Insider's Eye

次世代パッチ管理ソフト最新版、WSUSの新機能(1)

―― SMS 2003導入ポイントとの差異を検証 ――

Peter Pawlak
2005/03/29
Copyright (C) 2005, Redmond Communications Inc. and Mediaselect Inc.


本記事は、(株)メディアセレクトが発行する月刊誌『Directions on Microsoft日本語版』 2005年3月号 p.39の「Windows Update Servicesでソフトウェア更新技術を刷新」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。

 OSの重要な修正プログラムや累積的セキュリティ更新プログラムを一元的かつ自動的にWindowsシステムに配布、インストールする手段を企業に提供するMicrosoft Windows Serverベースの無料ツール「Software Update Services(SUS)」。そのアップグレード版は、「Windows Update Services(WUS)」に名称が変更され、完成に近づいている*1。2005年前半のリリースに向けて大規模なベータ・テストが行われているこの新ツールは、Microsoftのソフトウェア更新プログラムを配布するWebサービス「Windows Update」のアップグレード版となる「Microsoft Update」と同時に登場する*2

編集部注
*1
今回の記事が執筆された後、マイクロソフトは、Windpws Update Services(WUS)の名称をWindows Server Update Services(WSUS)と改めた。しかし本稿では、執筆時点のWUSの名称をそのまま用いている。
*2 WUSのRC版が公開された。以下のURLからダウンロードすることが可能である。
Windows Server Update Services Release Candidate Open Evaluation

 Microsoft UpdateとWUSの組み合わせでは、ステータス・レポートをはじめ、SUSにはないさまざまな機能が提供されるほか、将来的にはすべてのMicrosoft製品の更新がサポートされる。「Systems Management Server(SMS)」はより豊富な機能を提供するが、WUSは、SMSの価格や高度な複雑さを受け入れられない企業にアピールする可能性がある。

ソフトウェア更新の一元管理

 現在ほとんどの企業は、攻撃コードが現れる前にソフトウェアの脆弱性にパッチを当てることを、コンピュータ攻撃やウイルスへの対策の柱の1つと認識している。しかしそれは容易なことではなく、現在のWindows PCのメンテナンスには、コアOSにとどまらず、多数のアプリケーションやコンポーネントが含まれる。例えばInternet Explorer(IE)やOffice、Windows Media Player、Microsoft SQL Server 2000 Desktop Engine(MSDE)を含むSQL Server、Exchangeなどのパッチ適用や更新がそうである。企業は自社のソフトウェアに対する最新の更新プログラムの適用を徹底しなければならないが、ユーザーが自主的に自分のマシンを最新の状態に保つことは、当てにできないことを認識している。

 セキュリティの脅威を認識し、常にWindows OSの最新のパッチやそのほかの更新プログラムを適用しようと心掛けているユーザーにとって、Windows Update Webサイトのおかげでその作業はかなり容易になった。同サイトは更新プログラムを1カ所で入手できるように構成されており、走査によってマシンを最新の状態に保つにはどの更新プログラムが必要かをユーザーに示すからだ。さらに、Windows Update Webサービスとクライアント側の自動更新(AU)エージェント(Windows XPで導入され、既存のWindows 2000にも移植された)の組み合わせは、ユーザーがごく簡単な操作で適用可能なWindows更新プログラムを自動的に取得してインストールの選択肢を提供できるようになり、状況は一段と改善された。

 しかし、このソリューションは次のようないくつかの難点があり、企業にとっては不十分である。

  • 重要なWindows更新プログラムだけをインストールし、Microsoftやサードパーティの多数のアプリケーションに対する重要な更新プログラムに対応していない。

  • 一連のプロセスが適切に機能し、PCが最新の状態にあるかをIT管理者が一元的に把握する方法が用意されていない。

  • ソフトウェア更新プログラムが自動的に適用されるため、適用によって問題が起きないかを確認するテストを事前に行うことができない。

  • ログオンしたユーザーが操作を加えるように設計されているため、サーバの再起動の管理で問題が生じる。

 Microsoftは数年前にこれらの課題を認識し、その大部分を解決するためにSMS 2003とSUSという2つのソリューションを開発した。

●導入が複雑で高額なSMS 2003
 SMSはサーバ・インフラと、各管理対象コンピュータ上のエージェントで構成される。利用企業はハードウェアおよびソフトウェア資産のインベントリ作成と管理、ソフトウェアの配布、ソフトウェア更新プログラムの適用、ライセンスの追跡管理、WindowsクライアントおよびサーバやWindows Mobileデバイスで発生した問題のリモート診断と修正が行える。SMSは主に大中規模企業向けで、前述したすべてのニーズに対応しており、PCを最新の更新状態に保つのに必要なツールの大半を提供する。だが、導入や運用が複雑であり、多額のライセンス料が必要となる。

●無料の機能パックSUSの制約
 そうしたさまざまな理由から、SMSは一部の企業では敬遠されるかもしれない。Microsoftはこうした企業がWindows PCに常に最新のパッチを当てられるように支援するため、2002年にWindows Serverの無料の機能パックとしてSUSをリリースした。SUSは、自動更新エージェントが動作するコンピュータとWindows Update Webサービスの間で機能するサーバで、概念的には、企業のファイアウォール内でWindows Updateサイトのサブセットの役割を果たす。SUSは、システム管理者が承認してからソフトウェア更新プログラムを自動更新エージェントに発行できるようになっており、システム・メンテナンスのために少なくとも1人のIT専任者を置いているか、サービス・プロバイダを利用している企業では、ソフトウェア更新の一元管理がある程度は可能だ。

 しかし、SUS 1.0はいくつかの深刻な難点を抱えており、顧客には不満が残っている。中でも重大な難点は、ステータス・レポートの本格的な仕組みを備えておらず、対象設定をサポートしていないことだ。対象設定がサポートされていないため、管理者はソフトウェア更新プログラムを、SUSサーバを使用するように構成したすべてのクライアントについて一括して承認することしかできない。また、更新の対象を一部のコンピュータ(例えば、ソフトウェア更新プログラムを全社的な導入に先立ってテストするためのコンピュータなど)に限定することはできない。しかも、SUSではWindows Updateサイトの機能的な制約も支障となっている。同サイトは主にWindowsとIEの更新プログラムの導入支援を目的としており、OfficeなどMicrosoftの多くのポピュラーなアプリケーションの更新をサポートしていない。

 これらの難点を克服するため、MicrosoftはSUSとWindows Update Webサービスのアップグレードに取り組んでいる。後継バージョンはそれぞれWUS、Microsoft Updateに名称変更され、2005年前半のリリースを目指してベータ・テストが進められている(編集部注:冒頭で述べたとおり、WUSはWSUSと名称が変更され、すでにRC版のテストが開始されている)。

Windows Update Servicesの強化

 WUSの全体的なソリューションはアーキテクチャ・アプローチに関してはSUSから変わっていないが、サーバ、クライアント側エージェント、Webサービスという3つの構成要素は新機能で強化されている。しかし、Microsoftがマーケティングとブランド戦略上の理由だけで行った名称変更は、一部の顧客を混乱させるかもしれない。SUSという名称には、このツールがWindows OS以外のソフトウェアも更新できるというニュアンスがあるが、実際には、SUSが更新できるのはWindowsに限られる。Microsoftはその後継バージョンの名称を、Windowsしか更新できないような印象を与えるもの(Windows Update Services)に変更したが、実はこの新ツールはほかのMicrosoft製品も更新できる。また、従来の自動更新エージェントはWindows Update(WU)エージェントに名称変更されたが、WUエージェントはWindows以外のコンポーネントも更新する。さらに、新しいサーバ名は現行のWindows UpdateサイトやそのWebサービスと混同されやすいが、これはMicrosoft Updateに名称変更される(このサイトはすべてのMicrosoft製品に対応するように変更されるため、この名称は意味が通っている)。従来の用語と新しい用語の比較については、「パッチ管理に関する用語の変更」を参照。コンポーネントが全体的なソリューションをどのように構成するかについては、「Windows Update Servicesのアーキテクチャ」で図解している。

 

 INDEX
  Insider's Eye
  次世代パッチ管理ソフト最新版、WSUSの新機能(1)
       コラム パッチ管理に関する用語の変更
       コラム Windows Update Servicesのアーキテクチャ
    次世代パッチ管理ソフト最新版、WSUSの新機能(2)
    次世代パッチ管理ソフト最新版、WSUSの新機能(3)
 
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間