2026年5月11日以降、Intuneで管理されているWindows 11 Enterprise/Education端末に対して、Hotpatch(ホットパッチ)がデフォルトで有効化される。再起動なしにセキュリティパッチを適用できるこの仕組みは、「パッチ適用のたびに業務が止まる」という長年の課題に対する現実的な回答だ。今すぐ確認が必要な組織は少なくない。
Hotpatchとは何か、なぜ今なのか
Hotpatch(ホットパッチ)は、Windowsが動作したまま、実行中のメモリ内にパッチを適用する技術だ。従来のパッチ適用では必ず再起動が必要だったが、Hotpatchでは再起動なしにセキュリティ修正を反映できる。サーバー向けには以前から存在していた機能だが、今回の変更でIntuneで管理されるWindows 11エンドポイントにも標準展開される。
MicrosoftはHotpatchを「四半期ごとのベースライン更新 + 毎月のホットパッチ」というサイクルで運用する設計にしている。つまり年4回の再起動で済み、残りの月は無停止でセキュリティを維持できる。稼働率とセキュリティの両立という点で、方向性としては正しい。
必須要件:VBS(仮想化ベースセキュリティ)
Hotpatchを利用するには、VBS(Virtualization-Based Security)が有効でなければならない。VBSはHyper-Vのハイパーバイザーを活用してシステムの重要な領域を分離・保護する機能で、Windows 11の新しいPCでは多くの場合すでに有効になっている。
ただし、以下の環境では注意が必要だ:
- 古いハードウェア: Hyper-V非対応機材ではVBS自体が動作しない
- 仮想化環境: VMs上でのネスト仮想化が必要な場合がある
- パフォーマンス懸念でVBSを無効にした端末: 一部の組織では過去にVBSをオフにしたケースがある
IT管理者がすぐ確認すべきこと
5月11日が事実上のデッドラインだ。この日を過ぎると、Autopatchポリシーに含まれる対象端末で自動的にHotpatchが有効化される。
オプトアウトしたい場合
Intune管理センターの「Windows Autopatch」設定から、テナントレベルでHotpatchをオフにできる。ただしそれ以前に設定を完了させること。あとから「知らなかった」では遅い。
オプトインのまま進む場合(推奨)
- 対象端末のVBS有効状態を確認する(Intuneのデバイスレポートやグループポリシーで確認可能)
- Hotpatch非対応端末のフォールバック動作(通常パッチ + 再起動)を把握しておく
- 展開後の再起動サイクル変化をエンドユーザーに周知する
実務への影響
日本の企業環境では、月次パッチの適用と再起動を「メンテナンスウィンドウ」として設定しているIT部門が多い。Hotpatch導入後は、そのウィンドウ設計を見直す必要がある。年4回の「ベースライン再起動月」以外は、ユーザーへの影響なしにパッチを適用できるため、ヘルプデスクへの問い合わせ(再起動後のトラブル)が減る可能性がある一方、再起動を前提とした運用フローがある場合は見直しが必要だ。
また、製造業やサービス業など「常時稼働PC」を抱える現場では、再起動不要のパッチ適用は現場受けがいい変更になりうる。
筆者の見解
率直に言って、これは歓迎すべき変更だ。「パッチを当てる = 再起動 = 業務停止のリスク」という構図が、エンドポイントレベルのセキュリティ適用を先送りにする主因の一つだった。Hotpatchのデフォルト化は、その言い訳を一つ潰す。
VBSの必須要件については、「また制約が増えた」と受け取る向きもあるかもしれない。しかし、VBSはカーネルレベルへの侵害を防ぐ重要な基盤でもある。セキュリティのためのセキュリティ、ではなく「パッチ適用の自由度を上げるためにVBSが必要」という文脈でユーザーに説明できれば、展開への抵抗も減るはずだ。
Microsoftには、こういった地道なオペレーション改善の積み上げをもっとやってほしい。派手な機能発表よりも、日々の運用を楽にする変更の方が現場には刺さる。その意味で、今回の変更はその方向に向いた取り組みであり、評価したい。あとはIT管理者側が期限を見落とさずに対応するだけだ。
出典: この記事は Windows Autopatch Enables Hotpatch by Default in May 2026: What IT Teams Must Do の内容をもとに、筆者の見解を加えて独自に執筆したものです。