Windows 11のWindows Updateに、企業IT管理者が今すぐ把握すべき大きな変更が迫っている。ドライバー署名ポリシーの厳格化、ホットパッチのデフォルト有効化、セキュリティデフォルト値の見直しなど、複数の変更が重なることで、「なんとなく回っていた」更新管理が通用しなくなる局面が来る。順に整理しよう。

変更点1:ドライバー署名ポリシーの厳格化

Microsoftは、Windows 11においてドライバーの署名要件を強化する方針だ。WHQL(Windows Hardware Quality Labs)認定やEV証明書が厳しく求められるようになり、署名のないドライバーや品質未検証のカーネルドライバーがブロックされるケースが増える見込みだ。

カーネルレベルのコードはシステム全体に影響を及ぼす。ランサムウェアやルートキットがカーネルドライバーを悪用して侵入するケースは実際に増加しており、この変更はその抑止に直接効く。古い業務用ハードウェアや特殊な周辺機器を使い続けている環境では、「これまで普通に動いていたドライバーが突然使えなくなる」事態が起きるリスクがある。早めの棚卸しが必要だ。

変更点2:ホットパッチのデフォルト有効化

ホットパッチとは、システムを再起動せずにセキュリティパッチを適用できる仕組みだ。Windows 11ではこれがデフォルト有効となり、対応する月次更新では再起動なしでパッチ適用が完了するようになる。

企業環境において、パッチ適用のたびに再起動調整が発生することは長年の運用ボトルネックだった。ホットパッチが標準化されれば、脆弱性が野ざらしになる時間を大幅に短縮できる。ただし、四半期ごとの「ベースライン更新」は依然として再起動が必要であり、すべてが再起動不要になるわけではない。既存の展開フローにホットパッチと通常パッチを使い分ける設計の組み込みが求められる。

変更点3:セキュリティデフォルト値の変更

SMBサインの強制やNTLMv1の無効化など、複数のセキュリティ設定のデフォルト値が変更される。レガシープロトコルへの依存が残っている環境では、変更後に通信断が発生するリスクがある。特にActive Directoryドメイン環境では要注意だ。「動いているから安全」ではなく、「デフォルト変更後も動くかどうか」を事前に検証しておく必要がある。

変更点4:Windows Update for Business ポリシーの刷新

エンタープライズ向け更新管理ツールであるWindows Update for Business(WUfB)の設定項目が再編される。従来のポリシーが一部廃止・統合される予定であり、IntuneやGroup Policyで管理している管理者は設定の棚卸しが必要になる。既存のポリシーが黙って無効化されるリスクもある。

変更点5:更新適用の猶予期間短縮

セキュリティ更新プログラムの展開猶予期間が短縮される方向だ。テストと展開のサイクルをこれまでより短くしなければならなくなるため、パッチ管理プロセス全体の見直しが急務だ。

実務への影響——日本のIT管理者がやるべきこと

今すぐドライバーの署名状態を確認する Device Managerやサードパーティのドライバー管理ツールを使い、現環境で使用しているドライバーのWHQL認定状況を確認しておく。特に製造業・医療・金融などで特殊な業務端末を抱えている現場は優先度が高い。

ホットパッチ対応端末のリスト化 ホットパッチが有効になる端末とならない端末を把握し、展開スケジュールを設計し直す。「全台再起動なし」と誤解したまま運用すると、ベースライン月に混乱が生じる。

レガシープロトコル依存の洗い出し NTLMv1やSMBv1に依存したシステムやアプリケーションがないかを今のうちに確認する。特に長期稼働しているオンプレミスシステムに潜んでいることが多い。

WUfBポリシーの棚卸し IntuneコンソールやADで設定しているWUfB関連ポリシーを一覧化し、変更後も意図どおりに機能するかを検証環境で確認する。

筆者の見解

今回の変更の中で特に評価したいのが、ドライバー署名ポリシーの厳格化とホットパッチの標準化だ。この2つは、セキュリティ強化と運用効率の改善を同時に狙う方向性として、理にかなっている。

カーネルドライバーへの締め付けは、Windowsが長年抱えてきた課題への真っ当な答えだ。ここに手を入れたことは正しい。ホットパッチについても、脆弱性対応の速度を上げながら運用負荷を下げるという発想は、エンタープライズの実態を理解した設計だと思う。

一方で、更新適用の猶予期間短縮には正直なところ慎重になってほしい。実際のところ、「すぐ当てたら壊れた」という報告は今も後を絶たない。パッチの品質が安定していない状況で強制度だけを上げると、IT管理者が「試験展開」を行う余地を奪ってしまう。数日様子を見て展開するという判断は、怠慢ではなくリスク管理だ。

Microsoftにはこれだけのプラットフォームと実績がある。セキュリティ強化の勢いはそのままに、更新品質への信頼を一段引き上げることで、エンタープライズからの信頼をより確固たるものにできるはずだ。その実力があることは間違いない。今回の変更がその一歩になることを期待している。

出典: この記事は 5 things you need to know about changes coming to Windows Update on Windows 11 の内容をもとに、筆者の見解を加えて独自に執筆したものです。