検索
ニュース

Windowsアップデートは「3日以内」に完了へ IT部門が工数をかけずに乗り切る方法は?ITニュースピックアップ

AIの急速な発展によって脆弱性が「数時間」単位で悪用される中、MicrosoftはWindows更新プログラムを3日未満で全社展開する新基準を推奨。IT部門が工数をかけずにこれを乗り切るための対応策も提示している。

Share
Tweet
LINE
Hatena

 AI技術の急速な発展に伴い、ソフトウェアの脆弱(ぜいじゃく)性が発見されてから悪用(エクスプロイト)されるまでの期間が劇的に短くなっている。そこでMicrosoftは2026年7月8日(現地時間)、企業や組織における「Windows」更新プログラムの展開ガイダンスを改定した。

 従来の運用習慣であった「セキュリティパッチ適用の意図的な延期」を見直し、更新プログラムのリリースから3日未満で全デバイスへ展開することを強く求める新たな推奨基準を打ち出した。

 これまで手動での検証や社内調整に時間を費やしてきたIT部門にとっては、運用の転換を迫られる厳しい要求だ。そこでMicrosoftは、IT部門の運用工数を増やすことなく、この高速展開をクリアする現実的な対応策も提示している。

MicrosoftがIT管理者に求める新たな更新猶予ポリシー

 サイバーセキュリティ業界において、セキュリティ更新プログラムの総数は右肩上がりに増加している。Microsoftのデータによると、同社製品における対処済みの脆弱性数は2026年4月以降増加傾向にあり、同年6月には単月で206件に達した。この傾向は今後加速すると予測されている。

 この脅威の背景には、攻撃者と防御側の双方がAIを活用している点がある。Microsoftが開発したマルチモーダル自律型エージェントスキャンハーネス「MDASH(Multimodel Agentic Scanning Harness)」による検証において、5月の月例パッチチューズデー(Patch Tuesday)を前に、Windowsのネットワーク認証スタック全体から16件の新しい脆弱性が事前に検出された。この中には、リモートコード実行(RCE)を可能にする重大な(Critical)欠陥が4件含まれていた。

 AIの導入により、ソフトウェアの脆弱性が発見されてから攻撃コードが作成され、実際に悪用(ゼロデイ攻撃を含む)が開始されるまでの期間は、従来の「数週間」単位から、現在では「数時間」単位へと圧倒的に短くなっている。IT管理者がセキュリティパッチの発行から数週間も適用を猶予している場合、その空白期間はAIを駆使する攻撃者にとって格好の標的となり、既知のセキュリティギャップを突いた攻撃を受けるリスクが高くなる。

 Microsoftは、このAI加速型脅威に迅速に対応するため、組織のセキュリティ体制とリスク管理の再考を促し、デバイスへの最新パッチ適用を可能な限り早く実施させるための新たなポリシーを推奨している。

  • 品質更新プログラム(Quality Updates)の延期期間(Deferral Period):3日未満
  • 適用デッドライン(Deadlines):0日または1日
  • 更新猶予期間(Grace Period):最大2日

 これらのタイムバウンド(期限付き)ポリシーを導入することにより、配布から数日以内に組織内の全てのクライアント環境に修正プログラムを行き渡らせることが可能になる。

IT部門の工数を増やさない3つの推奨ステップ

 パッチの適用頻度や速度を上げると、組織内での業務中断や頻繁なPC再起動が懸念されるが、Microsoftはクラウド管理ツールを組み合わせた自動化と、再起動を不要にする技術によってこれを解決している。

 ポリシー制御による更新プログラムの配信をしている場合、これらの設定は「Windows Autopatch」および「Microsoft Intune」を介して容易に構成可能だ。「Microsoft Configuration Manager」や「Windows Server Update Services」(WSUS)といった従来の更新管理ツールを利用している場合でも、同等の期限付きポリシーを構成できる。

 Microsoft Intuneにおいては「ホットパッチ」(Hotpatch)による更新がデフォルトで有効化されている。同技術により、更新プログラムのインストール後、PCの再起動を待つことなく即座に保護機能が有効化される。これにより、露出時間を減らし、エンドユーザーの業務中断やデバイスの再起動回数を最小限に抑え、スムーズな運用を維持しつつ迅速な防御体制を構築できる。

 最新のセキュリティパッチが適用されていないWindowsクライアント、「Microsoft Edge」などのWebブラウザおよび「Microsoft 365」アプリに起因するリスクを限定的に抑えるため、IT管理者は以下のステップを実行することが推奨される。

  • 現状の露出状況の評価:Windows Autopatchのレポート機能を活用し、Windowsデスクトップインフラストラクチャの現状を把握する。どのデバイスが最新状態に保たれており、どのデバイスで更新プログラムが不足しているかのベースラインを明確にする
  • ポリシーの自動化(Set and Forget):現在および将来の更新プログラム展開を自動化するため、Microsoft IntuneでWindows Autopatchを設定し、リングベースの展開(段階的展開)を構成する。Microsoft 365アプリについては「月次エンタープライズチャネル」(Monthly Enterprise Channel)を使用するようサービスプロファイルを設定する
  • 条件付きアクセスによる未対策デバイスの遮断:ポリシーに準拠していない、または安全性が確認できないデバイスからのアクセスを制限するため、「条件付きアクセス」(Conditional Access)ポリシーを導入する。これにより、最新のセキュリティ要件を満たした信頼できるデバイスのみが社内リソースにアクセスできるよう制御し、未対策の端末を経由した組織内への脅威の侵入を防ぐ

 AIによって脅威が高まる中で、組織のリスクを低減しセキュリティ体制を強化するためには、これらの統合的なアプローチと迅速なパッチ管理の自動化が不可欠となっている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る