スタッフブログ

これからの更新プログラムの管理方法


SCD プラットフォームビジネスエンジニアの新宅です。
青森は最近、日中は雨と太陽のせいでムシムシと蒸し暑く、夜間はヒンヤリとした空気に包まれています。
【追記】台風が近くを通り過ぎました。若干雨と風は強かったものの、何事もなく過ごしております。

私は、色んなIT系の記事を読み漁るのが元々好きで、趣味にしているような節があります。Windowsのことは勿論、Android関係の記事もよく読んでいます。これまでに「Windows」や「Android」を含む、Google検索を何度行ったかわからないくらい、検索して読み漁ってます。

今回は、Windows 10に限らず、Windows 7/8.1も含んだ話をしようと思います。

Windows 更新プログラムの提供方法が変更

Microsoftは、これまでのやり方を変えるのが大好きな企業です。サービスの名称変更も大好きです。
そんなMicrosoftが、少し前にWindowsの更新プログラムの提供方法を大きく変更したのです。

Windows 7/8.1に与える影響

Windows 7/8.1には、これまで脆弱性・不具合修正の対象毎に更新プログラムを配布していました。結果として、第2火曜日(日本であれば第2水曜日)頃に、5~10個程度の更新プログラムが追加で配布されていました。また、新しい更新プログラムを入れるためには、「以前配布された指定の更新プログラムを先に入れておかないと入れられない」という「前提条件付きの更新プログラム」を多数配布していました。

特に、Windows 7は発売されてから7年半程経過しており、

  • 更新プログラムが一切入っていない状態から最新の状態にするだけでも恐ろしい時間が掛かり、Updateと再起動の操作が何度も必要な状態であったこと
  • 企業の管理者の操作でSystem Center Configuration ManagerやMicrosoft IntuneなどのWSUSによる制御を行っている環境や、手動でWindows Updateを実行してきたパワーユーザーによる環境において、互換性問題回避のための取捨選択導入によって、却って互換性の問題を引き起こし、Microsoftが保証できない状態になっていたこと
  • 上記問題がXP時代よりも更新プログラムの総量が増えていることによって、より顕在化していること

これらの理由から、Windows 7/8.1に対しても、2016年10月からは、Windows 10の「累積的な更新プログラム」に似た「マンスリーロールアップ」という方式に切り替えられました。これは、これまでのバラバラな更新プログラムの代わりに、過去のものをすべて含めた1つの更新プログラムを積み上げながら配布していく方式です。過去の更新プログラムの取り込みが完了するのは、もう少し先になりそうですが、これによってどんな状態であっても、1回だけUpdateを行えば最新の状態になるメリットがあります。更新プログラム全体の容量はどんどん増えていきますが、Windows Update時には新規分だけをDLするため、通常はそれほど影響はありません。

Microsoftは、この方式では3種類の適用方法を提供しています。IT管理者はこれらの中から選択する必要があります。

  • セキュリティのみの更新プログラム
    WSUSまたはMicrosoft Update カタログのみの提供で、セキュリティのみの詰め合わせ。一般のWindows Updateには提供されず、セキュリティに関係の無い修正は一切含まれない。
  • 月例のロールアップ
    通常提供される更新プログラムで、当月のセキュリティ更新プログラムと先月プレビューされたセキュリティ以外の更新を合わせた詰め合わせ。
  • 月例のロールアップのプレビュー
    月例のロールアップとほぼ似ているが、セキュリティ以外のプレビュー版更新も含めたもの。メインのPCへの導入は推奨されない。

従来通り、WSUSではロールアップそのものを承認しないことで更新をストップすることはできますが、それに含まれるもの全てが適用されないままになってしまうため、なるべく早く検証を済ませるようにしてください。検証用にプレビューを導入するテストPCを設置しておくことで、一般配布開始から検証完了までの時間を短縮することも可能です。

Windows 10に与える影響

Windows 7/8.1ほど大きな影響はありません。更新の管理で押さえるべきポイントをご紹介します。

  • Semi-Annual Channel(Targeted)※1 としてリリースされてから、そのバージョンは18ヶ月間サポートされる
    ※1 旧Current Branch(CB)と呼ばれていたものです。名称だけ変わったものです。Microsoftは本当に名称変更大好きですね。
  • Semi-Annual Channel※2 としてリリースされるのは、Semi-Annual Channel(Targeted)※1 としてリリースされてから約4ヶ月後頃、ビジネス用途に耐えうると判断された時
    ※2 ついでに旧Current Branch for Business(CBB)と呼ばれていたものも変更されました。紛らわしい名称になってしまって書き分けが面倒くさいなぁ…。
  • Homeは機能更新プログラムを強制適用、適用時期を制御するにはPro以上が必要
  • 品質更新プログラムは累積的のため、1回で適用完了
  • 品質更新プログラムは第2火曜日をベースにするが、不定期配信あり
  • Intuneなど一部のWSUSでは、品質更新プログラムは制御可能だが、機能更新プログラムを受け取れないことも(アップグレードアシスタントによる手動更新は可能)
  • Intuneで機能更新プログラムを管理したい場合はMDM管理に切り替えが必要

まとめ

これらを踏まえて、今後のIT管理におけるWindows Update制御の方法を早急に再検討する必要があります。
これまでにも全部適用している環境ならば、通常通りで問題はありませんが、取捨選択してきた企業にとっては厳しいものがあるかもしれませんね。

その中でも特に、Windows 7/8.1をお使いの方は、Windows 10への更新を視野に入れながら、再検討をすべきだと思っています。

ありがとうございました。