多くの企業では、WindowsクライアントPCへのパッチの適用（アップデート）はマイクロソフト社のWSUS（Windows Server Update Services）を利用して行われているものの、Windowsサーバーへのパッチの適用となると、どうだろう。対応に手間がかかり、クライアントより難しいと考えるユーザーも多いようだ。
従来、パッチの適用やパッチそのものが原因となるシステムダウン、誤動作などの悪影響を恐れて、できるだけOSにパッチを当てないという判断も行われてきた。しかし、相次ぐ重大な脆弱性問題の発生により、最新パッチ適用の重要性が認識されることになった。特に、個人情報の流出などは社会的な責任にも繋がりかねないため、セキュリティパッチの適用は不可欠であると考えられている。

マイクロソフト社からのWindowsアップデート用のパッチは頻繁に提供されているが、パッチによっては適用に再起動を必要とするものがある。また、パッチの適用により、動作が不安定になる場合もある。このような問題を防ぐため、パッチの適用にあたっては稼働中のアプリケーションの事前停止や、アップデート完了後に再起動をかけるなどの前後処理が必要になる。
このような背景から、パッチを定期的にまとめて一気に適用する運用ポリシーが採用されることも多い。
システム運用の現場では、運用担当者が夜間や休日に、細心の注意を払いながらパッチの適用を行っていることが多く、このような作業を負担と感じている担当者も少なくないだろう。

POLESTAR Automationでは、定期的なセキュリティパッチの適用や事前検証が終わったパッチを、まとめて計画的に適用するための便利な「Windowsアップデートジョブ」機能を提供している。

ここでは、マイクロソフト社のWSUSを利用する方法とPOLESTARのWindowsアップデートジョブ機能を利用する方法、そしてWSUSとWindowsアップデートジョブ機能の併用によるハイブリッドな方法の3つに関し、その概要とメリット、デメリットをまとめてみた。

１．WSUSでWindowsサーバーのアップデートを行う

WSUSは、多くのユーザーに利用されている。利用するには、Active DirectoryとWSUSサーバーの構築・設定が前提となる。
WSUSサーバーがマイクロソフト社のWindows Updateサイトにアクセスし、最新のパッチを定期的にダウンロードしたうえで、決められたタイミングで各サーバーに該当するパッチを配布し、導入する。 便利ではあるが、各サーバーでアプリケーションが稼働している状態では、パッチを適用することは難しい。このため、スケジュール日時（適用周期）を指定できるものの、サーバー毎に状況が異なるため、WSUSでパッチを適用する場合はサーバー毎、グループ毎の配慮が必要になり、そのためにアプリケーションの停止や確認などで手作業が残ってしまう。
図1にWSUSでのパッチ適用イメージを示す。

WSUSを利用する場合は、WSUSサーバーが一括でパッチをダウンロードするため、インターネットへのトラフィックを減らすことが可能である。

２．POLESTARだけでWindowsサーバーのアップデートを行う

POLESTARのWindowsアップデートジョブ機能も、グループ毎にパッチ適用の自動化を行うものである。
Windowsアップデートジョブ機能を利用する場合は、対象サーバーへのエージェントの導入が必要である。
※POLESTARでは、エージェントレスでファイルの配布・導入を行えるファイル配布ジョブ機能も用意されているが、自動でマイクロソフト社からパッチのダウンロード管理を行う機能はサポートしていない。

Windowsアップデートジョブに加えて、POLESTARのスクリプトジョブやバッチジョブを使ってアプリケーションやミドルウェアの停止、再起動を自動化し、パッチ適用の前後処理の自動化も行うことができる。

Windowsアップデートジョブは、各サーバーがマイクロソフト社のWindows Updateサイトにアクセスし、パッチをダウンロードするしくみになっている。POLESTAR管理サーバーのWindowsアップデートジョブメニューでの設定に従い、パッチを特定して必要なものだけをダウンロードして適用する。 図２にPOLESTARのWindowsアップデートジョブを利用してパッチを適用するイメージを示す。

Windowsアップデートジョブでは、各サーバーのWindows OSが持つAPI(Windows Update Agent API)機能を利用して、アップデートが必要なパッチの分析やダウンロードを行っている。

POLESTARの管理サーバーは、各サーバーのエージェント経由で送られてくるパッチの分析情報を集約してダッシュボードに表示するとともに、適用スケジュールや再起動実施の管理などが可能となっている。
図３にダッシュボード上に表示されるパッチ適用状況の画面を示す。

より詳細な分析結果は、各サーバーから収集されたパッチ適用状況に基づき分析され、Windowsアップデートの更新分析画面で確認できる。
図4にWindowsアップデートの更新分析画面を示す。

Windowsアップデートジョブ機能では、パッチの適用が成功したのか、エラーが出ていないか、キャンセルされたのか、といった報告を、メールやSlack（REST API連携）などに送信する機能がある。
図５にジョブ実行結果の通知設定画面を示す。

ジョブの実行結果はログとして残すことができ、Excelでのダウンロードが可能である。
図６にWindowsアップデートジョブ実行結果の画面を示す。

一方で、Windowsアップデートジョブでは各サーバーがインターネットからパッチをダウンロードすることになるため、WSUSを利用するよりも、ネットワークのトラフィックが増加する傾向がある。
サーバーの台数が多いときには、考慮する必要がある。

3. WSUSとPOLESTARを連動させてWindowsサーバーのアップデートを行う

POLESTARのWindowsアップデートジョブを使ったほうが、細かなパッチ適用設定や前後の自動化が可能であるが、各サーバーが個別にパッチを取得しに行くため、インターネットのトラフィックが増えるという問題があった。また、そもそも閉域網にあるWindowsサーバーでは、Windows Updateサイトにアクセスしてパッチを取得できないという問題があった。
この問題を解消するのが、WSUSとPOLESTARのWindowsアップデートジョブを併用する「ハイブリッド型」のアップデート適用方式である。
図７にWSUSとPOLESTARのWindowsアップデートジョブを併用する場合のイメージを示す。

この場合、各サーバーはWSUSから必要なパッチをダウンロードすることになる。たとえ各サーバーが閉域網にあっても、社内のWSUSサーバーからパッチをダウンロードできる。また、適用するパッチや適用タイミングはPOLESTARの管理サーバーからコントロールできる。パッチはWSUSが一括してダウンロードするため、インターネットへのトラフィック増も考慮する必要がない。

このように、閉域網にあるサーバーへのパッチ適用や、サーバー数が多いような構成の場合、WSUSとPOLESTARのWindowsアップデートジョブを利用したハイブリッド型の利用が有効である。

以上

＜おすすめコンテンツ＞
・ホワイトペーパー Vol.5 – Windows Updateにともなう作業はどこまで自動化できるか