Windowsは毎月第2水曜日にアップデートが実施されます(カレンダーによっては第3水曜日の場合もあり)。このアップデートは「Quality Update」と呼ばれ、不具合の修正や脆弱性への対策などの品質向上・セキュリティ対応となります。緊急性の高い不具合や脆弱性の場合は第2水曜日を待たずにアップデートをリリースをすることもあります。
また、Windows10から始まった「Feature Update」は、機能追加がメインの大型のアップデートです。Windows10は半年に1度行われましたが、Windows11リリース後の2022年からは年1回となりました。
これらのアップデートは、正規に購入したPCやライセンスでありサポート期間内であれば追加費用無しで実施が可能です。実施はインターネット経由で行われます。
個人使用のPCであれば、特別な設定なく気にせず、常に最新のWindows Updateを実施すればよいのですが、企業や組織だと、少し考慮をしなければならない点があります。その考慮をする中でWSUSの導入を検討したほうが良いケースがあります。
本稿では、WindowsUpdateの懸念すべき点と、Windows Updateを管理できるWSUSの基本事項について解説をします。
↓PCトラブルなど社内IT環境にお困りなら↓
Windows Updateの注意事項(企業・組織の場合)
基本的には、WindowsUpdateは最新を適用するべきです。セキュリティ攻撃ではWindowsの脆弱性を利用するものもあり、アップデートがあるということは、その脆弱性に関する技術情報も公開されている場合があります。これらの脅威に対抗するためにも、OSは常に最新化することが、もっともシンプルな対策となります。
しかし、企業や組織の場合は、一律にそうはいかない注意事項があります。
インターネット回線が混雑する
WindowsUpdateで必要となるアップデートファイルは、場合によっては数百MBとなる場合があります。また、毎月のアップデートは数個~数十個のファイルで構成されています。このアップデートファイルを、ほぼ同時にインターネットからダウンロードします。
現在多くのインターネットアクセスが光ファイバーなどの高速回線の為、一昔前ほどではないにしろ、それでも数十人・数百人が一斉にダウンロードを行うとなれば事務所内のインターネット回線が混雑したりネットワーク機器の負荷が高まる可能性があります。
また、大型アップデートではダウンロードするファイルサイズは数GBとなります。大型アップデートはMicrosoftの配信サーバ側によって、一斉実施をしないよう調整がなされているものの、配信開始のタイミングでは多くの利用者がアップデートをしようとします。
過去には、WindowsUpdateが原因で通信量が極端に増加し、特定のプロバイダーからのアクセスが重たくなるということも起こっています。
アップデートの不具合
WindowsUpdateは不具合や脆弱性を解消するものですが、残念ながらWindows Updateそのものに不具合が起こることがあります。年に数回は比較的影響の大きな不具合が発生しており、年12回の月例アップデート+1回の大型アップデートという中においては、確率的にはかなり高いといえます。
<過去に発生した、影響の大きなWindows Update不具合の例>
・2022年5月:WindowsServerのドメインコントローラーにWindowsUpateを適用するとAD認証が失敗する不具合
・2021年10月:ネットワークプリンター・共有プリンターから印刷できない不具合
・2021年7月:ESET系セキュリティプログラムがインストールされているとBSoDとなる不具合
・2021年3月:リコー製プリンタで印刷ができなくなる不具合
・2020年9月:日本語や中国語を使用する環境で正しい入力を受け付けない等の不具合
・2020年5月:LTEで通信をするPCがインターネットに接続できなくなる不具合
上記は比較的多くのユーザが直面し、リリース直後に多くの報告が行われました。結果、回避策もブログやSNSを通じて広く伝わります。多くの場合これらの影響の大きな不具合は翌月の定例アップデートより前に臨時のアップデートしてリリースされることもありますが、翌月以降まで待たなければ直らないケースもあります。
こういった広く影響を出す不具合であれば回避策や対処も早いのですが、ごく一部の環境でしか発生しないような不具合も発生することがあり得ます。例えば、業務で使われる特殊ソフトなどがWindowsUpdateの影響を受けることで正常に動作しなくなる場合などです。この場合はMicrosoft側の対応ではなく、ソフトウェアの開発会社側の対処を期待するか、問題を起こすWindowsUpdateを恒久的に適用しないなどの対策が必要となります。
インストールや再起動に非常に時間がかかる場合がある
Windows Updateで厄介なのは、インストールや再起動に非常に時間がかかるものがあることです。「今すぐ再起動」「インストールして再起動」を選んでしまったために、そのまま数時間近くPCを使った作業ができなくなった、という経験がある方も多いのではないでしょうか。
インストールや再起動にかかる時間は、PCの性能や状態、インストールされるアップデートの種類によってまちまちで「やってみないとわからない」ものも多いのが実態です。
Windows Update中の画面にも表示される通り、Windows Updateによる再起動中の処理では電源を絶対に切ってはいけません。もし処理中に電源が落ちた場合、最悪OSの再インストールをしなければならない場合もあります。
↓PCトラブルなど社内IT環境にお困りなら↓
WindowsUpdateを制御できるWSUSとは
実はWindowsUpdateは、WSUS(ダブルサス:Windows Server Update Services)を導入することで管理することが可能です。各パソコンがWindowsUpdateの有無を確認するために、インターネットのMicrosoftサーバまで行く必要はなく、WSUSサーバがアップデートファイルをチェック、ダウンロードして、WSUSサーバが社内のPCへアップロードファイルを配布することが出来ます。またWindowsUpdateの実行タイミングを制御することが可能になります。
WSUSによるメリットは以下の通りです。
・インターネット回線の帯域を節約する
・適用する端末を指定し、不具合の回避する
・適用タイミングを指定する
以下で各項目について詳しく説明します。
インターネット回線の帯域を節約する
インターネットからのダウンロードは、WSUSサーバだけで実施し、組織内の個々のPCがそれぞれダウンロードをする必要はありません。WindowsUpdateの日になるとインターネットが遅くなるといった問題がある場合はWSUSで帯域を節約することで回避できる可能性があります。
適用する端末を指定し、不具合の回避する
WSUSを使うと、特定のWindowsUpdateを適用する端末を個別に指定することが可能です。例えば、特殊なソフトを使わない部門であれば即時に最新アップデートを適用し、業務ソフトなどで影響が出る可能性がある場合は、検証後に安全が確認できてから適用する、といった運用が可能です。
検証用端末で事前検証し問題ないことを確認するか、組織をいくつかに分けて五月雨式にWindowsUpdateを実施し、影響が出ても最小限に食い止めるなど、組織に応じて様々な適用の仕方が可能です。
適用タイミングを指定する
繁忙期などでWindowsUpdateのインストールにより長時間PCの利用が制限されては困る場合などはWSUSで適用を保留して任意のタイミングで適用することも可能です。
ただし、下記に注意事項を記載しますが、1か月以上適用を保留した場合、翌月のアップデートがリリースされた際、「このアップデートを適用させるためには以前リリースされたアップデートが事前に適用されている必要がある」といったケースもあり、管理が非常に煩雑になる危険があります。
↓PCトラブルなど社内IT環境にお困りなら↓
WSUSを導入する時の注意点、メリット、デメリット
WSUSはWindows Serverであれば標準で利用可能な機能です。しかし、本格運用するうえではADサーバ等他の役割を持っているサーバに追加することはあまりお勧めしません。可能であればスタンドアロンのサーバで稼働してください。
もし既存サーバでWSUS機能を追加する場合は以下の点に注意しましょう。
出来ればActive Directory環境下で使う
WSUSの機能を利用するのにActive Directory(AD)の機能は必ずしも必要ありません、しかし「WindowsUpdateの適用ルール」を各パソコンに反映するためにはAD環境があった方がよいでしょう。ADに関しては以下の記事を参考ください。
WSUSサーバにはアクセスが集中する
WSUSの役割を追加すると、当然ですが組織内のPCはWindowsUpdateのタイミングで一斉に該当サーバにアクセスします。アクセスが集中し一時的に処理能力が低下しても問題の無い役割のサーバとしましょう。そのため、リアルタイムで重要な役割を行うADサーバや、帯域を使用するファイルサーバに共存させることはあまり適切ではありません。アプリケーションサーバやデータベースサーバも処理に影響が出る可能性があります。
WSUSサーバには数百GBの空き領域が必要
アップデートファイルの配信状況や利用するOSにもよりますが、WSUSを1年間運用すると、少なくとも500GBほどの保存領域が必要となります。定期的にアップデートファイルを破棄するなどの細かい作業を想定していないとしたら、2TB程度の保存領域があるサーバが必要です。
ただし、アップデートファイルは万が一ディスクから消えたとしても、インターネットから何度でもダウンロードすることが可能です。費用が気になるようであれば、バックアップをしない、処理速度は遅くなりますが安価なNASや外付けHDDにアップデートファイルを保存するといった運用も可能です。
サーバと高度な設定技術が必要なため手間と費用がかかる
上記のようにWSUSサーバには負荷がかかるため高性能なサーバが必要になります。また高度な設定技術が必要になりますので
↓PCトラブルなど社内IT環境にお困りなら↓
WSUSを運用するうえでの注意点、メリット、デメリット
WSUSは適切に運用できれば非常に有用な仕組みではありますが、管理が煩雑になりがちで、以下を注意して計画的な運用が求められます。
OSバージョンごとに管理されるためシンプルな運用を!
毎月同じタイミングで実施されるWindowsUpdateですが、OSのバージョンによって適用されるアップデートファイルが異なります。
Windows10の場合、Windows10という1種類ではなく、バージョンによって異なります。2022年5月現在、Windows10は21H1、21H2の2バージョンがサポート期間であり、この2バージョンのアップデートファイルがそれぞれリリースされます。そのため、社内に様々なWindows10、Windows11のバージョンが存在するとバージョンごとに運用ルールを定める必要がありますので可能な限りシンプルに運用するように注意した方がよいでしょう。
Windows11は2022年5月現在ではまだバージョンが1種類ですが、Microsoftによると、Windows10の大型アップデートに相当する「サービスタイムライン」のサポートが2年間(一部バージョンは3年間)維持するため、Windows10と同様、2023年以降は2種類(バージョンによっては2024年から3種類)アップデートファイルが配布される可能性が高いです。
WindowsUpdateは毎月十数ファイル近くがリリースされるので、Windows10とWindows11両方で運用している場合、1回の月例で40ファイル、1年間では500ファイル近くなるということになってしまいます。
前提となるアップデートファイルが存在する場合がある
毎月適切に最新化されている場合は問題ないですが、不具合等で適用を保留している場合に注意すべき点として、前提となるアップデートファイルが存在する場合があることです。
例えば、2022年3月に「アップデートファイルA」がリリースされます。
2022年5月に「アップデートファイルB」は、「アップデートファイルA」がインストールされていないと正しく適用されない、という仕掛けが発生する場合があります。
例のように単一ファイルの前提ならまだわかりやすいですが、2つ、3つとさかのぼる必要が出てくると管理が大変煩雑になります。
WSUSでは適用保留したアップデートファイルを抽出することはできますが、なぜ保留したかをコメント的に残すことはできませんし、上記のような前提条件があるファイルを完全に追跡することはできません。
※前提ファイルではなく、例えば「2022年3月にリリースされた機能を含む2022年5月のアップデートファイル」のように、過去の更新を包括するアップデートである場合はWSUS上は、最新さえ適用すればよいことがアラートされる場合もあります。ただし、これも完全にWSUSで網羅してくれるわけではありません。
やむを得ず適用を見送るケースもあると思われますが、WSUS上で管理することが難しいため、どのアップデートを保留・もしくは未適用としたかを確認するような台帳等が必要かもしれません。
↓PCトラブルなど社内IT環境にお困りなら↓
どうしても上手くいかない時は
インターネットで検索して色々な方法を試してみたけどうまくいかない…
とげおネットまで
お気軽にご相談ください!!
電話・メールフォームから
お問い合わせください!
▼ ▼ ▼
とげおネットでは
出張サポートにて
お力になれます!
インターネットで検索して色々な方法を試してみたけど上手くいかない場合はとげおネットまでお気軽にご相談ください。出張サポートにてお力になることが可能です。
WindowsUpdateを制御する方法まとめ
WindowsUpdateを組織で管理する方法の一つとして、WSUSをご紹介しました。便利で有用ではありますが、複雑な運用では留意すべき点もあることをご理解いただければと思います。
現在社内WindowsパソコンでWindowsUpdateで問題に悩んでいる担当者はWSUSの導入も検討いただくとよろしいかもしれません。ご興味ある方はお気軽にお問合せ下さい。