WSUS(ダブルサス)とは、Microsoft社が無償提供するサーバアプリケーションで、管理者による更新プログラムの一元管理を実現します。
ここでは、WSUSの概要や必要性とセキュリティ対策などをご説明します。
WSUS(ダブルサス)は、「Windows Server Update Services」の略称です。
Microsoft社が提供するWindowsの更新プログラムをいったんWSUSサーバへダウンロードすることで、各パソコンはそこから更新プログラムをダウンロードします。
社内で使用するパソコンのアップデートなどを一元管理するのに役立ちます。
WSUSの基本的な機能には以下のようなものがあります。
・更新プログラムの制御
・Windowsアップデートのスケジュールを管理
・クライアントパソコンのグループ別管理
・更新プログラムの適用状況の把握
基本的な機能は、Windowsアップデートに関するものです。
多くの台数のパソコンを管理していると、どのパソコンがアップデートを実施しているか・実施していないのか管理がしづらく、各パソコンでアップデートの状態が異なる可能性が出てきます。
こうした問題を解決するために開発されたのが、WSUSです。
WSUSを導入することで、企業にはさまざまなメリットがあります。
ここでは、具体的なメリットについてご紹介します。
WSUSを設置すると、WSUSサーバがいったん更新プログラムを受け取り、それを社内の各パソコンにインストールします。
外部との通信は、WSUSサーバの分だけ済むので、インターネット回線を圧迫しません。
WSUSでは、グループごとに適用する更新プログラムを指定できます。
例えば、企業独自のアプリケーションに影響を及ぼすようなプログラムを配信しないなどの設定が可能です。
社内のパソコンをグループ化して管理できます。
さらに更新プログラムの適用を行うスケジュールもグループごとに管理可能です。
例えば、社内のパソコンすべてに一斉に更新をかけると、社内ネットワークに多大な負担がかかります。
そのためグループごとに日時をずらして更新を行うことで、負担を抑えつつ更新作業が行えるようになります。
この機能を使えば、業務中の更新を避けて、パソコンが使えない状態を回避できます。
※監修者コメント
パソコン台数が多い場合や24時間稼働しているシステムの場合は、特にきめ細かく計画する必要があります。負荷の少ない時間を調査しその時間に何台更新できるか、ローカルストレージに空き容量があるかなどの事前調査が重要となります。
WSUSを導入していない場合、各パソコンがそれぞれサーバから更新プログラムをダウンロード、インストールします。
しかしこれでは、各パソコンの更新プログラムの適用状態を管理できません。
WSUSを導入していれば、更新プログラムの適用状態をすぐに確認できます。
また適用状況は、表やグラフなどで確認でき、PDFやExcelでダウンロードすることも可能です。
※監修者コメント
更新プログラム適用後、業務アプリケーションに不具合がでることがあります。
その際は業務アプリケーションに悪影響を及ぼす可能性のある更新プログラムの配信を停止することができます。その結果、リカバリ作業などの障害対応工数を減らすことにつながります。
WSUSを導入しなかった場合、Windowsのアップデート状況を会社で管理できません。
そのため更新の管理を個人であるパソコンの所有者に任せなければいけません。
そうなると「更新作業中は業務ができないから」という理由で自動更新をオフにし、そのまま更新をしない可能性もあります。
もしWindowsのアップデートをしていないパソコンにウイルスが侵入した場合、情報漏洩やサイバー攻撃による被害を受けてしまう危険性があるでしょう。
トロイの木馬などのマルウェアに感染しないためにも、常に最新の状態に保つ必要があります。
WSUSは無料で利用できる製品なので、手軽に利用できます。
しかし企業や組織のIT資産は守るためには、外部の攻撃や内部不正の対応も必要です。
そのため無料の製品ではセキュリティ面で不安が残ります。
また企業で使用する場合は、更新プログラムの配信だけでは安定的に運用できない場合もあります。
さらに企業で管理しておきたいのはWindowsアップデートだけではないでしょう。
企業のIT資産を守るためには、IT資産全体の管理を考える必要があります。
もっとセキュリティ性を高めたい、安定的に運用したいと考えているなら、専用のソフトウェアの導入がおすすめです。
「MCore」には、パッチ管理機能が搭載されています。
パソコンごとのテンプレートによるセキュリティ診断を行うことで、必要なパッチを自動もしくは手動で適用可能です。MCore単独で配信・適用することができるため、WSUSの構築は不要で、さらにActive Directoryに参加していないPCに対してももれなくパッチを適用することができます。
サイズの大きなセキュリティパッチでも、ネットワークの負荷を抑えながら効率よく配信できます。
(⇒ MCore ソフトウェア配布)
(⇒ MCore パッチ管理)
さらにIT資産管理業務を効率化できる、「PC資産管理機能」「PC操作ログ管理機能」など、さまざまな機能が搭載しております。
お気軽にご相談ください。
(⇒ MCore PC資産管理)
(⇒ MCore PC操作ログ管理)
Windowsアップデートは、トロイの木馬などの脅威から情報資産を守るためにも必要な対策です。
WSUSを導入すれば、複数台のパソコンの更新状況を一元管理できるようになります。
ネットワークの負荷を抑えながら更新作業ができるので、導入を検討してみてはいかがでしょうか。
またさらにセキュリティ性の高いソフトウェアをお考えの場合は、当社の「MCore」がおすすめです。
ぜひお気軽にお問い合わせください。
(⇒ Windows 10の機能アップデートやパッチをネットワークに負荷をかけずに適用したい)
※監修者コメント
Windowsアップデートは最低限のセキュリティ対策の一つに過ぎないので、それだけでは安心できません。
セキュリティ事故の大半が人的要因だとわれています。
本来は企業や組織に属するすべての人にセキュリティリテラシーを身につけてもらうのが理想ですが、現実的ではありません。
それを補うには、セキュリティに特化したシステム導入が近道かつ確実です。
例えば、パソコンの使用状況や操作ログなどを収集・管理できるシステムがあれば原因の特定が容易となります。
セキュリティ対策は必要ですが、なるべく負荷をかけず行うべきです。
本来の業務に支障がなく運用できる、セキュリティ対策を行っていきましょう。
【関連記事】
・IT資産管理/セキュリティ管理統合システム「MCore」
https://www.sei-info.co.jp/mcore/
・Windows 10の機能アップデートやパッチをネットワークに負荷をかけずに適用したい
https://www.sei-info.co.jp/mcore/task/efficiency/windows10/
・機能アップデートや大容量セキュリティパッチを効率よく配信したい「ソフトウェア配布」
https://www.sei-info.co.jp/mcore/function/software-distribution/software-distribution/
・パッチ適用の運用コストを低減する「セキュリティパッチ・マネージメントサービス(SPMS)」
https://www.sei-info.co.jp/mcore/function/patch-management/spms/
・Windows 10のアップデートの仕組み
https://www.sei-info.co.jp/mcore/basics/win10-update.html