IT資産管理

社内で行ったWindows 大型アップデートの運用を紹介します!【WSUS・IT資産管理ツール活用】

Written by 辻 翼

社内で行ったWindows 大型アップデートの運用を紹介します!【WSUS・IT資産管理ツール活用】

ホワイトペーパー

Windows管理の課題を解決!
LANSCOPEオンプレミス版で行う効率的なWindowsアップデート管理

Windowsアップデートに必要な管理のポイントについて解説するとともに、増加傾向にあるレガシー OSで行うべきセキュリティ対策について紹介します。

資料をダウンロードする

目 次

はじめまして。開発本部2年目の辻です。LANSCOPEオンプレミス版の開発を行っております。全国の情シス様の資産管理のお役に立つよう、日々精進しております。
今回私が紹介したいのは、おすすめのWindows 大型アップデートに関する運用方法についてです。
Microsoftからの新しいコンセプトとして、Windows 10以降のOSにおいて継続的なアップグレードを目指すWaaS(Windows as a Service)が導入されました。
Windows 7のサポート期限も終了し、社内端末をWindows 10へ移行したものの、「今後、Windows の大型アップデートをどうやって展開しよう」「テレワークが始まって管理がしづらくなった」など様々な課題をお持ちの情シスさんもいらっしゃると思います。
そこで、今回は社内で行ったWindows大型アップデート、すなわち、機能更新プログラム(FU)の適用方法について書いてみたいと思います!今後のWindows 10・Windows11展開において、お役に立てれば幸いでございます。

Windowsのアップデート方式とは

Windows 10からアップデート方式が大きく変わりましたので、簡単に説明します。Windows10・Windows11では次の2種類の更新プログラムを提供するようになっています。またWindows11から機能更新プログラム(FU)が年1回に変更となりました。

機能更新プログラム:
Feature Update(FU)		 品質更新プログラム:
Quality Update(QU)		 更新プログラム
内容 Windows10の機能強化を行う更新プログラム 脆弱性の対応、品質向上などを含む更新プログラム 随時発見される新たな脆弱性に対応するプログラム
配信頻度 Windows10:年2回
Windows11:年1回		 毎月第2もしくは第3火曜日
(米国時間)		 月1回、その他緊急時に応じて提供
容量 3GB?5GB程度 1GB?2GB程度

Windows大型アップデートの流れ

それでは、いよいよ本題に入ります。
今回、私はWindowsの大型アップデートについて調査をしておりました。WSUSやLANSCOPEオンプレミス版を用いて、Windowsの大型アップデートをしたかったので、社内の情シス部門と協力しながらWindowsの大型アップデートの計画からアップデート適用まで行いました。
情シス部門との計画から実施までの流れは以下の通りです。

[計画から実施までの流れ]
1.大型アップデート計画を立てる
2.Windows大型アップデート対象者に事前連絡をする
3.WSUSを利用したWindows大型アップデートを実施する
4.LANSCOPEオンプレミス版を利用したWindows大型アップデートを実施する

1.大型アップデート計画を立てる

まず、初めに私たちはWindows大型アップデートを社内で初めて行うということもあり、情シス部門と共に大型アップデートを実施するための計画を立て、必要事項をまとめてみました。
尚、今回のアップデートではWSUSとLANSCOPEオンプレミス版(※1)をそれぞれ利用し、Windows大型アップデートを行うこととしました。今後のWindows大型アップデートをどう運用するかを考えるためにWSUSとLANSCOPEオンプレミス版で実施しました。何でもまずは計画が必要です。
そして、情シス部門と協議を重ねる中で、アップデートに伴うリスクを洗いだしました。

  • [WSUSを利用してWindows大型アップデートを実施する場合]
  • □ 端末の再起動/シャットダウン後は数時間、他作業ができない。
  • [LANSCOPEオンプレミス版を利用してWindows大型アップデートを実施する場合]
  • □ Windows大型アップデートの実施後は数時間他作業ができない。

Windows大型アップデートを実施する時は、他作業ができない時間が発生するため、アップデート対象者へ連絡をする方がいいと考えました。勝手に再起動が行われたりすることで、業務が止まってしまっては元も子もありません。セキュリティを守ることは大切ですが、生産性を下げるようなことはあってはなりません。

※1)「LANSCOPEオンプレミス版の配布機能」と「Windows 10バージョンアップ補助ツール」を利用し、Windows大型アップデートを行う。「Windows 10バージョンアップ補助ツール」とは、Windows大型アップデートを支援するMOTEXの保守ツールである。

2.Windows大型アップデート対象者に事前連絡をする

Windows大型アップデート中は他作業ができない時間が発生します。そのため、業務終了後にWindows大型アップデートを実施して退社していただく必要があります。
ただ、弊社のISMSの規定上、端末は鍵のかかるところにしまって退社するというルールになっています。これに対して、Windows大型アップデートを行う日は、端末を起動したままで退社する必要があるため、端末を机に固定するべくセキュリティワイヤーを導入することにしました。

  • ・ Windows大型アップデートの実施日時
  • ・ 業務終了後にWindows大型アップデートを実施していただくこと
  • ・ 業務時間後は端末を鍵のかかるところにしまって、起動したまま退社していただくこと

3.WSUSを利用したWindows大型アップデートを実施する

事前準備も終わり、いよいよ、社内のWindows端末の大型アップデートを実施してみました。LANSCOPEオンプレミス版とWSUSの大型アップデート成功率の比較検証を行うため、WSUSを利用したWindows大型アップデートを実施しました。
WSUSを利用した場合、再起動時に自動でWindows大型アップデートが実施されるので、対象者側で特別操作の必要はありません。さすがMicrosoft製機能です。
しかし、対象端末の何台か機能更新プログラム(FU)のダウンロードが進まないなど、様々な問題が発生し、Windows大型アップデートができない現象が発生しました。なぜアップデートできないかの原因追及を行いましたが、原因を特定することはできませんでした。インターネット接続の切断やダウンロードのタイムアウトなどが考えられます。

4.LANSCOPEオンプレミス版を利用したWindows大型アップデートを実施する

次に、LANSCOPEオンプレミス版を利用してWindows端末の大型アップデートを実施してみました。
Windows大型アップデート実施中は他作業ができず、業務に支障が出るため、業務時間後に実施するのが望ましいと考えました。
そこで、業務時間中に、機能更新プログラム(FU)とWindows 10バージョンアップ補助ツールを対象者に配布し、業務時間後にWindowsバージョンアップ補助ツールの実行、すなわち、Windows大型アップデートの実施を行うこととしました。

時間 実施内容
9:00~ 機能更新プログラム(FU)とWindowsバージョンアップ補助ツールを対象者に配布する
18:00~ Windowsバージョンアップ補助ツールを実行する

その結果、機能更新プログラム(FU)の配布もWindowsバージョンアップ補助ツールの実行も無事成功し、全対象端末のWindows大型アップデートに成功しました。

以前、WSUSを利用したWindows大型アップデートに失敗した端末もLANSCOPEオンプレミス版を利用すると成功しました。

5.テレワーク環境下のWindowsアップデート対応

エムオーテックスでは第一回目の緊急事態宣言後以降、テレワークを積極的に行っています。かねてより持出し端末は全台VPN利用を義務づけていたので、平常時と同様WSUS×LANSCOPEオンプレミス版で運用を行っています。アップデートはVPN利用時ないしは出社時(緊急事態宣言時外では週1出勤ルール)で適用されるようになっていますので、テレワーク環境になる事で配信失敗が増えるような事はありませんでした。

あえて課題としてあげるなら一時的なVPNの不足です。テレワーク導入時の少しの期間だけでしたが、全員がテレワークになることで、時間帯によってはVPNが不足することがあります。VPNに繋げない場合、WSUS・資産管理ツールでの配信に影響します。VPNを追加するまでの短い間でしたので大きな影響はありませんでした。LANSCOPEオンプレミス版のダッシュボードを参照し、必要に応じてアップデート対応を行っています。

まとめ

Windows大型アップデートの計画から実施まで行ってみましたが、WSUSを利用したWindows大型アップデートに失敗した端末もLANSCOPEオンプレミス版を利用すると成功するなど、多くのノウハウを得ることができました。

最後に、今回のWindows大型アップデート実施で学んだことをもとに、おすすめのWindows大型アップデートの展開プロセスを紹介します。

おすすめのWindows大型アップデートの展開プロセス

Windowsを大型アップデートする方法として、WSUSを利用する方法とLANSCOPEオンプレミス版を利用する方法があります。
WSUSとLANSCOPEオンプレミス版は次の通り、それぞれ特徴・課題があります。

特長 課題
WSUSを利用したWindows大型アップデート ・大型アップデートだけでなく、各種の更新プログラム(品質更新プログラムやOfficeのパッチなど)も一括管理できる。 ・更新プログラムの配信失敗時の原因特定や配信時の状態把握が難しい。
LANSCOPEオンプレミス版を利用したWindows大型アップデート ・大型アップデートの配布・実行など、進捗状況を容易に確認できる。
・管理者側とユーザー側の両方で大型アップデートの実行タイミングを指定できる。		 事前の検討が必要(Windows大型アップデートの配布に使用できるネットワーク帯域から同時にアップデートを行う台数を試算)

WSUSとLANSCOPEオンプレミス版の両方を利用していただいている場合は、次の図のように、社内のWindowsの端末数によって使い分けるのがおすすめです。
また、Windowsの端末数が多い場合は、初めにWSUSを利用して大型アップデートを実施し、その後、失敗したWindowsの端末にのみLANSCOPEオンプレミス版を利用して大型アップデートを実施するのがおすすめです。

WSUSとLANSCOPEオンプレミス版の使い分け

もし、LANSCOPEオンプレミス版を利用して社内のWindows端末を大型アップデートしていただける場合、アップデート中は他作業ができなくなるため、大型アップデートのタイミングが大事になってきます。
そのため、次の通り、業務中に配布物を配布しておき、業務時間後にWindows大型アップデートを実施するのがおすすめです。

1.業務中にWindowsバージョンアップ補助ツールと機能更新プログラム(ISOファイル)を配布しておく。
2.ユーザーの任意のタイミング(業務時間後など)でWindowsバージョンアップ補助ツールを実行する。(※2)

※2)Windowsバージョンアップ補助ツールを実行すると、自動でWindows大型アップデートが実施されます。このように、ユーザー側で実行タイミングを指定できるため、業務の妨げになることなく、Windows大型アップデートを実施することができます。

以上、社内で行ったWindows大型アップデートについて書いてみました。

今回、情シス部門と一緒にWindows大型アップデートの計画から社内展開までやってみたところ、各社員への連絡やWindows大型アップデート遂行など、やるべき事がとても多くて大変でした。

そのため、少しでも多くの情シスさんの力になるために、今回の記事を書かせていただきました。これからWindows大型アップデートについてどうしようかとお悩みの方々に少しでもお役にたてることが出来たら幸いです。

ホワイトペーパー

Windows管理の課題を解決!
LANSCOPEオンプレミス版で行う効率的なWindowsアップデート管理

Windowsアップデートに必要な管理のポイントについて解説するとともに、増加傾向にあるレガシー OSで行うべきセキュリティ対策について紹介します。

資料をダウンロードする