運用 Microsoft Software Update Servicesの実力を探る １．Software Update Servicesの概要 デジタルアドバンテージ 2002/07/09

　このような事態を少しでも改善し、修正プログラムの適用作業の負担を軽減する方法はいくつかある。例えばMicrosoft Systems Management Server（SMS）などで修正プログラムを「配布」するという方法があるが、SMSそのものがあまり一般的ではないし、小規模な組織ではSMSは手に余るだろう。もう1つの方法として、こちらは手軽だが、Windows Updateの自動更新機能を使うという方法がある。これはWindows Updateで重要な更新がリリースされると、それをユーザーに通知すると同時に、あらかじめ指定しておけばそのインストールや（必要なら）再起動までをも自動的に行うという機能である。もともとWindows XPで実装されていた機能をベースにしているが、現在ではWindows 2000マシンでも利用できる（2002年6月からWindows Updateで提供されている「Windows自動更新」を導入する）。

　だがこの自動更新では、Windows Updateサーバに接続してそこから修正プログラムをダウンロードしてインストールしているので、各マシンのWindows Updateの状況をシステムの管理者が把握できないという問題がある。つまり、修正プログラムをインストールしてしまうとアプリケーションが動かなくなるような場合でも、何の制約もなくインストールできてしまうのだ（ただし、実際のインストールには管理者権限が必要だが）。またこの方式では、各クライアント・マシンからWindows Updateのサイトに個別に接続を行うし、しかもその通信（HTTPによる通信）ではWebのキャッシュ機能などが働かないので（常に最新のモジュールをダウンロードさせるためであろう）、社内中の多数のマシンが同時にWindows Updateサイトへ接続しようとすると、インターネットへのアクセス回線の帯域が飽和してしまう可能性がある。

　このような問題を解決するため、そして企業内におけるWindows Updateの使い勝手を向上させてセキュリティ・パッチなどのインストール作業など補助するものとして、Microsoft Software Update Services（以下SUSと表記）というソフトウェアがMicrosoftから提供されている（SUSの詳細についてはこちらを参照）。これはWindows 2000 Server／.NET Serverに対する無料のアドオン・ソフトウェアであり、マイクロソフトの推進する「Strategic Technology Protection Program（STPP）」構想に基づいて開発が進められていたものである。STPP構想については「Insider's Eye―『信頼できるコンピューティング』への長い道のり」などを参照していただきたい。SUSは、STPP構想発表当時には“Federated Corporate Windows Update”や“Windows Update Corporate Edition”と呼ばれていた。

SUSサーバ管理画面

SUSサービスは、Windows Updateサービスを社内レベルで行えるようにした、Hotfixの自動配布サービス。続々とリリースされるHotfix管理の切り札になるか？ SUSサーバの管理は通常のWebブラウザで行う。

　SUSは、次々と発表されるWindowsの修正プログラム（修正プログラムにはいくつか種類があるが、以下ではSUSの機能に合わせてHotfixと呼ぶ）を、安全に社内中のクライアント・マシンへ配布して、自動的にインストールするためのシステムである。マイクロソフト社のWindows Updateサーバから最新のHotfixモジュール類を定期的に収集して、それをユーザー組織内に用意したSUSサーバに蓄積しておく。そして各クライアントへは、このSUSサーバから直接Hotfixを配布し（送信し）、インストールすることができる。どのHotfixを、どのタイミングでクライアントへ配布するかは、Active Directoryのグループ・ポリシーを使って制御する。SUSを利用すれば、最大でも2日以内の遅れで（Windows UpdateサーバからSUSサーバへの同期作業に最長1日、そこからクライアントへの同期にさらに1日）、公開されているHotfixをクライアントへ適用することができる。Hotfixを適用後、必要ならば自動的にシステムの再起動も行う。

　ただし、マイクロソフト社のWindows Updateサーバ経由でWindows Updateを行う場合とまったく同じ機能が実現できるのかというと、残念ながらそうではない。まず最初にSUSでできることと、できないことについて簡単にまとめておこう。

■SUSでサポートされている修正プログラムの種類
　Windowsシステムのバグやセキュリティ・ホールを修正するためのモジュールには、（Windows Updateでいうところの）いくつかの種類があるが、そのうちSUSでサポートされているのは「重要な更新」と「Security Roll-up Package」だけである（本稿では、これらを総称してHotfixと呼ぶことにする）。これらは、いわゆるセキュリティ・ホールなどにかかわる重要なHotfix類であり、もう少し緊急度が低いService Packやデバイス・ドライバの修正プログラム、各種のアプリケーション（例えばOfficeなど）のパッチやService Releaseなどは含まれていない。また配布するモジュールをユーザーが用意することもできず、基本的にはマイクロソフト社がWindows Updateサービスでリリースしている、マイクロソフトのデジタル署名付きのHotfixだけに限られる。

項目	例
SUSで自動配布できるもの
重要な更新	各種のセキュリティ問題の修正プログラム、Microsoft .NET Framework Service Pack 1、重要な更新など
Security Roll-up Package	IIS用のSecurity Roll-up Package 1など
SUSで自動配布できないもの
OS自体の更新プログラム	推奨修正プログラム、Microsoft Virtual Machine、Microsoft .NET Framework日本語版、DirectX 8.1、ユーザー移行ツールなど
Windows OSのService Pack	Windows 2000 Service Pack 1／2など
デバイス・ドライバ類	デバイス・ドライバやその修正プログラム
アプリケーション	Internet Explorer（IE5.0／5.5／6.0）の配布パッケージなど
アプリケーションのアップデート	Microsoft OfficeのService Release、Windows Media Player 7.1など
SUSで配布可能な対象ソフトウェア

■SUSでサポートされているOS
　以下に示すとおり、SUSでHotfixを自動配布／インストール可能なクライアントOSにも制限がある。一般的には、今後はこれらのOSしか新規導入されないだろうから、将来だけを見るならばこれでも十分であろう。だが現在すでに導入されて広く使われている従来のOSについては、いままでどおり、手動でWindows Updateなどを実行する必要がある。

SUSでサポートされているクライアントOS

Windows XP Home Edition

Windows XP Professional

Windows 2000ファミリ

Windows .NET Serverファミリ

SUSでサポートされていないクライアントOS

Windows 95／98

Windows Me

Windows NT

SUSでサポートされているOS

関連記事（Windows Server Insider）
Insider's Eye	『信頼できるコンピューティング』への長い道のり

関連リンク
マイクロソフト	Microsoft Software Update Servicesのページ

INDEX
	［運用］Microsoft Software Update Servicesの実力を探る
	1．Software Update Servicesの概要
	2．SUSの仕組み
	3．SUSで管理するHotfixの配布
	4．SUSサーバのインストール
	5．SUSサーバの設定
	6．SUSクライアントの制御
	7．SUSのクライアントの動作
	8．SUSの運用

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）