コラム KCIセキュリティコラム第二回

Windows10アップデートの制御ってWSUSがなくてもできるの？

Windows7 のサポートは2020年1月14日まで

Windows10 への移行は必要です

Windows10導入の課題

突然やってくる「重要な更新プログラム」通知
更新プログラムのサイズが大きい
適用に時間がかかる

Windows10のアップデートに伴うネットワーク負荷の問題は、多くの管理者の頭を悩ませている課題の1つです。突然の重要更新プログラム通知と、そのプログラムの容量の膨大さにより発生するネットワーク負荷は、業務に大きな支障をきたしかねません。比較的広帯域なネットワークを利用している日本国内拠点でさえ業務影響は大きく、帯域を確保しづらい海外拠点ではより一層顕著なものになっています。

業務をスムーズに遂行するためにも、突然の更新プログラム公開にも対応でき、かつスムーズに運用できるアップデート管理方法はないのでしょうか？

対策の１つとしてWSUSによるアップデート制御がありますが、技術面や管理面を考えると、利用ユーザー規模によっては過剰投資となってしまいます。それではWSUSの導入が難しい海外拠点や小規模拠点ではどのようにWindows10アップデートを管理し、ネットワーク負荷対策をすべきでしょうか？

今回は、WSUSを利用しない管理方法として、小規模拠点をお持ちのお客さまへおススメのKDDI Cloud Inventoryによる対策方法をご紹介します。

KDDI Cloud Inventoryでアップデートを制御しネットワーク負荷を軽減しよう！

KDDI Cloud Inventory(*1) による
Windows10 アップデートのネットワーク負荷削減方法

1. Windows10「更新適用延長日数」設定を制御し、アップデートタイミングを分散する方法

Windows10には「更新適用延長日数」設定機能(*2) が備わっています。Windows更新プログラムが公開された後でも、この機能で設定した期間中は、自動的にアップデートが実行されないようにすることが可能です。

Windows10アップデートによるネットワーク負荷は、企業内のすべての端末のアップデートが同日で実行されることに起因しています。この機能を利用することで、端末ごとにアップデート時期を設定し、アップデートによるネットワーク負荷を段階的に分散することができます。

ただし端末１台１台に個別に「更新適用延長日数」設定を行うことは大きな手間になってしまいます。「KDDI Cloud Inventory*」を利用すれば、端末をいくつかのグループに分け、グループ毎に一括リモート設定が可能となるので管理者さまの手間なくネットワーク負荷軽減を実現します。

グループ分けして、全端末にOSに「更新延長設定」反映するのは大変！ KDDI Cloud Inventoryを使うことで一括設定をすることができます。

*	KDDI Cloud Inventoryとは : 端末のセキュリティ管理と資産管理と不正端末検知などができるSaaS型クラウドサービスです。
*	Windows Pro以上で設定可能。

2. ローカルネットワーク内でWindowsアップデートする方法

Windows10アップデートによるネットワーク負荷の原因の一つに、現状の企業におけるイントラネットワーク構成がインターネットの出入り口を集約している点が挙げられます。セキュリティ管理の観点からインターネットの出入り口を限定し、ローカルブレイクアウトを制限しているため、トラフィックが集中してしまいます。

Windowsアップデートもこの特定のインターネットの出入り口に一度にトラフィックが集中してしまうため、大きな負荷となっています。つまりWSUSを使わずとも、社内ネットワークでWindowsアップデートを行うことができるのであれば、大幅にネットワークの負荷を減らすことができます。

「KDDI Cloud Inventory」には社内ファイルサーバから社内ネットワーク経由でセキュリティパッチを実行したり、管理者が設定したファイルをクライアント端末へ一斉配布できる機能があります。この配布機能を使うことで特定のインターネット回線に通信が集中することなく、スムーズにアップデートをすることが可能です。

*本機能はWindows10に限らずどのバージョンでもご利用いただけます。

なお、更新ファイル配布後、管理コンソールからアップデートステータスが一目で確認ができるので、更新チェックも手間をかけずに運用できます。

ファイル配布結果リスト画面

端末リストからも現在のOSバージョン番号、ビルド番号の確認が一括で出来ます。

端末情報詳細画面

おわりに

このように、今回ご紹介したKDDI Cloud Inventoryによる上記2つの方法で、WSUSがない環境でもWindows10アップデートを制御し、ネットワーク負荷を軽減することができます。海外拠点や小規模拠点におけるWindows10のアップデートの制御に関するお悩みをお持ちの方は一度KDDI Cloud Inventoryを利用してみませんか？

Appendix

Windows10 IoTとは？

コンビニのPOSやデジタルサイネージ、銀行のATM等に使われている特殊なWindowsOSです。

Windows10 IoTには、PC向けのWindows10をベースとした「Windows 10 IoT Enterprise」と、ラズパイなどのコンパクトなボードにもインストールできる「Windows 10 IoT Core」の2つのエディションがあります。残念ながら、一般には市販されていませんので、ショップでは購入できません。

通常のWindows10には半期に一度大きなアップデートがありますが、Windows10 IoTはIoT向けにセキュリティが強化されているため、セキュリティアップデートのみ更新されるようになっています。さらにOS自体が長期保証（10年）の対象となっていて、同じ用途で使われるAndroidの3年に比べて安心して利用することができます。

またWindows 10 IoT Enterpriseには、ファイルやレジストリーの変更を制限、キーボードの利用を制限する「ロックダウン機能」も搭載されています。IoTもPCと同じものを搭載できるように近づいてきていますね。あなたも気づいていない身近なところでWindowsが活躍しているかもしれません。