Microsoftが2026年4月1日、Windows 11デバイス向けの「ホットパッチ(Hotpatch)」更新をデフォルト有効化すると正式発表した。Intune管理環境では同日よりテナントレベルのオプトアウト設定が可能になっており、IT管理者は5月11日までに自組織の方針を確定させる必要がある。

ホットパッチとは何か

ホットパッチとは、OSを再起動させることなくセキュリティパッチを適用できる技術だ。従来のWindowsアップデートは「ダウンロード→インストール→再起動」という流れが基本で、特に業務時間中の再起動は生産性への影響が大きかった。

ホットパッチはカーネルやシステムコンポーネントのコードをメモリ上でライブパッチする仕組みで、AzureのWindows Server仮想マシンでは以前から提供されていた技術をクライアントOSに展開したものだ。年4回の「ベースライン更新(要再起動)」と、その間を埋める「ホットパッチ月(再起動なし)」が交互に来るサイクルで運用される。

Intune管理者が把握すべき設定変更

2026年4月1日以降、IntuneのWindows Update設定画面に「ホットパッチの許可/ブロック」トグルが追加されている。デフォルトは**有効(Allow)**のため、特に何もしなければテナント配下の対応デバイスに順次ホットパッチが適用されていく。

5月11日がデッドラインである点に注意が必要だ。この日以降はMicrosoftがデフォルト設定を強制適用する可能性があるため、ブロックしたい場合は事前にポリシーを設定しておくこと。

対応要件は以下の通り:

  • Windows 11 Enterprise(バージョン24H2以降)
  • Intune管理下のデバイス
  • MicrosoftまたはWindows 365のライセンス(Business/Enterprise Premium等)

なぜこれが重要か

パッチ適用の最大の障壁のひとつが「再起動のタイミング問題」だった。「今業務中だから後で」「今週は重要な案件があるから来週」という先送りが積み重なり、既知の脆弱性を放置したまま何週間も経過するケースは珍しくない。

ホットパッチはこの摩擦をほぼゼロにする。特にゼロデイ脆弱性のような緊急パッチを業務への影響なく当日中に展開できるのは、セキュリティ運用の観点から見て大きな前進だ。

また、VDI(仮想デスクトップ)環境やシフト勤務が常態化している製造・物流・医療現場では「全デバイスの再起動ウィンドウをどう確保するか」という調整コストが馬鹿にならなかった。この課題を構造的に解消できる。

実務での活用ポイント

まずIntuneのレポートを確認する:「レポート → Windows Update → ホットパッチレポート」でどのデバイスが対応済みか、パッチ適用状況を可視化できる。導入前にベースラインを取っておくと後の比較が楽になる。

ベースライン更新月(再起動あり)を把握する:ホットパッチ月でも年4回は再起動が必要なベースライン更新が来る。メンテナンスウィンドウの設定は引き続き必要であり「再起動が完全になくなる」と勘違いしないよう社内への説明が重要だ。

段階的ロールアウトを使え:Inuneの更新リングを使ってパイロットグループから展開するのが鉄則。全社一斉適用は何かあったとき影響範囲が広すぎる。

ブロックが必要なケース:高度にカスタマイズされたカーネルドライバーや特殊な業務アプリケーションが存在する環境では、ライブパッチとの相性問題が起きる可能性がある。検証環境で先行確認してからのロールアウトを強く推奨する。

筆者の見解

セキュリティは正直あまり好きなジャンルではないが(細かい人が多すぎる)、この機能は技術的に純粋に正しい方向だと思う。

Windowsアップデートを巡って最近「すぐ当てたら壊れた」報告が増えていて、「数日様子を見る」という判断も立派なセキュリティリスク管理だという話をしてきた。ホットパッチはその葛藤に対して一つの答えを出している——「ベースライン更新は慎重に、でもその間のセキュリティパッチは再起動なしで速攻で当てろ」という棲み分けだ。これは合理的だ。

ただし正直に言う。Microsoftの最近のデフォルト有効化ラッシュには少し辟易している。「オプトアウトは5月11日まで」という期限設定はIT管理者への圧力に他ならず、大規模テナントほど検証時間が取れない。もう少し余裕を持たせてほしかった。

とはいえ、ホットパッチ自体の技術的価値は本物だ。Azure VMではすでに実績があり、概念自体は枯れている。Linuxのkpatchやkspliceと同等の仕組みをWindowsクライアントに持ち込んだという意味で、エンタープライズWindowsの成熟を感じる。

日本のIT現場ではまだパッチ管理をSCCMやWSUSで手動運用しているところが多い。この機能を使いこなすにはIntuneへの移行が前提になるが、その移行自体が「面倒だから後回し」になっている組織が多すぎる。ホットパッチを導入できる環境を整えること自体が、実は最大の課題かもしれない。

Microsoftへの期待が下がっている今でも、こういう地に足のついた改善は素直に評価したい。Copilotよりこっちを先にやれよとは思うけど。

出典: この記事は Securing devices faster with hotpatch updates on by default - Windows IT Pro Blog の内容をもとに、筆者の見解を加えて独自に執筆したものです。