WSUSの非推奨化はセキュリティ向上のチャンス 中堅・中小企業に向けた次世代管理戦略：強固な基盤が支える統合セキュリティ

Microsoftが示したWSUS非推奨の方針は、中堅・中小企業にとってセキュリティ体制と更新管理の運用見直しを迫る転機となる。本稿は、ハードウェア起点の統合管理戦略と解決策を提示する。

PR／ITmedia

PR

　Microsoftは2024年9月、「Windows Server OS」などの更新プログラムを提供するサービスである「WSUS」（Windows Server Update Services）について、今後の利用継続を推奨しない方針を打ち出した。Windows Updateを管理する定番ツールだったことから、この方針転換は広範な企業に影響を与えている。

　この方針転換の影響は単なるツールの変更にとどまらない。WSUSに代わる更新プログラムの適用管理とセキュリティを維持する仕組みの構築が課題として浮上している。特に影響が大きいのが中堅・中小企業だ。

WSUSの非推奨化は次世代基盤を導入するチャンス

　Microsoftがクラウドベースの管理に軸足を移し、オンプレミスを想定したWSUSによる更新管理が困難になったことが、この方針転換の主な理由だ。Windows Updateの提供は現在も継続されており、直ちにサービスが停止するわけではない。しかし、近い将来に廃止される可能性は高く、早急に準備を始めたい。

　WSUS非推奨の流れを受け、中堅・中小企業のセキュリティはどのような状況にあるのか。デル・テクノロジーズ（以下、デル）の小部直寛氏は次のように見ている。

デル・テクノロジーズの小部直寛氏（クラウドソフトウェア＆セキュリティ事業本部 本部長）

　「『Microsoft 365』をはじめ、Microsoft製品のクラウドへの移行が進んでいます。これに伴い、企業のセキュリティ対策もクラウドへの対応が不可欠です。総合的なクラウドセキュリティ体制の実現に向けて、セキュリティの全体像を見直すべきです」

　小部氏は、WSUSによる更新管理が従来抱えていた運用の課題も刷新を後押しすると見ている。

　「WSUSは初期設定を終えたら自動で更新が進むわけではなく、インデックスの更新といったメンテナンスが必要です。運用開始後の作業は見えないコストとなり、その負担はIT部門に集中します。特に中堅・中小企業はIT担当者が少人数の傾向があるため、サーバの更新が完了せず、対応が後手に回るケースが見られます」

　全てのサーバが最新の状態に保たれているのはセキュリティの大前提だ。WSUSの管理負荷はこの大前提にほころびを生じさせる。WSUSの非推奨を契機に根本的に運用体制を見直すべきだというのが小部氏の考えだ。

オンプレミス、クラウドのシステム管理をAzure Arcに統合

　多くの企業において、オンプレミスとクラウドを基盤とするシステムが混在するハイブリッドクラウドがインフラの主流となっている。クラウドとオンプレミスの管理ツールは分断されており、IT部門の運用負担を増大させている。

　こうしたハイブリッド環境における管理の課題に対し、Microsoftは「Azure Arc」を提供している。デルの南部憲夫氏はAzure Arcの機能について次のように話す。

デル・テクノロジーズの南部憲夫氏（インフラストラクチャー・ソリューションズ営業統括本部 マイクロソフトソリューション部 ビジネス開発マネージャー）

　「Azure Arcは、オンプレミスのサーバや仮想マシンに加えて、Azure以外のクラウドのリソース管理にも対応しています。管理対象のリソースにAzure Arcのエージェントをインストールすることで、管理画面の『Microsoft Azure Portal』から全てを可視化できます」

　続けて同氏は「自社がオンプレミスのみの場合でも管理ツールとしてAzure Arcを導入すべきだ」と説明する。

　「Azure Arcでオンプレミスを管理することで、Azureで提供されているソフトウェアアップデート機能『Azure Update Manager』やセキュリティ機能『Defender for Servers』を使えるようになります。その結果、IT担当者はWSUSの管理で課題だった更新の遅延や、管理対象サーバの増加による運用負担などから解放されます」

　Azure Update Managerは多拠点展開をしている企業が抱えるセキュリティ課題にも有効だ。拠点間のネットワークをつなぐVPN装置は、サイバー攻撃の対象として狙われやすい。同社の小田倉健一氏は次のように語る。

　「Azure Update Managerによって、VPN装置を必要としない更新の管理が可能になります。管理のための通信は、社内ネットワークからAzureへのアウトバウンド通信となるため、外部からの侵入リスクを伴うインバウンド通信よりもセキュリティを高められます」

Microsoft純正セキュリティの強み

デル・テクノロジーズの小田倉健一氏（クラウドソフトウェア＆セキュリティ事業本部 シニアシステムエンジニア）

　セキュリティベンダー各社もサーバに対応したセキュリティ製品を提供しているが、基本的にサーバにエージェントをインストールする必要がある。これに対して小田倉氏は、「Defender for Serversは、Windows Server OSに標準装備されている『Windows Defender』を使用します。構成がシンプルなことに加え、エージェントを追加でインストールする必要がないため、アタックサーフェスを増やさずに最新のセキュリティを適用できます」と優位性を話す。

　Windows Defenderは、単体でも高度なアンチウイルス性能を備えている。それに加えてEDR（Endpoint Detection and Response）の機能も組み込まれており、オンボーディングのみで即座に利用可能だ。

　Defender for Serversはサーバだけでなく、Microsoftがクラウドで提供する「Microsoft SharePoint」などのストレージサービス、複数のセキュリティレイヤーのデータを統合して分析や検知、対策ができるMicrosoft Defender for XDR（eXtended Detection and Response）とも統合している。

　「Defender for Serversを内包するMicrosoft Defender for Cloudは、個々のセキュリティ機能の運用から全体的な統合管理まで、セキュリティ運用を効率化できます。セキュリティ管理の人材が少ない中堅・中小企業においても、運用の負担軽減とセキュリティレベルの向上を両立させられます」（小田倉氏）

　Azure Arcのオプションである「ホットパッチ」の機能も、セキュリティ運用の負担を減らす。

　「Windows Updateには、四半期ごとに提供される累積パッチと、その間に不定期で提供されるセキュリティパッチがあります。ホットパッチを利用すると、サーバの再起動なしでセキュリティパッチを適用できます。多数のサーバを管理する企業は全ての機器を最新バージョンに保ちやすくなります」（南部氏）

　事業拠点の新設やサーバの追加導入などでシステム構成が変更されるたびにセキュリティ対策を設定していては運用負担が増加する一方だ。小田倉氏は、場当たり的な後付けの運用管理を脱し、セキュリティを前提とする「セキュアバイデザイン」の考え方を導入する必要があると指摘する。

ファームウェアの改ざんを見逃さない「Root of Trust」

　セキュリティ対策はソフトウェアにとどまらない。強固なハードウェア基盤があってはじめてセキュアなソフトウェアのレイヤーを構築できる。そこで、デルの「PowerEdge」サーバは企業が安心して導入できる性能と機能を備えている。セキュリティの面においても、ハードウェアを信頼の起点とする「Root of Trust」の思想に基づいた仕組みと対策を、サプライチェーンの段階から随所に施している。

　代表的な機能としては、システムの起動時にサーバ本体とは別のプロセッサ（iDRAC）が起動し、本体側の起動プロセスを監視する。製造工程で認められていないプログラムが組み込まれていないか、サーバのファームウェアやコンポーネントにデルの署名を受けていないものが含まれていないかをチェックし、改ざんや不正があればシステムの起動を阻止する。

　工場出荷後の輸送中にハードウェアコンポーネントが改ざんされていないことを、デジタル証明書で検証できる「Secured Component Verification」（SCV）というサービスも用意している。

　「サーバが工場を出てからお客さまの手元に届くまでの間に不正が起きる可能性は否定できません。デルはそうした経路におけるリスクを想定し、お客さまに信頼できるサーバをお届けします」（小田倉氏）

　既にAzureを導入済みのユーザーでも、ワークロードの種類や性能、コスト、コンプライアンス要件によってはオンプレミスやエッジが最適となる場合がある。その際は、Azureのハイブリッドクラウドソリューション「Azure Local」が有効だ。

　「デルは35年以上にわたり、Microsoftとの強固なアライアンスを築いています。その一環として、MicrosoftとデルはAzure Localの設計や開発のエンジニアリングを共同で実施しています」（南部氏）

　Azure Localは、既に国内で400社以上が導入しており、その多くがデルのPowerEdgeをベースとした専用のアプライアンス製品によるものだという。

　「オンプレミスかクラウドかという二者択一でなく、ワークロードの特性に合わせてそれぞれの良さを生かしたシステムを構築すべきです。デルは豊富な導入実績から、お客さまに最適な形態を提案し、導入を支援します」（南部氏）

　デルが提案する、ハードウェア基盤とクラウド管理を組み合わせたアプローチは、中堅・中小企業が抱えるIT環境の複雑化と管理負荷の増大という課題に対する解決策になり得る。セキュアな基盤から統合管理までワンストップで提供することで、限られたリソースでもセキュリティと運用効率の両立を可能にする。

　小部氏は最後に「リソースが少ない中堅・中小企業にとって、複雑さを増すIT環境の管理は大きな課題です。デルはPC、サーバ、ストレージ、ネットワーク、セキュリティ、そしてMicrosoft 365からMicrosoft Azureまで、Dell CSPとして一気通貫でお客さまをサポートします」と語った。

　WSUS非推奨をきっかけに、自社のシステム基盤をモダナイズしたい中堅・中小企業にとって、Azure ArcとPowerEdgeの組み合わせは有力な選択肢となるだろう。