する更新プログラムやタイミングを選別できる
基本的にはすべての更新プログラムを適用させたいものの、一部の部門で利用されている端末だけはむやみにパッチをあてたくないといったケースもあるでしょう。
特に外部のシステムを活用している端末は、更新プログラムを適用することでシステムとの連携性が失われ、一切動作しなくなってしまう懸念もあります。
そのような場合には、管理者側で適用するパッチの種類を意図的に選別するのが効果的です。
また、更新プログラムをダウンロード/インストールするタイミングを管理者がコントロールすることで、日中に更新プログラムが適用されて業務が中断されてしまうなどのアクシデントも回避できます。
このように、管理者側でWindows Updateを一元管理することには「組織内の業務とセキュリティ体制強化のバランスを取れる」という大きなメリットがあるのです。
Windows Update管理の課題
Windows Update管理のメリットについてご紹介しましたが、一方で課題点も存在します。
管理対象端末が多いほど、作業工数が膨大になる
更新プログラムを適用させたい端末が多ければ多いほど、現在のOSバージョンを確認するだけでも膨大な工数がかかってしまいます。
また品質更新プログラムの適用を管理する場合、まず検証用端末にパッチをあて、動作確認をしてから全体展開をおこなうといった作業を毎月実施しなければなりません。
万一検証の結果不具合が生じれば、原因に応じて以下のような対応を都度おこなう必要もあります。
・不具合が起きたシステムやアプリの開発元へ修正依頼を出す
・不具合が起きた外部サービスの提供元に最新パッチへの対応依頼を出す
・更新プログラム自体に問題があれば、次のパッチ配信まで全体展開を中止する
事業の円滑な運営に不可欠な作業とはいえ、手作業でおこなうとなれば大変な労力を要します。
ネットワークに負荷がかかってしまう
管理者側で一括して更新プログラムの適用をおこなう際、一斉にプログラムのダウンロードを始めてしまうと、社内ネットワークに負荷がかかってしまい、通常業務の妨げとなります。
特にテレワークなどでVPNを利用している場合、その影響は顕著です。一時的に通信量が膨れ上がることで回線がパンクし、まったく業務をおこなえなくなってしまったという事例はよく聞かれます。
更新プログラムの適用をおこなう場合は、業務時間外の深夜にパッチ適用をおこなう・部門/拠点ごとに適用日を分散するなどの工夫が必要です。
しかし、こういった運用は専用ツールを利用しなければ実施できないという点は留意しておきましょう。
新機能を使えるようになるまで時間がかかる
ユーザー側で更新プログラムの適用をコントロールできなくなるため、常にWindowsの最新機能を活用したいユーザーは不満を覚えてしまうかもしれません。
最新パッチの常時適用が問題ない端末であれば、個別に更新プログラムを適用させてあげてもよいでしょう。
しかし、このような個別対応は管理業務が煩雑化する大きな要因です。新機能を使いたいユーザーが多ければ多いほど、いつかは対応に限界がきてしまいます。
Windows Update管理の方法
これらの課題を解決したい場合は、更新プログラム管理の自動化をおこなえる専用ツールの導入がおすすめです。
専用ツールには、大きくわけて「Microsoft社公式のツール」と「IT資産管理ツール」の2種類が存在します。
Microsoft社公式のツール
Microsoft社からは、Windows Updateを効率的に運用するためにいくつかのツールやサービスが提供されています。なかでも代表的なのが、WSUSとWindows Update for Businessです。
どちらも更新プログラムの一元管理に役立つツールですが、管理方法や実装環境などに大きな違いがあります。
WSUS
WSUS(Windows Server Update Services)とは、Microsoftから配信された更新プログラムをダウンロードし、保存しておけるオンプレミス型のツールです。
WSUSをインストールしたサーバー(WSUSサーバー)を社内環境に構築することで、最新の更新プログラムを一度WSUSで受け持ってから各管理対象端末へと配信できるようになります。
WSUSには更新プログラムの適用タイミングや適用グループを制御する機能が搭載されているため、パッチの段階的な適用を実現できます。
また管理者側で適用するパッチを手動で選択でき、さらに場合によっては個別の端末に対して適用延期設定をおこなうことも可能です。
ちなみに、Microsoftからパッチを受け取るのはWSUSのみであるため、外部通信における輻輳を防げるという効果もあります。
Windows Update for Business
WSUSがオンプレミス型のツールであるのに対し、Windows Update for Businessはクラウドベースの更新プログラム配信ツールです。
WSUSのように更新プログラムを集約する機能はないため、個々のデバイスがMicrosoft側から直接パッチを取得する方式をとります。更新タイミングの制御については、グループポリシーやMicrosoft Intune側の機能を用いて実現されます。
WSUSとの大きな違いは、クラウドベースのツールであるために、社内ネットワークに繋がっていない端末についても更新管理をおこなえるという点です。
よって、テレワークなどで社外に持ち出され、インターネットにしか接続されていない端末についても更新管理を実施できます。
また、WSUSでは対応できないOfficeの更新プログラムについても管理可能です。
一方、基本的にすべてのパッチを各端末にダウンロードしたうえでそれらの適用スケジュールを決定する機能しか持たないため、パッチの取捨選択はできない仕様になっています。
IT資産管理ツール
Windows Updateを効率化するツールは、サードパーティ製品にも存在します。
例えば端末を統括管理できるIT資産管理ツールには、更新プログラム管理機能が搭載されているものも多くあります。
もともと、IT資産管理ツールとは組織内にあるPCやソフトウェアといったIT資産の最新情報を収集し、自動で台帳化できる製品です。その一環として各端末のOS情報も収集されるため、組織全体の現状把握も簡単におこなえます。
(端末情報と共に、OSの詳細な情報まで把握可能)
OS情報の収集に付随して、多くのIT資産管理ツールには更新プログラムの適用タイミングや適用端末を選別できる機能も搭載されています。
また、Microsoft製品に対する知識や習熟度がどうしても必要となるMicrosoft社公式のツールと比較し、管理画面がわかりやすいという声もあるようです。
Windows Update管理ツールを選ぶポイント
上述の通り、Windows Update管理をおこなえる専用ツールにはさまざまな種類があります。自社にあったツールを選定する際は、各ツールのメリット・デメリットを鑑みながら検討するとよいでしょう。
メリット | デメリット | |
---|---|---|
WSUS | ・無料(サーバーライセンス費用は別) ・ネットワーク負荷を軽減できる ・パッチ配信を個別に承認可能 ・段階的なパッチ配信が可能 | ・管理画面が煩雑 ・サーバー構築などの知識が必要 ・Officeの更新プログラムに非対応 ・社内ネットワークへの接続が前提 |
Windows Update for Business | ・無料 ・社外端末も管理可能 ・サーバー不要 | ・パッチを取捨選択できない ・閉域網内の端末に非対応 ・外部通信に一定の負荷がかかる |
IT資産管理ツール | ・管理画面がわかりやすい ・ネットワーク負荷を軽減できる ・パッチを取捨選択できる ・段階的なパッチ配信が可能 ・製品によっては、インターネット接続/未接続端末のどちらにも対応可能 ・パッチ管理以外の機能も豊富 | ・有償 ・ツールによってサーバーが必要 |
WindowsUpdate管理ツールはSS1がおすすめ
「社内外の端末に対して統括したWindows Update管理をおこないたい」「なるべくわかりやすい管理画面で運用したい」というニーズがある場合は、IT資産管理ツールのなかでもSS1の導入をおすすめします。
(実際の管理画面)
SS1の更新プログラム管理機能は、「機能更新プログラム」「セキュリティ更新プログラム」「Office更新プログラム」に対応しており、見やすい管理画面で適用するパッチや端末を選択できるうえ、配信スケジュールも自由に設定することが可能です。
また、インターネット経由での配信・社内ネットワーク経由での配信のどちらにも対応しています。
加えて、更新プログラムダウンロード/アップロードにおける帯域幅も設定できるなど、ネットワーク負荷軽減に役立つさまざまな機能を多数搭載しています。
それ以外にも、SS1は端末管理やログ管理、USBメモリなどの接続制限機能など、IT運用全般に活用いただける各種機能を取り揃えています。
更新プログラム管理だけではなく、IT資産管理全体に関してお悩みがあれば、ぜひ導入をご検討ください。
まとめ
組織でWindows Update管理をおこなう場合、手作業での管理はIT担当者に大きな負担がかかってしまいます。
作業の効率化や、より確実なWindows Update管理を目指すのであれば、専用ツールの導入を検討するとよいでしょう。
まずは無料で使えるMicrosoft社提供のツールを試してみるのも選択肢の一つですが、組織のネットワーク環境や業務内容によっては、ツールの仕様とあわなくなる可能性もあります。そのときは、より柔軟な対応が可能であるIT資産管理ツール「SS1」の活用をご検討ください。
ちなみに、当サイトではWSUSとSS1の機能の違いをまとめたお役立ち資料も配布しています。気になる方は、こちらも参考にしてみてはいかがでしょうか。

IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!