コラム一覧へ戻る

5分で解説!気になるIT用語

2020年2月12日

WSUS

第13回 「WSUS」

 「WSUS」(読み方:ダブルサス)とは、「Windows Server Update Services」の略。マイクロソフト社が主に企業向けに提供している、同社製品の更新プログラム適用を制御するソフトウェアの名称である。

 通常のウィンドウズPC更新の流れは、PC一台一台がマイクロソフト社のアップデートサーバにアクセスし更新プログラムをダウンロード、インストールして完了、という形となる。

 しかし、これを企業内のPCが一斉に行った場合、大きなトラフィックが発生してしまう。

 仮に更新プログラム自体のサイズは300メガバイト(MB)だとしても、1000台のPCそれぞれにダウンロードしようとすると300ギガバイト(GB)分の通信が発生することになる。そのため、外部との通信回線が圧迫されて業務に支障をきたすリスクが生じるわけである。

 また、OSやソフトウェアを最新の状態にするのはセキュリティ上非常に大事なことだが、まれに更新プログラム自体に不具合があってPCなどが起動しなくなったり、更新プログラムの適用によって社内システムに不具合が発生してしまったりすることがある。

 さらに、Windows10における「オプションの更新プログラム」のような任意適用のものは、PCごとに適用状態がバラバラになる可能性が高く、そのためにさまざまな不都合が引き起こされてしまう可能性も考えられる。

 こうした問題を解決するのがWSUSである。WSUSを導入したサーバ(WSUSサーバ)を社内に設置すると、このWSUSサーバが更新プログラムを受け取り、社内の各PCに配布する。

 外部との通信はWSUSサーバの分だけで済み、またPCのグループ化を行ってそれぞれの配信スケジュールを調整(=社内ネットワークの負荷を下げる)したり、自社には不要な更新プログラムは配信しないよう設定したりすることができるようになる。

[WSUS導入のメリット]

 では改めて、WSUSを導入することによるメリットを見ていこう。

  • ①通信回線を圧迫しない

     たとえば、社内のPCが一斉に外部にアクセスして回線が圧迫されてしまった場合、社外のアプリケーションが利用できない、ユーザがホームページを閲覧できなくなるといったさまざまなリスクが発生する。
     そこで、(前述の繰り返しになるが)WSUSを導入すれば、WSUSサーバのみがマイクロソフト社から更新プログラムを受け取るようになるため、更新作業によって外部との通信回線を圧迫することがなくなる。

  • ②更新プログラムの管理

     現在の主流OSであるWindows 10 は、デフォルトでWindows Updateの自動更新が有効になっている。便利な機能であるのは間違いないが、自動であるがゆえに、更新プログラムに問題があっても適用されてしまうことがある。
     特にやっかいなのが、特定のアプリケーションの動作に不具合が出るというケースで、最悪の場合、自動更新が行われたPCでは業務ができなくなってしまう。
     WSUSを導入すれば、システム管理者が更新プログラム適用のタイミングを決められるため、マイクロソフト社のリリース情報確認や、テスト用PCでの動作確認を行ってから更新プログラムを配信することができる。もちろん問題があった場合は、解決するまで配信しないように設定すればいい。

  • ③グループ・スケジュール管理

     社内の各PCをグループ化して管理することができる。例えば、特定の部署にのみ必要な更新プログラムを適用したり、逆に不要な更新プログラムを適用させなかったり、という作業が可能になる。
     ②の「更新プログラムの管理」における動作テストについても、この機能を使って「テスト機のグループ」を作るわけだ。
     また、実際に更新プログラム適用を行う際のスケジュールもグループごとに決めることができる。もし社内のPC全てに対して一斉に更新をかけてしまうと、今度は社内ネットワークに負荷がかかってしまうが、グループごとに日時をずらして更新を行うことで、適切な更新作業が行えるようになるわけだ。
     業務中に長時間の更新作業が発生し、PCが使えない状態になるのを避けるためにも、スケジュール設定は有効である。

  • ④更新プログラム適用状況の把握

     「更新プログラムごとの各PCへの適用状況」が把握できるようになり、また逆に「PCごとの各更新プログラムの適用状況」も把握できるようになる。
     これを利用してエラーによる更新適用漏れをなくし、またグループもしくは全体の適用状況を均一化することで、脆弱性などのセキュリティリスクや、不具合などの発生リスクを抑えることが可能である。
     なお、WSUSを導入することによる大きなデメリットはない。とはいえ、WSUSを利用するためのサーバを用意するのにかかるコストや、構築できる人材の確保は必要になる。
     特に後者は、現在のIT業界の人手不足の面から考えても簡単ではないだろう。自社のみでの構築が難しいなら専門会社に依頼することも視野に入れたい。

WSUS

[Active Directoryとの連携]

 端末の台数が非常に多い環境の場合、WSUSと「Active Directory」との連携が必須になってくる。このActive Directory(アクティブディレクトリ)は、Windows Serverに搭載されている機能の名称で、以下のようなことができる。

  • ①アカウントの管理

     社内に複数のサーバが存在する場合、社員(ユーザ)はそれぞれのサーバにアクセスする度に認証IDとパスワードが要求されてしまう。
     Active Directoryを導入すると、このユーザ情報を一元管理できるようになるため、一度の認証で各サーバにアクセスできるようになる。つまり、以前取り上げた「シングルサインオン」が可能になるわけである。
     「シングルサインオン」に関する過去のコラムはこちら

     管理者にとっても、一人あたり1つのID・パスワードを管理するため業務の効率化につながる。

  • ②アクセス権限の管理

     ユーザ情報を一元管理するため、アクセス権限の管理も行うことができるようになる。
     特定部署の人間や管理職の人間以外が重要データにアクセスできる状態は、セキュリティ上危険なのは言うまでもなく、会社の規模が大きくなればなるほど権限管理は必須となる。

  • ③PC設定の一元管理

     Active Directoryの管理者は各PC端末の管理者権限を得るため、その設定を変更・管理することができる。例えばプリンターの設定に変更があった場合、管理者が各PC端末の設定変更を行うわけである。
     社員は余計なことに手を取られず業務に集中することができ、管理者にとっても業務効率化できる上にセキュリティ面の強化などをはかることができる。
     Windows を使う端末(PC)は、大規模な社内ネットワークの管理には必須のものと言えるだろう。

  •  さて、WSUSに話を戻すが、WSUSは単体だと各端末との接続設定をするにあたって、直接そのPCをさわる必要がある。
     端末の数が2~30台ならまだしも、何百という数になってくると管理者の労力は大変なものになってしまう。WSUSをActive Directoryと連携させると、リモートでPC設定を行うことができるようになるため、効率的に作業が行えるようになる。
     ただ、この両者を連携して運用するとなると、導入までのハードルはかなり高くなるため、適切な設計・構築ができる専門会社に依頼した方がいいだろう。

この記事は2020年2月12日時点のものです。

コラム一覧へ戻る