KCIセキュリティコラム 第二回
Windows10アップデートの
制御ってWSUSがなくても
できるの?

Windows7 のサポートは2020年1月14日まで
Windows10 への移行は必要です

Windows10導入の課題
  • 突然やってくる「重要な更新プログラム」通知
  • 更新プログラムのサイズが大きい
  • 適用に時間がかかる

Windows10のアップデートに伴うネットワーク負荷の問題は、多くの管理者の頭を悩ませている課題の1つです。 突然の重要更新プログラム通知と、そのプログラムの容量の膨大さにより発生するネットワーク負荷は、業務に大きな支障をきたしかねません。比較的広帯域なネットワークを利用している日本国内拠点でさえ業務影響は大きく、帯域を確保しづらい海外拠点ではより一層顕著なものになっています。

業務をスムーズに遂行するためにも、突然の更新プログラム公開にも対応でき、かつスムーズに運用できるアップデート管理方法はないのでしょうか?

対策の1つとしてWSUSによるアップデート制御がありますが、技術面や管理面を考えると、利用ユーザー規模によっては過剰投資となってしまいます。それではWSUSの導入が難しい海外拠点や小規模拠点ではどのようにWindows10アップデートを管理し、ネットワーク負荷対策をすべきでしょうか?

今回は、WSUSを利用しない管理方法として、小規模拠点をお持ちのお客さまへおススメのKDDI Cloud Inventoryによる対策方法をご紹介します。

KDDI Cloud Inventoryでアップデートを制御し
ネットワーク負荷を軽減しよう!

KDDI Cloud Inventory*1 による
Windows10 アップデートのネットワーク負荷削減方法

1Windows10「更新適用延長日数」設定を制御し、アップデートタイミングを分散する方法

Windows10には「更新適用延長日数」設定機能*2 が備わっています。Windows更新プログラムが公開された後でも、この機能で設定した期間中は、自動的にアップデートが実行されないようにすることが可能です。

Windows10アップデートによるネットワーク負荷は、企業内のすべての端末のアップデートが同日で実行されることに起因しています。この機能を利用することで、端末ごとにアップデート時期を設定し、アップデートによるネットワーク負荷を段階的に分散することができます。

ただし端末1台1台に個別に「更新適用延長日数」設定を行うことは大きな手間になってしまいます。「KDDI Cloud Inventory*」を利用すれば、端末をいくつかのグループに分け、グループ毎に一括リモート設定が可能となるので管理者さまの手間なくネットワーク負荷軽減を実現します。

Windows10「更新適用延長日数」設定を制御し、アップデートタイミングを分散する方法

グループ分けして、全端末にOSに「更新延長設定」反映するのは大変! KDDI Cloud Inventoryを使うことで一括設定をすることができます。

  • *1 KDDI Cloud Inventoryとは : 端末のセキュリティ管理と資産管理と不正端末検知などができるSaaS型クラウドサービスです。詳細はこちら
  • *2 Windows Pro以上で設定可能。

2ローカルネットワーク内でWindowsアップデートする方法

Windows10アップデートによるネットワーク負荷の原因の一つに、現状の企業におけるイントラネットワーク構成がインターネットの出入り口を集約している点が挙げられます。セキュリティ管理の観点からインターネットの出入り口を限定し、ローカルブレイクアウトを制限しているため、トラフィックが集中してしまいます。

Windowsアップデートもこの特定のインターネットの出入り口に一度にトラフィックが集中してしまうため、大きな負荷となっています。つまりWSUSを使わずとも、社内ネットワークでWindowsアップデートを行うことができるのであれば、大幅にネットワークの負荷を減らすことができます。

「KDDI Cloud Inventory」には社内ファイルサーバから社内ネットワーク経由でセキュリティパッチを実行したり、管理者が設定したファイルをクライアント端末へ一斉配布できる機能があります。この配布機能を使うことで特定のインターネット回線に通信が集中することなく、スムーズにアップデートをすることが可能です。

  • * 本機能はWindows10に限らずどのバージョンでもご利用いただけます。

Windows10アップデートによるネットワーク負荷を削減

なお、更新ファイル配布後、管理コンソールからアップデートステータスが一目で確認ができるので、更新チェックも手間をかけずに運用できます。

●ファイル配布結果リスト画面

端末リストからも現在のOSバージョン番号、ビルド番号の確認が一括で出来ます。

●端末情報詳細画面

おわりに

このように、今回ご紹介したKDDI Cloud Inventoryによる上記2つの方法で、WSUSがない環境でもWindows10アップデートを制御し、ネットワーク負荷を軽減することができます。海外拠点や小規模拠点におけるWindows10のアップデートの制御に関するお悩みをお持ちの方は一度KDDI Cloud Inventoryを利用してみませんか?

ぜひ30日の無料トライアルを
お申込みはこちらから

この機会に無料トライアルでKDDI Cloud Inventoryでのセキュリティ管理を体験してみましょう。

 

Appendix Windows10 IoTとは?

コンビニのPOSやデジタルサイネージ、銀行のATM等に使われている特殊なWindowsOSです。

Windows10 IoTには、PC向けのWindows10をベースとした「Windows 10 IoT Enterprise」と、ラズパイなどのコンパクトなボードにもインストールできる「Windows 10 IoT Core」の2つのエディションがあります。残念ながら、一般には市販されていませんので、ショップでは購入できません。

通常のWindows10には半期に一度大きなアップデートがありますが、Windows10 IoTはIoT向けにセキュリティが強化されているため、セキュリティアップデートのみ更新されるようになっています。さらにOS自体が長期保証(10年)の対象となっていて、同じ用途で使われるAndroidの3年に比べて安心して利用することができます。

またWindows 10 IoT Enterpriseには、ファイルやレジストリーの変更を制限、キーボードの利用を制限する「ロックダウン機能」も搭載されています。IoTもPCと同じものを搭載できるように近づいてきていますね。あなたも気づいていない身近なところでWindowsが活躍しているかもしれません。