運用・保守

Windows 10 アップデートが必要不可欠なのはわかる、でも管理が大変で…IT管理者の工数を大幅に削減する一手とは?

PCを安全・快適に使うために欠かせないWindowsアップデート。更新プログラムを適用していないPCが社内に存在すると、OSやシステム、アプリケーションの脆弱性が狙われ、サイバー攻撃によって乗っ取られてしまう可能性もある。結果、ランサムウェアの餌食になったり、取引先に迷惑をかけてしまったりするかもしれない。そのため、Windowsアップデートへの対応は必要不可欠といえる。

しかし、IT管理者が何百台~何千台ものPCに更新プログラムを配信し、その後のフォローアップまで対応するのは大変だ。管理ツールも存在するが選択肢が多く、どれを選べばよいのかわからないという人もいるだろう。そこで今回は、Windowsアップデートにまつわる諸問題と解決のためのツールについて解説する。

Windowsアップデートが必要不可欠な理由

Windowsアップデートとは、PCのOSであるWindowsを最新の状態に保つため、自動的に更新を行う機能だ。これを活用することで、新たに見つかったバグや脆弱性を修正したり、新しく追加された機能をダウンロードしたりすることができる。現在のOSの主流であるWindows 10には、年2回行われる「Feature Update」(機能更新プログラム)と、月に1回行われる「Quality Update」(品質更新プログラム)の2種類が用意されている。Feature Updateは、従来のサービスパックに相当するもので、機能拡張を行う更新プログラムのため、比較的大きなアップデートになることが多い。もうひとつのQuality Updateは、従来の更新プログラムに相当するもので、主な目的は品質向上とセキュリティの修正にある。

企業のIT管理者にとって、こうした更新プログラムの適用作業は手間で面倒なものだが、放置しておけば大きなトラブルに発展しかねない。中でも問題なのが、脆弱性を突いたサイバー攻撃だ。今ではインターネットの利用が当たり前となり、社内の端末の多くがネットワークとつながるようになった。しかしそれは、同時にこれらの端末が外部からの攻撃にさらされることを意味している。そのため、PCのOS、システム、アプリケーション上に脆弱性があると、攻撃を受けて簡単に乗っ取られてしまうのだ。

Windowsアップデートはセキュリティ対策のためだけにあるものではない。OSやシステムの不具合が解消されれば、PCの動作は安定する。さらに、便利な新機能が追加されることもある。ユーザーがより快適にPCを利用できるようになれば、業務もはかどるだろう。よって、できる限りWindowsアップデートは実施していくべきといえる。

Windows アップデートの諸問題を解決する管理ツール

Windowsアップデートを行う際、IT管理者の悩みの種となっているのが、社内にある数百台~数千台のPCをいかにしてアップデートするかだ。一般的な更新の流れでは、PC1台1台がマイクロソフトのサーバーにアクセスし、更新プログラムをダウンロード、インストールを行う。Feature Updateの場合、更新プログラムの容量が巨大なため、ダウンロードやアップデートに失敗することが多い。大容量の更新プログラムを何百人ものユーザーが一斉にダウンロードすると、ネットワーク回線が圧迫され、業務に悪影響を及ぼすおそれがある。

アップデートをユーザー任せにしていると、PCごとに適用状態がバラバラになってしまうのも問題だ。特にWindows 10は頻繁にアップデートされるため、IT管理者は各PCにどの更新プログラムが適用されているのか/されてないのか把握するのが難しい。更新プログラムを適用すると、業務アプリケーションの動作に不具合が発生したり、プリンタなどの周辺機器が動作しなくなったりすることがあるため、都度トラブルが起きないか検証する必要があるが、PCごとに適用状況が異なっていてはそれも困難だ。

こうしたWindowsアップデートにまつわる諸問題を解決してくれるのが管理ツールだ。主な管理ツールとしては、①マイクロソフトが提供する「Windows Server Update Service(WSUS)」、②IT資産管理ツール、③Windowsアップデート専用ツールの3種類がある。ここではそれぞれの特徴を紹介しよう。

①Windows Server Update Service(WSUS)

マイクロソフトが無償で提供している管理ツール。WSUSを導入したサーバーを社内に設置すると、更新のたびにWSUSサーバーが更新プログラムを受け取り、社内の各PCへ配布する。マイクロソフトのサーバーとの通信はWSUSサーバーだけが行うため、各PCが個々にアクセスする必要がなく、ネットワーク回線への負担が最低限で済む。IT管理者が配信をコントロールすることで、PCをグループ化し、それぞれの配信スケジュールを調整したり、業務アプリケーションに影響する可能性がある更新プログラムを配信しないよう設定したりすることもできる。PCごとに更新プログラムの適用状況を把握することも可能だ。

ただし、WSUSでは複数のPCについて複数の更新プログラムの適用状況を一目で確認するということができない。何かしらの原因で更新プログラムの適用に失敗した際の原因究明も難しい。また、アップデートのたびに更新プログラムが蓄積されていくため、動作が遅くなることもある。さらに、WSUSサーバーは定期メンテナンスも必要で、クリーンナップ作業が発生するなど管理工数も大きい。拠点数やPCの台数が増えるのに合わせて、複数台のサーバーを用意しなくてはならないし、それらの運用も必要になってくる。

②IT資産管理ツール

IT資産管理ツールに付属するパッチ管理機能を利用する方法。IT資産管理ツールだけに、OSのアップデート状況、アンチウイルスソフトの更新状況、アプリケーションの利用状況などを確認でき、ソフトウェアライセンスの棚卸やPCのログ管理などカバーできる範囲も広い。

1つのツールでPCの管理に必要なさまざまな機能を網羅しているが、それだけに導入コストも高額になりがちだ。また、更新プログラムの分割配信ができない、アップデートに失敗した際には最初からやり直しなど、機能に限りがある製品もある。

③Windowsアップデート専用ツール

文字通り、Windowsアップデートに特化した専用ツール。更新の際にはWSUS と同様、専用のサーバーに更新プログラムをダウンロードし、社内の各PC へ配布する。ネットワーク回線への負荷を軽減させる分散配布、更新プログラムの適用状況の把握などに対応。途中でダウンロードが中断された場合は、次回接続時に中断されたところから再開可能だ。WSUSはマイクロソフト製品のアップデートのみの対応だが、専用ツールはセキュリティソフトなど、サードパーティ製品のアップデートにも対応する。

Windowsアップデート専用ツール

事前情報の収集から配信後のフォローアップまでワンストップで提供する「aider Cast」

以上、3種類の管理ツールをご紹介したが、これらを導入し、更新プログラムを配信すればIT管理者の仕事が終わるわけではない。適切なPCに適切な更新プログラムが配信・適用されているか、適用されていない場合はなぜ適用されないのか、適用されない原因を解決し再適用できるのか、適用後にOSが正常に起動するか/業務アプリケーションは正しく動作しているか、などを検証する必要がある。さらにいえば、配信前に注意すべきことも多い。例えば更新プログラムを適用しても、バグやPC固有の問題などで不具合が出ることもある。こうした情報も事前にチェックしておかなければならない。

こうしたさまざまな問題をIT管理者だけで対応するのは大変だ。そこで、SCSK Minoriソリューションズ(以下、SCSKMinori)では、更新プログラム適用支援サービス「aider Cast(イディキャスト)」を提供している。aider Castは、Windowsアップデート専用ツール「Flex Work Place Unifier Cast」(以下、Unifier Cast)の配信機能を用いてアップデートを実施するもので、更新プログラムの事前情報の収集から、配信準備、配信作業、配信後のフォローアップまでをワンストップで提供する。

aider Castでは、Windowsアップデートを実施する際に発生する①更新プログラムの事前情報収集と確認、②配信前準備、③テスト環境への配信テスト、④全社環境へ配信、⑤配信後のフォローアップなどの作業は、すべてSCSKMinoriの運用担当者が対応する。導入企業のIT管理者はそれ以外の作業、配信グループ分け、アプリケーションの検証、動作確認、配信可否の判断にのみ対応すればよい。ツールの使い方や不具合などのQ&A対応なども、SCSK Minoriのヘルプデスクが対応する。

aider Castサービス提供後イメージ

Windows 10運用支援ソリューション「Unifier Cast」

aider Castが採用している管理ツール「Unifier Cast(ユニファイアーキャスト)」についても紹介しよう。Unifier Castでは、マスターサーバーを介して更新プログラムの配信を実行する。数GBにおよぶ大容量データでも、任意のサイズ(最小1MB)に分割して各PCへ配信することができるため、ネットワーク回線が圧迫されることはない。途中でダウンロードが中断された場合も、次回接続時に中断されたところからダウンロードを再開できる。

Unifier Castは、マスターサーバーから更新プログラムを受け取ったPCが、同じ拠点内の別のPCへ更新プログラムを伝搬する「Cast配信機能」を備えている。これにより、更新プログラムを効率よく短時間で全PCへ展開することが可能だ。さらに、①途中で受信元PCがいなくなったり、場所が変わったりしても継続して送受信できる、②データがすべて揃っていなくても他のPCへ伝搬できる、③複数のPCと並列で送受信できる、など、競合の専用ツールにはない特徴も持つ。

更新プログラムの適用状況は、Unifier Castのダッシュボードで視覚的に確認できる。どのPCに更新プログラムが適用されているのか、どのステータスにあるのか、適用に失敗したPCはどれかなど、IT管理者が必要とする情報はすべてダッシュボード上に表示される。中でも、多くのユーザーから好評を得ているのが、エラーの発生原因が一目でわかる点だ。Windows 10の標準のエラーログはエラーコードが表示されるだけで、その原因は自分で検索などして読み解くしかなかったが、Unifier Castでは「ディスクの空き容量が足りない」などエラーコードの原因を具体的に表示。さらに、発生原因と解決策も提供してくれる。これはIT管理者にとってかなりありがたい機能だろう。

ここにきて増えているテレワーク環境にも対応している。アプリケーション管理ツールの「AppSelf」と連携し、配布パッケージにデジタル署名を付与することで、VPN接続を行うことなくインターネット経由で更新プログラムを適用できる。新たに搭載された「軽量パッケージ生成機能」を使えば、約200KBのファイルをVPN経由で在宅勤務のPCなどに配布するだけで指定したバージョンの更新プログラムをインターネット経由で更新可能だ。

Windows 10運用支援ソリューション「Unifier Cast」

aider Castがあれば更新作業にかかる工数が1/4に

最後に、aider Castによって実際にどれだけの工数が削減できるかシミュレーションしてみよう。PC1500台にQuality Update(品質更新プログラム)を適用すると想定し、管理ツール(Unifier Cast)のみで行う場合と、管理ツール+aider Castの組み合わせで行う場合を比較した。一連の更新作業にかかる工数を試算した結果、管理ツールのみだと合計158時間かかったところ、管理ツール+aider Castでは合計42時間となった。つまり、1カ月あたり116時間、工数がおよそ1/4に削減できることになる。

Windowsアップデートは重要な作業ではあるものの、生産性の高い業務ではない。IT管理者はこのような複雑で煩わしい作業をすべてSCSKMinoriに任せ、本来取り組むべき業務に注力してみてはいかがだろうか。

Quality Update 適用時の想定工数

サービスの詳しい内容やご質問など、まずはお気軽にご相談ください。

上記の記事を、ホワイトペーパーとしてダウンロードいただけます。

WhitePaper資料DL

aider Castの詳細が分かる資料です。特長や機能一覧、活用事例やシステム構成例など、aider Castについてより深くご理解いただけます。特長を纏めたリーフレットもダウンロード可能です。

aider Cast資料DL