Windows 10アップデート後に更新プログラムを管理する方法


皆様の職場では、Windowsの更新プログラムの適用をどのように管理していますか?

Windows 10移行の波が押し寄せるなか、仕様が大きく変わった更新プログラム。この管理に苦心されている方も多いのではないでしょうか。特に機能更新プログラム(Feature Update)については適切に管理しなければ、ゲートウェイがパンクしたり、業務に必要なアプリケーションが突然動かなくなったりするなどの様々なトラブルにつながる危険性があります。
そのためWindows 10へアップデートした後は、各種更新プログラムの適用・管理がこれまで以上に重要な作業となります。
今回は、その各種更新プログラムの適用・管理をおこなう方法をご紹介します。

更新プログラムの集中管理をはじめる場合、まず候補にあがるのが「WSUS(Windows Server Update Services)」です。今回の記事では、WSUSを導入すべきかどうか、導入しない場合の対策などもご紹介していきます。
自社にあった更新プログラムの適用管理をおこなうための参考にしていただければ幸いです。WSUSをすでに活用されている方、これからWindows 10に移行される方は、併せて下記の記事もご覧ください。

●WSUS運用の効率化についてはこちら
●Windows 7からWindows 10へのアップグレードについてはこちら

ss1-winupdate1.png

WSUS、導入すべき?

Windows 10の更新プログラムは、各端末へインターネット経由で提供されるようになりました。特にファイル容量の大きい機能更新プログラムは、思わぬタイミングで社内のPCが一斉に適用してしまうとネットワークに負荷がかかり、"ネットワークが遅い"、"インターネットにつながらない"といった状況になりかねません。
また、更新プログラムが適用されたことによって、これまで使用していた業務システムに不具合が生じる、操作方法が変わり社員が混乱してしまうという事態にもつながります。そうなると、業務に多大な影響を及ぼすほか、情報システム部門への問い合わせが殺到する可能性があります。

このような問題を回避するため、WSUSの導入を検討されている方も多いのではないでしょうか。
WSUSは、無償で利用できるMicrosoftが提供するサーバーアプリケーションのことで、管理者による更新プログラムの集中管理を実現します。
インターネット上にあるMicrosoft アップデートサーバーから各種更新プログラムをWSUSサーバーに保存し、WSUS上で設定したポリシーに応じて、WSUSサーバーから各機器へ更新プログラムを配信・適用することができます。
Active Directoryを用いて、適用対象をグループ化したOU(Organization Unit:組織単位)を作成することで、任意のグループ単位での適用も可能です。
しかし、便利なWSUSにもデメリットがあるため導入に踏み切れないという方も多いのではないでしょうか。 まずはWSUSのメリット、デメリットを整理してみましょう。

WSUSのメリット・デメリット

WSUSのメリット

・ネットワーク負荷の軽減
・更新プログラム適用の集中管理
・更新プログラム適用状況の把握

WSUSを利用することで、クライアントPCが直接インターネットにアクセスして更新プログラムをダウンロードすることを防ぎ、ネットワークの負荷を低減できます。ネットワーク帯域の一部にトラフィックを制限することも可能で、安心です。
また、更新プログラムを適用するタイミングやグループを設定できるため、検証機にまず適用し、問題のないことを確認してから各端末へ適用するといった運用が可能になります。
適用後の状況はレポートで確認できるため、更新プログラムの適用漏れを防ぎ、IT環境の統制にも効果を発揮します。

WSUSのデメリット

【導入前】
・WSUSを構築するサーバーの調達が必要
・WSUSを構築・運用するリソースが必要
・Active Directoryの構築(OU情報の管理)が必要

【導入後】
・Active Directoryに参加していないPCの管理が難しい
・配信のグルーピングが柔軟におこなえない(OU単位に限られる)
・管理画面が見づらく、適用状況の把握が難しい
・更新プログラム適用に失敗した際の問題解決に時間がかかる

WSUSを利用する場合、サーバーの調達やリソースの確保がネックとなる場合も少なくありません。
またOU単位での配信・適用をおこなうためには、Active Directoryが必要となります。これまでActive Directoryを活用していなかった方は、まずそこからスタートしなければいけません。

導入後も、OU単位でのグルーピングだけでは効率的な更新プログラムの管理が難しい、Active Directoryに属さないPCがある場合は個別対応が必要になるなど、企業それぞれの環境にあわせた柔軟な運用ができない場合があります。
その他、WSUSの管理コンソールが見づらい・使いにくいと感じる方も多く、設定や状況確認が手軽におこなえないという課題もあります。
さらに、更新プログラムの適用に失敗した場合、どのPCがどのような原因で失敗したのかを把握できず、WSUSから適用を繰り返しても失敗が続いてしまい、結局現地対応が必要になるなど、適用に時間を要することもあります。

このように、一長一短のWSUS。
導入に踏み切れないという方は、「IT資産管理ソフト」の活用を検討してみてはいかがでしょうか?

更新プログラムの管理にIT資産管理ソフトが使える!?

IT資産管理ソフトとは、その名の通りPCやサーバー、ソフトウェアなどのIT資産を管理するソリューションで、更新プログラム適用管理の機能が充実した製品も増えてきています。
そのようなIT資産管理ソフトを活用することで、WSUSを利用されている環境であっても利用されていない環境であっても、充実したIT資産情報をベースに企業それぞれの環境にあわせた更新プログラムの運用がおこなえます。

例えばWSUSを利用されている場合、IT資産管理ソフトを組み合わせて活用していただくことで、WSUS利用時のデメリットを解消できます。
また、IT資産管理ソフト単体でも更新プログラムの配信・適用もサポートするため、WSUSを利用されていない場合も、リソースの消費を抑えた運用が可能になります。
WSUSを利用されている、もしくはこれから導入する予定で課題をお持ちの方、WSUSの導入予定がない方、いずれにもIT資産管理ソフトの活用がおすすめです。
ここからは、更新プログラムの管理に強みを持つIT資産管理ソフト「SS1」の具体的な運用例をご紹介していきます。

WSUSのデメリットを解消!SS1併用のポイント

ここでは、SS1をWSUSと連携して用いた場合、どのようにWSUSの課題を解決できるのかをご紹介いたします。

POINT1:配信対象のグループ分け、スケジュール設定が柔軟に 
WSUSとSS1を連携することでOU単位だけでなく、「部門」「機器の設置場所」「業務内容」などのIT資産情報をベースにしたグルーピングがおこなえます。加えて、配信・適用のタイミングも細かく指定した配信設定を作成できるため、業務を妨げるリスクをより軽減できます。
Active Directoryの構築やOU情報の管理をすることなく、更新プログラムの運用を効率化できます。

ss1-winupdate3.png

POINT2:配信状況や設定の確認が手軽に
SS1では、作成した配信設定ごと、機器ごとに更新プログラムの適用状況を一覧で確認できます。配信の進捗率や、適用が完了していない機器を一目で確認でき、さらにOSバージョンやビルド情報まで把握できます。

ss1-WSUS-kakunin.png

また、SS1の「日報機能」では更新プログラムの適用状況を日ごとに見ることができます。SS1の管理画面から手軽に状況を確認できるので、適用できていない端末への対応を迅速におこなえます。

POINT3:配信に失敗した機器Active Directoryドメイン不参加への対応も可能で安心
WSUSで機能更新プログラムを配信できない機器(WSUSで配信に失敗した機器や、Active Directoryのドメインに不参加の機器)にも、SS1を用いた対応が可能です。
複雑なIT環境でもセキュリティーホールを放置せず、安全な環境を保つことができます。

POINT4:複数のWSUSサーバーを一元管理し、メンテナンスも効率的に
拠点数が多い場合や、トラフィックの遅延がよく発生する拠点がある場合は、各拠点にWSUSサーバーを設置し、分散管理する運用が主流です。しかし、台数が増えると、WSUSサーバー自身を管理する手間も増えてしまうことになります。
それらの各サーバーとSS1を連携させることで、配信指示や更新プログラムの適用状況を一元管理できます。PCが拠点間を移動した場合にも、自動的に参照先のWSUSサーバーを変更するので、PCの移動に併せて設定変更する手間がかかりません。

また、WSUSは同期した更新プログラムの情報を蓄積し続けます。そのため定期的にメンテナンスしなければ、パフォーマンス不足により様々な問題が発生しやすくなるため、WSUSサーバーはクリーンアップなどのメンテナンスが必要となります。
SS1では、WSUSのクリーンアップウィザードを自動で定期実行する設定が可能であるため、トラブルやエラーの発生を防ぎ、スムーズなWSUS運用を実現できます。

WSUSいらず!SS1単体利用のポイント

SS1を用いれば、WSUSがない環境でも機能更新プログラムなどの配信を管理することができます。更新プログラムの管理をはじめるにあたりWSUSの導入がネックになっている方、複雑なIT環境での管理に悩まれている方も安心です。

ss1-winupdate2.png

POINT1:WSUS構築のコスト、手間をかけずに更新プログラム管理をはじめられる
SS1単体で更新プログラムの管理がおこなえるため、WSUS導入時の作業負担とコストがかかりません。
さらに、SS1は更新プログラム管理以外にも、各種IT機器の台帳管理をはじめ、ソフトウェア管理、ネットワーク管理など、IT環境の統合管理に活用できる機能を多く搭載しています。社内の状況を可視化し、情シス部門の業務を効率化できるメリットもあります。

POINT2:更新プログラムの受信設定を一括で変更できる
Active Directoryに参加していない端末も含めて、SS1でクライアントPCのWindows Updateの受信設定を一括で変更できます。機能更新プログラムのサービスチャネルの変更や、適用日の延期などがおこなえるので、ユーザーが勝手にアップデートしてしまうことを防止できます。
この機能はWSUSと連携する場合にも活用できるため、WSUS管理対象かそうでないかで、細やかに設定を分けることが可能です。

POINT3:容量の大きい機能更新プログラムを適用・状況把握できる
SS1が、WSUSに代わって機能更新プログラムの適用に活躍します。配信機器やタイミングについても細かく指定でき、更新プログラムごとや機器ごとの進捗状況も簡単に確認可能です。機器が個別でインターネット上に機能更新プログラムを取りにいくことがないので、ネットワークへの負担や業務への影響を抑えられます。

ss1-winupdate4.png

複数拠点を管理する際や回線の弱い環境へ配信をおこなう際などは、ファイルサーバーにデータを設置することでLAN内へ展開したり、配信時の帯域制限をかけたりすることで、より負担を軽減できるので安心です。

POINT4:LTSC利用時など、セキュリティ更新プログラム配信が可能
SS1のMSアップデート機能で、配信する機器やスケジュールなどを細かく設定して、セキュリティ更新プログラムを適用し進捗状況を把握することも可能です。
医療用・工場用など「長期サービスチャネル(LTSC:エルティ―エスシー)」で運用する特定用途PCの場合、通常のクライアントPCのような定期的な機能更新プログラムの適用は不要になります。しかし、セキュリティ更新プログラムについては脆弱性対策として継続的に提供されるため、適用管理の必要性があります。このようなシーンでMSアップデート機能は大いに活用できます。

まとめ

Windows10の更新管理を効率的におこなうために、WSUSの利用を検討されている方も多いかと思います。しかし、実際にWSUSだけで管理を進めるには課題も出てきます。それを補完できるのが、「SS1」をはじめとしたIT資産管理ソフトです。企業の状況・環境に合わせて、WSUSが必要かどうかということから検討し、自社の方針に寄り添ったWindows 10の更新管理ができる環境を整備しましょう。

●Windows更新管理関連機能の詳細はこちら
●SS1、Windows更新管理に関するお問い合わせはこちら

前へ

【ログ徹底解説シリーズ:Webログ編】セキュリティインシデントに備えて、Web閲覧履歴を取得しよう

次へ

【江南病院様】IT資産管理ソフト「SS1」導入事例インタビュー