関連するソリューション
マネージドサービス(運用・保守)
株式会社IDデータセンターマネジメント
テクニカルスペシャリスト
上坂 明
ご存じの方は多いと思いますが、2024年9月20日に Microsoftは、Windows Server Update Services(WSUS)の廃止計画を発表しました。
次期リリース予定であるWindows Server 2025においてもWSUSは利用可能であり、即時利用停止を検討する必要はありませんが、非推奨機能に分類された以上、今後のパッチマネジメントツールとして利用をし続けることはリスクと考えたほうが良いでしょう。
参考:Windows Blogs 「Windows Server Update Services (WSUS) の廃止」
WSUS廃止の背景と影響
今回の廃止の背景には、元々古いシステムであるWSUS自体の刷新、およびクラウドツールへの移行を促す目的があります。WSUS自体、Windows Server 2012頃から殆ど新機能の追加はなく、開発はほとんど停止した状態でした。また、WSUSはMSI形式でインストールされたソフトウェアを管理するシステムであるため、クイック実行形式(C2R)でインストールされたOffice製品はパッチ管理が出来ません。
そのため、Windows製品全てのパッチ管理が出来るものではなく、管理が煩雑となっていました。
Microsoftは、更新管理の移行先としてクラウドツール「Windows AutopatchとMicrosoft Intune」、および「Azure Update Manager」への移行を推奨しています。
WSUSは、インターネットに接続できない閉じた環境(オンプレミス)で利用されることが多いサービスであり、インターネット接続を前提としたクラウドツールは、オンプレミス環境での利用に適さないサービスと言えます。
クライアントPC向けの移行先ツール
WSUSでは、クライアントPCとサーバをまとめて管理できましたが、今後はそれぞれ利用するツールが分かれます。クライアントPCの移行先として推奨されているWindows Autopatchは、Microsoft社によるパッチマネジメントサービスを受けることが出来るサービスで、Microsoft Intuneと連携し、Intuneに登録したデバイスに対し、パッチ適用の自動化を構成出来ます。
対象デバイスは、グループを分けて登録し、グループごとに異なる展開スケジュールを設定することで、従来のテスト端末、ステージング端末への適用・検証を経て本番端末といった段階的な適用運用も可能です。
具体的な構成イメージは以下の通りです。
【参考①:Windows Autopatch構成概要】
出典:Microsoftドキュメント Windows Autopatch グループ アーキテクチャの概要
WSUSと比較すると、パッチ適用管理の煩雑さから解放される反面、「更新プログラムは全て適用するもの」ということが前提のサービスであるため、適用対象の取捨選択は出来ず、適用タイミングを遅らせることしか出来ません。
また、インターネットへの接続が必須となるため、社内 ・社外間のアクセス制御はもちろんのこと、ネットワーク帯域負荷も考慮しなければなりません。
さらに、従来のActive Directoryで管理しているオンプレミスドメイン(.localドメイン)は、ローカルネットワーク内でしか利用できないプライベートドメインとなるため、Autopatchではサポートされません。
Microsoft Entra Connectを利用し、Microsoft Entra IDとActive Directoryを同期するなどの追加対応が必要となります。
【参考②:Microsoft Entra Connect 構成概要】
出典:Microsoftドキュメント Microsoft Entra Connect とは
尚、Intune利用にあたっては、ライセンスが必要となります。
Microsoft365製品を利用している場合、Intuneライセンスが内包されていますが、無い場合は個別にライセンスを購入するしかありません。
グループウェアとしてMicrosoft365を利用していないユーザーが利用するにはハードルが高いと感じるかもしれません。
参考:Microsoft Intune プランと価格
サーバ向けの移行先ツール
サーバ更新管理用として案内されているAzure Update Managerツールは、Azure上の仮想マシンを対象とした更新管理サービスです。Azure Arcと呼ばれるサービスを併用することで、Azure上にあるサーバだけではなく、オンプレやAWS等の他クラウドサービス上のマシンも一元管理が可能となります。
【参考③:Azure Arc構成概要】
出典: Microsoftドキュメント Azure Arc の概要
こうしてみると、一元管理が出来る良いツールだと思えますが、Azure Arcに登録したサーバにパッチを適用する場合、Azure Policyの利用料(サーバ1台あたり月額6ドル)が必要となります。
Azure上に構築されたサーバは、無料で利用出来ますので、遠回しに「Azureにサーバを移行してね」と言っているような印象を受けます。
尚、AWS上のEC2インスタンスを利用しているのであれば、わざわざAzure Arc構成にすることなく、AWS System Managerに内包されている「AWS Patch Manager」を利用してパッチ適用が可能です。無償で利用出来ますので、一元管理にこだわらなければこちらを利用したほうが良いでしょう。
参考:AWS Systems Manager Patch Manager
その他の選択
上記クラウドツールへの移行が難しい場合、サードパーティ製のクライアント管理ツールの利用を検討したほうが良いでしょう。これら製品はMicrosoft製品以外(Adobe等)のパッチにも対応しており、同時にセキュリティ対策(EPP・EDP)機能を有する物が多いため、導入費用はかかりますが豊富な機能提供を受けることが出来ます。
ただし、これらツールを利用してパッチ管理をする場合、パッチ適用コントロールが完全ではない事を理解しておいてください。
通常、クライアントPCはMicrosoft Updateサーバに更新プログラムの有無を確認し、更新がある場合はパッチをダウンロードし適用します。この機能が有効であると、意図しないパッチ適用が発生します。
製品にもよりますが、クライアント管理ツールには意図しないWindowsアップデートを抑止する設定があります。
実体はアプリケーションによる制御ではなく、Windowsアップデートに関するレジストリ値(Windows UpdateのNoAutoUpdate 等)の制御やWindows Updateサービスの無効化です。
上記更新に関連する設定を無効にしても、タスクスケジューラ内にはWindows Updateに関するサービスをリカバリーするタスクが存在し、これが定期的に動作することで停止していたサービスが稼働し、抑止設定が無効となる可能性があります。
以下は、Windows Updateサービス起動に関するタスクスケジューラの一例です。これ以外にも制御に関わるタスクは多数存在します。
これらスケジュールを無効化・削除してもそれをWindowsOS自身が復旧する機能があるため、完全には停止出来ません。回避策としては定期的にサービス・設定値を無効に変更する処理を実装するしかありません。
【参考④:Windows Updateサービス開始に関するタスク スケジューラ】
クライアント管理ツールの利用にあたっては、アップデート抑止機能を鵜吞みにするのではなく、パッチ管理が適切に行えるか十分なテスト検証期間を設けたほうが良いでしょう。
今後の展望について
今回のWSUS廃止発表は、クラウドツールへの移行だけではなく、あらゆるサービスをMicrosoftの提供するサービスに移行するよう促す、シェア拡大の手段という印象を受けました。もっと踏み込むと、製品の安定利用に必要となるパッチ適用が、収益化の手段の一つとされ、人質に取られたように映ります。
特にMicrosoft以外のプラットフォームを利用するユーザーはライセンス料の負担が大きく、WSUSの移行だけではなく、コスト削減の観点からサーバ環境や利用するグループウェアの移行など、検討スコープが大きくなることは避けられません。
また、オンプレ環境やインターネット接続が許容できない利用者に対するケアは殆ど無く、暫くはWSUS利用を続けるしかない状況が続くと思われます。
脆弱性対策のためにも迅速なパッチ適用が重要と言われている昨今、何も考えず適用する運用に切り替えられるのであれば、ここまで大きな話題にはならないと思います。
社内システムの動作不良が起きるかもしれないリスクに怯え、あらゆる企業で運用していたWSUSは簡単に無くせるものではないでしょう。
コスト増は仕方ないとしても、せめて機能面は同じオンプレ・クラウド関係なく、同じ条件でコントロールできる代替ツールがリリースされることを願っております。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。