【前編】🚨WSUS廃止の衝撃！Windows更新管理の基礎から最新まで総まとめ！

この記事の内容

• MicrosoftがWSUS（Windows Server Update Services）の廃止（Deprecation）を正式発表した背景と意味を解説
• 「今すぐ使えなくなる」わけではないが、将来的な削除に向けた準備が必要
• Microsoftが推奨する代替ソリューション（Windows Autopatch / Intune / Azure Update Manager）の概要
• Windows 10 / Server 2016以降における更新プログラムの仕組みの変化
• 配信の最適化（Delivery Optimization）など、標準機能として組み込まれた仕組みの紹介

WSUSに何が起きたのか

2024年9月25日、Microsoftは公式ブログにて「Windows Server Update Services (WSUS) Deprecation」を発表しました。

「Deprecation（廃止・非推奨）」という言葉を見て、「今すぐ使えなくなるのか」と慌てた方も多いかもしれません。しかし、この発表の内容を正確に理解することが重要です。

Deprecationが意味するのは、新機能の開発および新たな機能リクエストの受付を停止するということです。つまり、WSUSはこれ以上進化しない「最終バージョン」となりました。ただし、現在の機能は引き続き保持され、既存の更新プログラムのコンテンツ配信もサポートされ続けます。

現在WSUSを使用している組織は、今すぐ対応が必要というわけではありません。引き続き更新プログラムの配信に使用できます。

一方で、将来のWindowsサーバーリリースでWSUSが削除される可能性についても言及されています。Windows Server 2025には引き続き含まれますが、その次のバージョン以降では除外されることもあり得ます。具体的なタイムラインはまだ決定していないものの、今のうちから移行準備を進めることが求められています。

Microsoft Configuration Managerへの影響は？

WSUSの廃止発表を受けて、Microsoft Configuration Manager（旧System Center Configuration Manager）を使用している組織が心配するのも当然です。Configuration ManagerはWSUSの機能に依存して更新管理を行っているためです。

しかし、Microsoftは「Configuration Managerへの影響はない」と明言しています。WSUSに依存した構成であるにもかかわらず影響がないということは、将来的にWSUSへの依存を排除する形に変更される可能性を示唆しています。詳細は不明ですが、Configuration Managerをご利用中の方はWSUSの今回の発表について心配する必要はありません。

Microsoftが推奨する代替ソリューション

WSUSの代替として、Microsoftが現在推奨しているのは以下の構成です。

• クライアント管理: Windows Autopatch / Microsoft Intune
• サーバー管理: Azure Update Manager

クラウドから一元管理するアプローチが、これからの標準的な方向性として示されています。

ただし、この移行が容易ではないことも事実です。WSUSはWindowsサーバーの標準機能として無償で利用できましたが、IntuneやWindows AutopatchにはM365ライセンスが、Azure Update Managerには台数ベースの課金が発生します。「無料で使えていたのに、クラウド移行でコストが大幅に増える」という懸念から、多くの組織が対応に苦慮しているのが現状です。

そもそもWindowsアップデートはなぜ必要か

Windowsを更新しないという選択肢について、改めて整理しておきましょう。

更新を適用する最大の目的は脆弱性の解消です。発見された脆弱性を放置すると、悪意のある攻撃者に悪用されるリスクが高まります。特に、インターネット上には既知の脆弱性を突くツールが容易に入手できる状況であり、アップデートが適用されていない端末はその格好の標的となります。

「完全にオフラインで使用しているから大丈夫」と考える組織も存在しますが、それでも内部からの不正行為を防ぐ観点からも、アップデートは重要です。セキュリティ上の対策として、Windowsアップデートの適用は事実上必須と考えるべきです。

また、Windows 10以降は機能アップデートも含まれており、最新のセキュリティ機能や改善を継続的に受け取るためにも、定期的な更新が欠かせません。

更新プログラムの種類を理解する

昔と今の違い：個別パッチから累積更新へ

Windows 8.1やWindows Server 2012 R2以前の旧バージョンでは、「セキュリティのみの更新プログラム」として個別のパッチを選んで適用することが可能でした。管理者が「このパッチは当てる、このパッチは当てない」という判断を行い、WSUSでコントロールしていた時代があったのです。

しかし、この運用は問題を抱えていました。パッチを選別することで、各端末の構成が組み合わせで「世界に1つだけのWindows」になってしまい、組み合わせ固有の不具合に遭遇するリスクが生じます。また、Microsoftによるテストや開発者の想定環境と乖離してしまうため、サポートも難しくなります。

Windows 10 / Windows Server 2016以降は、セキュリティ更新プログラムは累積的なロールアップ形式のみとなりました。つまり、パッチを当てれば「その時点までの全パッチが適用された状態」になります。管理者が個別パッチを選択することは、現在はできません。

この変更により、「WSUSで特定パッチだけを選んで管理しています」という運用はすでに意味をなさなくなっています。WSUSで行えるのは、適用するタイミングのコントロールのみです。

現在の更新プログラムの種類

帯域外リリースは重大な脆弱性が発見された際に緊急配信されるため、迅速な対応が推奨されます。その他の更新については、適用タイミングをコントロールしながら計画的に進めることが基本です。

更新リングによる段階的適用

更新プログラムの適用タイミングをコントロールする代表的な方法が「更新リング」です。組織内のデバイスを複数のグループに分け、段階的に更新を展開していく仕組みです。

以下はリングを3段階で構成した例です。

この構成のメリットは、万が一更新プログラムに不具合があった場合でも、影響範囲を限定して早期に問題を検知できる点にあります。リング0で問題が見つかれば、リング1・リング2への展開を停止できます。

組織の規模や要件に合わせて適切な更新リングを定義し、更新管理を行うことが推奨されています。

配信の最適化（Delivery Optimization）

Windowsアップデートは累積的なため、ファイルサイズが大きくなりがちです。組織内の全端末が一斉にインターネットからダウンロードすると、ネットワーク帯域を大きく消費してしまいます。

この課題に対応するため、Windows 10 / Windows Server 2019以降には「配信の最適化（Delivery Optimization）」機能が標準搭載され、既定で有効になっています。

この機能はピアツーピア（P2P）方式を採用しており、ローカルネットワーク上の他のPCがすでにアップデートを取得済みであれば、インターネットではなく社内ネットワーク経由でダウンロードできます。また、インターネット上の近くのPCからのダウンロードも可能です。

個別に設定を行わなくても、Windowsがネットワーク帯域の最適化を自動的に行っているため、全端末が個別にインターネットからダウンロードするケースに比べ、帯域消費を大幅に削減できます。

まとめ

• WSUSの廃止は「今すぐ使えなくなる」ではない。現在の機能は継続され、既存の更新配信も引き続きサポートされます。ただし新機能開発は終了しており、将来のWindowsサーバーバージョンでの削除が見込まれるため、移行計画を立てる必要があります。
• Configuration Managerユーザーへの影響はないとMicrosoftは明言しています。
• Microsoftが推奨する代替手段は、クライアントにはWindows Autopatch / Intune、サーバーにはAzure Update Managerです。ただし、いずれも有償クラウドサービスであり、コスト面での検討が必要です。
• Windows 10 / Server 2016以降は累積更新のみとなっており、個別パッチの選別はできません。WSUSで行えるのは「適用タイミングのコントロール」だけです。
• 更新リングを使った段階的な展開と、**配信の最適化（Delivery Optimization）**による帯域削減は、現代の更新管理の基本的な仕組みです。標準機能として備わっているものも多いため、改めて理解を深めておきましょう。

Windows管理者にとって、今回のWSUS廃止発表は組織の更新管理戦略を見直す絶好の機会です。現行の運用が機能している間に、将来の移行に向けた計画を今から始めておくことをお勧めします。