想定リスクはWindows Update！ 業務アプリのためのBCP対策：その知識、ホントに正しい？ Windowsにまつわる都市伝説（112）（1/2 ページ）

「リモートデスクトップサービス（RDS）」は、変化の激しいWindows 10クライアントの時代に、レガシーな業務アプリケーションの確実で安定的な実行環境を提供する有効なオプションです。しかし、そのRDS利用環境が、クライアントのWindows Updateで利用できなくなることを想定していますか。

[山市良，テクニカルライター]

もう“想定外”では済まされない、Windows Updateによる業務停止リスク

　本連載51回で説明したように、Windows Serverの「リモートデスクトップサービス（RDS）」環境は、レガシーアプリケーションの互換性対策として有効な選択肢の1つです。RemoteAppテクノロジーを利用すれば、最新のWindows 10のローカル上で実行しているかのように、サーバ上で実行されるレガシーアプリケーションを利用できます。

• Windows 10時代のアプリ互換性問題は、RemoteAppが救世主になるかも？（本連載 第51回）

　逆に、Windows 10ベースの仮想デスクトップインフラストラクチャ（VDI）は、レガシーデスクトップに対して最新のアプリケーション実行環境を提供するのにも利用できます。しかし、今回は前者の役割として、想定しておくべきリスク対策の話です。そのリスクとは、Windows Updateなどで提供される「更新プログラム」、特にWindows 10の更新プログラムの影響です。

　筆者の別の連載では、2018年5月の定例更新後、Windowsに対する新しいセキュリティ対策の実施（既定の挙動の変更）で、接続先のパッチレベルによっては接続がブロックされるという影響がある（更新サイクルによっては今後影響を受ける）ことを紹介しました。

　これは事前に告知されていたのですが、周知されていたとはいえません。その結果、リモートデスクトップ接続やRemoteApp接続に依存するアプリケーションが更新後に利用できなくなり、対応に追われたという担当者も多かったのではないでしょうか。

• Windows Updateは適切な更新サイクルで――CredSSP脆弱性対策について（山市良のうぃんどうず日記 第127回）

　また最近、国内外のWindows関連のコミュニティーフォーラムでは、「Windows 10 Fall Creators Update（バージョン1709）」や「Windows 10 April 2018 Update（バージョン1803）」で、機能更新プログラムや品質更新プログラムの影響と考えられる、RemoteAppの利用環境への重大な影響が報告されています。更新プログラムの問題は、いずれMicrosoftにより修正されるでしょう。例えば、2018年5月にリリースされたWindows 10 バージョン1709向けの以下の品質更新プログラムでは、RemoteApp関連で2つの問題が修正されました。

• 2018年5月22日−KB4103714（OSビルド16299.461）

• グループ化されたウィンドウを使用中に前面のウィンドウ内をクリックすると反応しない状態を引き起こすRemoteAppセッションの問題を修正します
• セカンダリーモニター上でアプリケーションを最大化するとスクリーンを黒くするRemoteAppセッションの問題を修正します

　Windows 10の機能更新や品質更新で、多くの時間を取られていると感じている利用者にとって、更新完了後に以前は使えていた業務アプリケーションに接続できなくなる、応答しなくなるなどの影響が出てしまうと、業務は事実上、ストップしてしまうでしょう。せっかくリモートデスクトップ接続やRemoteApp接続の安定した環境を用意しているのに、クライアントの更新で利用できなくなるのは、大量のクライアントを抱える企業では大問題です。IT部門の担当者は、品質更新のアンインストールや機能更新からのロールバックなどで大変な苦労をすることになるでしょう。

　影響を最小限にするためには、Windows Updateの負の影響を想定し、事前に回避策を用意しておくしかありません。例えば、RemoteAppに限定される問題は、フルデスクトップ接続には影響しないことがあります。簡単にフルデスクトップ接続に切り替えられるようにしておくことは、1つの手です。RemoteApp接続用とフルデスクトップ接続用のRDPファイルのショートカットを両方配布するなどです。

UWPアプリ版のクライアントが回避策になることも

　Windows 10にはOS標準の「リモートデスクトップ接続クライアント（Mstsc.exe）」とは別に、Microsoft Storeから無料で入手できるユニバーサルWindowsプラットフォーム（UWP）版の「Microsoftリモートデスクトップ」アプリがあります。Windows 10の機能更新や品質更新の後、リモートデスクトップ接続やRemoteApp接続で原因不明（原因はおそらく更新プログラム）の不具合が確認された場合は、UWPアプリ版のクライアントを利用してみましょう。

　Windows 8.1に対しても同様のアプリが提供されていますが、筆者が調べた限り、Windows 10向けとWindows 8.1向けでは実装が大きく異なっています。Windows 8.1向けのアプリは、OSコンポーネント（%Windir%\System32\mstscax.dllなど）を利用しているため、OSコンポーネントの更新の影響がアプリにも出る可能性があります。

　一方、Windows 10向けのアプリは、OSコンポーネントから独立した作りになっているようです。そのため、Windows 10の更新プログラムの影響は、UWPアプリ版には及ばない可能性があります。例えば、2018年5月のセキュリティ対策で接続できなくなるという影響は、UWPアプリ（少なくとも5月時点のバージョン）ではありませんでした（画面1、画面2）。

画面1　2018年5月の累積更新の影響によりMstsc.exeは未パッチの接続先への接続がブロックされるようになったが、UWPアプリは引き続き接続可能だった（アプリ自身は脆弱性に対策済み）

画面2　Windows 8.1向けのアプリはMstsc.exeと共通のOSコンポーネントに依存しているため、Mstsc.exeと同じ挙動になる

　なお、Microsoftが提供する各プラットフォーム向けアプリの「CredSSP脆弱性（CVE-2018-9886）」対策状況については、以下のURL（各プラットフォームの「What's new」ページ）や各プラットフォームのストアで確認できます。最新バージョンであれば、いずれのプラットフォーム版も脆弱（ぜいじゃく）性に対策済みです。

• Remote Desktop clients［英語］（Windows IT Pro Center）