ITシステムの構築運用を通じて顧客のビジネスを支える富士通エフサスは、一部の個別業務システムにおいて、複数拠点にまたがるWindows Updateの作業に課題を抱えていた。同社はどのようにしてこの課題を解決したのか、その取り組みとは。担当者に詳細を伺った。
富士通エフサスは、さまざまな企業のITシステムの企画から設計、構築、運用、保守までを支援し、ひいては顧客のビジネスも支援している。近年は急増するテレワーク需要に応えるべく、クラウドを中心としたVDI(仮想デスクトップインフラストラクチャ)環境の導入支援や、それを支えるネットワーク構築、セキュリティ対策などにも力を入れ、働き方改革やDX(デジタルトランスフォーメーション)の推進においても一助を担っている。
富士通エフサス内でもさまざまなシステムやアプリケーションが稼働しており、同社では最新のパッチ適用対応をはじめ、多層防御策を講じるなど、セキュリティ対策に努めている。
だが中には、インターネットや外部ネットワークから切り離された“クローズドな社内業務システム”も存在するという。クローズドといえども、複数の拠点をまたいで200台を超える端末が稼働している、中堅中小企業並みのシステムだ。
「規模にかかわらず、クライアント端末の維持、管理は非常に重要度の高い業務です。本システムではセキュリティを守るために、クライアント端末をはじめシステム全体が直接インターネットに接続できない環境にしており、月例パッチの配信についても、インターネットに直接接続しないオフラインWSUS(Windows Server Update Services)を導入して、端末を更新してきました。しかし、Windows 10は、月例パッチに加え、年に2回、非常にサイズの大きなFeature Update(機能更新プログラム)を適用する必要が生じました。月例パッチと同じようにWAN回線越しに配布するわけにもいかず、解決策を模索していました」(富士通エフサス 新井氏)
MicrosoftはFeature Updateにもサポート期限を設けており、一定の期間内に適用しなければサポートが受けられない状態になってしまう。富士通エフサスは、当該システムにおいて、「Windows 10 バージョン 1903」のサポート終了の際(2020年12月8日にサポート終了)、バージョン1909のへのアップデート作業をやむを得ず手動で行ったという。
「拠点に設置されたサーバを一時的に使用し、そこに置いてあるセットアッププログラムを実行したり、Feature UpdateのISOイメージを保存した媒体を持って回ったりするといった形で、手作業で行いました。拠点側にFeature Updateの適用要員を何人かアサインし、その人たちが端末を回って、画面の遷移を見ながら作業する必要があって多くの工数がかかるため、どうにかしなければいけないと考えました」(新井氏)
この先もずっと、Feature Updateが提供されるたびに、手作業でアップデート作業を実施していてはきりがない――富士通エフサスではそう判断し、自動化する方法を探し始めた。
当初、同社が検討したのは、それぞれの拠点にWSUS中継サーバを設置する方法だった。しかし「拠点ごとにサーバ機を導入し、Windows ServerをインストールしてWSUSを立て、WSUSの親子関係を作って配信する……となると、導入・維持コストがかかり、見合わないと判断しました」(新井氏)
そんなときにタイミング良く知ったのが、富士通の法人向けエッジコンピューティングデバイス「ESPRIMO Edge Computing Edition Z0110/W」(以下、Z0110/W)だった。本製品を利用すれば、「データキャッシュ機能」により、各拠点のWAN経由のアップデートにかかる通信を抑えながら、WSUSでの自動適用が実現できる。さらに、サーバ機を導入する場合に比べ、コストもかからず、Windowsクライアントベースで手軽に運用できる点を評価し、導入に向けた検証を開始したという。
今回のシステムにおいては、Active Directoryのグループポリシーを使ってクライアント端末を管理している。パッチ配信においても、各端末で接続するWSUSを制御しているが、Z0110/Wはグループポリシーとの親和性が高く、検証の中で一通り制御が行えることが確認できた。いったん設計してしまえば、導入は容易だったという。
こうして同社は2020年6月ごろから検討・机上検証を開始し、2020年度下期から1カ月程度で事前検証を終えて本格導入を進め、2021年1月から2カ月ほどでテストも含めて環境構築が完了した。プロキシ自動設定のスクリプト(Proxy Auto-Config、通称PAC)に関する設定で戸惑う場面もあったものの、充実したマニュアルと事前に通信要件を整理した上での検証に助けられ、スムーズに導入が完了した。
「導入に当たっては、富士通と情報を共有し、どこが導入のポイントになるか教えてもらいながら進められました。また、マニュアルがかなり詳細に記述してあり、そこを読み解くことでグループポリシーでの管理も容易に行えました。そもそも、Z0110/WはActive Directoryと親和性が高いので、その延長線上で管理やコントロールができることも大きなメリットです」(富士通エフサス 岡氏)
富士通エフサスでは2021年4月、Windows 10 バージョン1909のサポート終了に合わせ、導入後初めて、Z0110/Wを用いてWindows 10 バージョン2004を各クライアントに配信した。
「これまでは各拠点で媒体を持って、あるいはファイルサーバからプログラムを起動して、手動で適用と再起動を繰り返していたのが、バックグラウンドで自動的にインストールできるようになりました。画面に再起動を促すためのメッセージが表示されるので、利用しているユーザー自身が再起動すれば適用は完了です。わざわざ人をアサインしなくても、普段の運用の中で適用できるようになり、非常にスムーズになりました」(新井氏)
従来は、1つの拠点につき2〜3人のグループで人をアサインし、業務の合間を縫っては声を掛けながら対応していたそうだ。状況によっては、適用が完了するまで2〜3週間程度かかることもあったという。それが、Z0110/W導入後は、1週間程度で、しかも拠点側で該当作業のための人をアサインせずともアップデートが適用される環境が整った。
「間に立ってくれていた現地の管理者による細かな手作業が不要になり、適用作業工数を大きく削減できた部分で改善効果を感じています。また、業務に合わせて事前に調整する手間も不要になったことも大きなメリットです。結果、エンドユーザーも、安心して最新の環境を使えるようになっています」(新井氏)
また「製品に添付されている運用管理ツールを利用することで、キャッシュの準備状況が確認できたり、必要に応じて再起動させたり、電源を停止させたり、Pingコマンドで疎通を確認したりする、といった簡単なオペレーションができることも有益でした」(岡氏)。拠点側の運用担当者はもちろん、全体を管理する管理者側にとっても、リモートからさまざまな管理が実施できるようになり利便性が向上したという。
こうして、年に2回しかないFeature Updateの配信のためにWAN回線を増強したり、新たにサーバを用意したりすることなく、Z0110/Wで最新のクライアント環境を保ち、安心して業務に専念できる環境が整った。
「クローズドな環境かどうかにかかわらず、ウイルスまん延などのリスクを極力排除するために最新環境にアップデートしていく運用は不可欠です。ただ、そのためにかかる作業工数を減らすことも重要で、そのギャップを埋める意味で、Z0110/Wを有効に活用できています」(新井氏)
なお、本稿で紹介したZ0110/Wの後継機として、「ESPRIMO Edge Computing Edition Z0111/W」がリリースされている。
※購入の相談は、富士通営業、富士通エフサス営業または販売パートナーまで問い合わせください。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:富士通株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年8月19日