「Windows Update」もPOLESTAR Automationで!
ワイドテック プロダクト企画のYです。
Windows 10初版のリリースは2015年7月末でしたので、今年で6周年を迎えますが、先月、半年ごとの大型アップデートとなるバージョン「21H1」が配信されました。
21H1は前の20H2と比べて見た目の変化をあまり伴わない小幅なものでしたが、6月24日に概要が発表されるという次(たぶん年末頃配信)の大型アップデート21H2では、かなり大規模な変更が予定されていて、「Windows 11」になるという噂まであります。
さて、自宅には24/365で電源入れっぱなしのWindows 10マシンがあり、21H1は先月手動で適用していたのですが、今朝起きたら第2火曜日(米国時間)配信の月例Windows Updateが掛かっていて、タスクバーの右側に見慣れないお天気アイコンのようなものが出現していました。「ニュースと関心事項」という新機能で、まだ20H2が最新だった4月頃から、大型アップデートに関係なく順次ロールアウトされているとのことです。
PeopleだのCortanaだのは全部オフ、スタートメニューにデフォルトで登録されているライブタイルもほとんど削除し、必要なものしか置かない派なので、これもさっそく切ったのですが、どうせなら21H1の時に一斉リリースにしてほしかったところです。セキュリティホールとかのクリティカルなアップデートというわけでもないですし。
■有無を言わさずやってくるWindows Update
皆様もご存知かと思いますが、デスクトップ版Windows 10におけるWindows Updateでは、基本的に強制配信となっています。
当初は有無を言わさずアップデートさせられる仕様で、適用時間をアクティブ時間外(使用していない時間以外)に変更できる程度でしたが、クレームも多かったのか、いつしか「更新を7日間一時停止」というオプションが追加されました。
Windows 8.1までは、Windows Update自体を停止させることができていましたので、Windows 7を使っていた頃(おそらく多くの方がそうだったと思いますが、8や8.1は会社でも自宅でも使っていませんでした)は、週末等の暇な時にまとめてアップデートを掛けていたものです。
しかし、現在はWindows Updateそのものを停止することは、機能上はできません。24/365でWindows 10マシンをつけっぱなしにしておくと、毎月第2水曜日(日本時間)を過ぎて数日の間に必ずアップデートが来てしまうわけですが、アップデートが降ってくる日に限って、閲覧中の面白いWebページや作成途中のファイルを開きっぱなしで寝てしまって、Windows Updateのせいで吹っ飛ばしてしまったことも、1度や2度ではないです。
最近はブラウザの履歴保存やオフィス系アプリの自動データ保存の作りが良くなってきていますが、それでも絶対確実に再現されるとは限りませんので。
と、いうわけで、自動アップデートが大嫌いなのですが、デスクトップ用のWindows 10ではなく、Windows Serverであれば、最新版でもWindows Updateの停止は可能です。しかし、脆弱性の放置による影響、何かあった時の被害は一般にエンタープライズユースのServerの方が大きいでしょうから、むしろ積極的にWindows Updateを適用すべきなのは、Serverの方でしょう。
もちろん、デスクトップWindowsにおいても、脆弱性の放置が事業所における情報漏洩やその他のセキュリティ事案につながるケースもありますが、最近はメール等に添付でくっついてくるマルウェアやフィッシングサイト等が原因で、Windows自体のせいではないことの方が多いですね。気を付けるしかないでしょう。
■Windows Updateを制御する「WSUS」
さて、上から下までフルにWindowsで固めている事業所では、Windows Serverをドメインコントローラーとして用い、Active Directory(AD)によって他のWindows Serverや、デスクトップ版WindowsのPCを管理していることと思います。
そして、AD配下のWindows Updateの適用管理には、「WSUS」を使用していることが多いでしょう。
WSUS、Windows Server Update Servicesの略ですが、一般に「ダブルサス」と呼ぶことが多いようです。WSUSを使うと、サーバーやクライアントPCの1台1台が直接インターネット経由でMicrosoftのWindows Updateサーバーを参照しに行くのではなく、WSUSの存在するWindows Serverを経由してWindows Updateを適用させることが可能となります。
WSUSがあれば、新しいWindows Updateがリリースされても、それを配下のサーバーやクライアントに適用するかどうかをWSUSで制御することができます。新しいWindows Updateが既存のアプリケーションやミドルウェアなどに影響を及ぼさないかどうか検証した後に、Windows Updateを展開することが可能となるわけです。
また、機密情報を扱うなどセキュリティの重視される事業所では、サーバーやクライアントの大半をインターネットから遮断された閉域網に置いていることも多いかと思いますが、WSUSの入っているサーバーだけをインターネットに接続してWindows Updateを取得後、閉域網内に展開する、といったユースケースも存在します。
しかし、WSUSも万能ではありません。そもそもWindows 10以降ではアップデート無条件強制が原則であり、WSUSもそれに従った仕様となっています。WSUS配下のサーバーやクライアントに対して、いったんWindows Updateをリリースしたら、それがいつ、どんなタイミングで適用されるかまでは制御できないのです。
■Windows Updateの悩みも、POLESTAR Automationで解決
POLESTAR Automationを含めて弊社のWeb関連は、すべてマーケティング部というチームで制作とアクセス分析を行っているのですが、最近同部のWeb担当者から、「Windows Update」や「Windows Update 自動化」など、Windows Update関連のキーワードで検索してPOLESTAR Automationのサイトに来訪される方が増える傾向にあるという話を聞きました。
POLESTAR Automationが発売当初から搭載している機能のひとつに「Windows Updateジョブ」があります。その名の通り、POLESTAR Automationで管理しているサーバーのWindows Update適用を司るもので、WSUSと重複する機能といえます。
WSUSがあるなら、WSUSを使えばいいじゃない、というのはたしかに正論ですが、ではなぜ、POLESTAR Automationにこの機能があるのかといいますと…
まずは、マルチベンダーな環境への対応のためです。目的と用途に応じて、WindowsとUNIX/Linux系のサーバーを使い分けていて、両方それなりの数があったり、どちらかといえば*nixがメイン、という事業所から、AD+WSUSではなく、Linuxを含むサーバー向けのあらゆるジョブをPOLESTAR Automationひとつで管理できないか、という要望があり、この機能を開発した経緯があります。
もうひとつは、Windows Update適用を任意のタイミングで、つまり、決まった時間帯に行いたい、というニーズへの対応です。
スケジュール設定の可能なPOLESTAR AutomationのWindows Updateジョブを使うと、Windows Updateを当てたい日時に適用できます。
テスト環境で新しいWindows Updateが既存の環境に影響を及ぼさないことを確認したので、WSUSでアップデートをリリースしたら、平日昼間の稼働時間帯にアップデートが当たり、サーバーが再起動してしまった…というお話も伺いました。
土日や深夜など、都合のいいタイミングでアップデートを当てたい、という要望は、本当にたくさんの方からいただいております。
そうしたニーズにお応えできるソリューション、それがPOLESTAR AutomationのWindows Updateジョブ機能なのです。
その詳細については、当POLESTAR Automationサイトの「お役立ち資料(ホワイトペーパー&パンフレット)」コーナーで公開しているコンテンツ「ホワイトペーパー Vol.5 – Windows Updateにともなう作業はどこまで自動化できるか」でご紹介しています。
POLESTAR AutomationでのWindows Updateについて興味を抱かれた方は、ぜひそちらをご一読ください。
実は今回のコラムは、マーケティング部からの依頼で、急遽書いたものです。
本当は別のテーマで書く予定で、導入部分まで書き終わっていたのですが、テキストを保存せずに削除してしまいました(故意です。Windows Updateで飛ばしてしまったわけではありません)。そっちは時事的要素も含んでいたので、完全にボツ企画です。
ところで最近、個人的にはOSを触るといえば、WindowsではなくLinuxの方が多いです。何をもって「OSを触る」と定義するかにもよりますが、普段Windowsでやることといえば、Webブラウジングとメールを含むドキュメント作業ぐらいで、環境を新規構築したり、何か新しいことをやったりするのは、全部Linuxの上、ということです。
そんなわけで、個人的にはWindowsの知識がどんどん希薄化して行く一方だったのですが、この機会に、久々にWindowsを触ってみようかなと思っています。
・ホワイトペーパー Vol.5 – Windows Updateにともなう作業はどこまで自動化できるか
