03-5946-8400
HOME
目次
複数の移行先候補から自社に最適な選択肢を見つけよう
Windows の配信サービスである WSUS ( Windows Server Update Services )は、2024年9月に将来的な廃止(非推奨)が公表されました。WSUS を継続運用すると、セキュリティや管理面で大きなリスクが発生するため、新サービスへの移行が急務です。
本記事では、 WSUS 廃止の背景、 継続利用によるリスク、 主な移行先サービス、 そして移行に向けた具体的なステップを解説します。
1. WSUS廃止(非推奨)の背景
WSUS 廃止の背景には、クラウドへのシフトやリモートワークの普及といった環境の変化があります。ここでは、 WSUS が非推奨されるに至った具体的な理由を解説します。
クラウドへのシフト
企業の IT インフラがオンプレミスからクラウドへシフトするなかで、 WSUS のようなオンプレミスを前提としたサービスは、現在のクラウド基盤に適応しづらいのが現状です。クラウド環境において、 WSUS では個々の端末を管理しきれないため、サーバーやネットワークの制約を受けない更新管理が求められています。
リモートワークの普及
コロナ禍以降のリモートワークの普及により、従業員がオフィス以外の場所で作業することが一般的になりました。オンプレミスの WSUS サーバーを利用する方法では、会社のネットワークに接続していない従業員にパッチの更新を配布することが困難となり、セキュリティアップデートの適用遅れにつながるおそれがあります。
運用管理の煩雑化
WSUS の運用には、サーバーの保守、監視、アップデートなど専門的な知識が必要です。また、ハードウェアやネットワーク、ディスク容量などの管理も伴うため、適切な管理がなされない場合、パフォーマンスやスケーラビリティの問題が発生し、運用管理が煩雑化する傾向があります。
2. WSUS廃止(非推奨)によるリスク
WSUS は非推奨となり、今後の新機能開発が行われないため、運用を継続すると更新遅延や適用漏れなどのリスクが高まります。ここではリスクについて解説します。
最新のセキュリティパッチ適用漏れ
WSUS は、インフラ内の端末に対してセキュリティパッチや更新プログラムを配布する役割を担っており、非推奨のまま運用し続けると、最新の更新が適用されずセキュリティリスクが増大します。最新のセキュリティ更新が適用されないことで、サイバー攻撃やマルウェア感染のリスクが高まるためです。
ネットワーク帯域の圧迫
WSUS はオンプレミス環境で更新プログラムを一元的にダウンロード・配信できます。 WSUS から移行しない場合、セキュリティパッチのリリース時、あるいは OS のマイナーバージョンアップ時に各端末がインターネット経由で直接ダウンロードすることになります。結果として、企業のインターネット回線や VPN 回線の帯域を圧迫し、業務に支障をきたしかねません。
担当者の負荷増大
WSUS はパッチのダウンロードから配信、適用までを一元的に管理し、管理者の負担を軽減できます。一方、 WSUS が非推奨化された場合、各端末の更新管理を個別に行う必要があり、担当者の負荷が増大します。また、適用するパッチが統一されず、トラブルシューティングに工数がかかる点もリスクです。
3. WSUSからの移行先
WSUS の移行先として、 Microsoft Intune 、 Azure Update Manager 、 Windows Autopatch といったサービスを利用できます。ここでは、各サービスの特徴を紹介します。
Microsoft Intune
Microsoft のクラウドベースのエンドポイント管理サービスで、デバイス管理、アプリケーション管理、アクセス制御などを統合的に提供します。更新管理は Windows Update for Business ( Windows Update クライアント ポリシー)の機能により実施されます。配布タイミング、適用後の再起動、段階的な配布といった細かな設定をポリシー作成と割り当てによって実現できる点が特徴です。
Azure Update Manager
Azure 環境の仮想マシンやオンプレミス環境の更新を一元的に管理するサービスです。 Azure 上のインフラやほかのクラウドサービス、オンプレミスのサーバーに対するパッチ管理を簡単に実施できます。 Windows 、 Linux のパッチ管理、スケジューリング、ロールベースでのアクセス制御のほか、更新管理の自動化、適用状況の監視も可能です。
Windows Autopatch
Microsoft が提供する自動更新サービスで、 Windows、Microsoft 365 Apps for enterprise 、 Microsoft Edge 、 Microsoft Teams の定期的な更新を自動化します。 Windows Update for Business が自社の担当者による配信管理であるのに対し、 Windows Autopatch は配布の管理を Microsoft に委任できます。適用の確認とレポート機能もあり、先ほど紹介した Microsoft Intune との連携も可能です。
4. WSUSからの移行に向けたステップ
WSUS から新たなパッチ配信サービスに移行するステップは以下の 6 つです。
1. 現状調査
現在の WSUS 利用環境を把握します。具体的な調査内容は以下のとおりです。
- 現在のインフラ構成、設定、更新適用状況
- 更新ポリシー(適用するパッチ、グループポリシー)
- 影響を受けるシステム
管理対象の端末を正確に把握し、移行時に問題が発生しないよう依存関係を確認することが重要です。
2. 移行先サービスの選定
現状調査の結果を踏まえ、移行先サービスを選定します。先ほど紹介した Microsoft Intune 、 Azure Update Manager などの機能と特性を比較し、自社に最適なサービスを選択することが重要です。
3. 検証
移行先サービスの導入に向けて、小規模ながら実際の環境に近い構成で検証を実施します。適用に問題がないかを確認し、検証結果に基づいて適合性や差異を整理しましょう。必要であれば追加で検証を行います。
4. 更新ポリシー・配信設定などの設計
どの端末にどのパッチを、どのタイミングで配信するかといった配信ポリシーを設計します。配信方法、先行配信、更新の延期や特定のパッチの除外設定など、運用ルールを明確にしておくことが重要です。
5. クライアントへの設定切り替え
WSUS を使用しているクライアント端末が新サービスを使用できるように設定を切り替えます。具体的な作業として、グループポリシーの変更、プロファイル構成と設定、管理コンソールからのデバイスの登録などが挙げられます。影響を最小限にとどめるため、設定変更を段階的に進めることが重要です。
6. 動作確認
更新ポリシーの設定とクライアントの設定切り替えが完了したら、最終的な動作検証を行います。想定した端末に更新が適用されているか、指定した時間にパッチが適用されているかを管理コンソールで確認します。
5. まとめ
WSUS の非推奨化により、更新管理の負荷や適用漏れのリスクは今後さらに高まります。特に人員が限られた環境では、気づかないうちに更新が止まるおそれがあるため、早期に移行を進めることが重要です。加えて、移行後も更新を止めず、安定して運用し続けられる体制づくりが欠かせません。
Rworks では、移行支援に加えて、更新管理・監視・障害対応など日々の運用を継続的に支えるサービスを提供しています。運用リソースの不足や更新管理に不安を抱える企業様は、ぜひお気軽にご相談ください。
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。