2021年5月19日 / 最終更新日時 : 2021年5月19日 csadm クラウド

Windows10 新FU登場!BigFixでFUの業務影響ゼロ適用

2021年5月も中旬に入り、企業のIT担当者様には憂鬱な季節がやってきました。
そうです、Windows10 の新しいのFU(FeatureUpdate)公開と、旧FUのサポート終了です。

新FUと旧FUのサポート終了

Windows10の新FUのVersion 21H1、MicrosoftのWindowsブログによると、新機能は小規模となっています。

  • Windows Helloの顔認証が複数のカメラに対応
  • Windows Defender Application Guardの性能向上
  • WMIの性能強化

私としても、「確かに必要とする人はいると思うけど、あまり自分には関係ないかなぁ」というのが正直な所です。

そして、憂鬱になるのが、旧FUのサポート終了(EOL)です。
多くの企業で使用されているWindows10はProエディションですが、Version 1909が2021/5/11にサポート終了を迎えました。
Version 1909に関しては、2021年6月以降はQU(QualityUpdate)などの毎月定例アップデートが提供されなくなるため、脆弱性対応するためにはVersion 2004以降へのアップデートが必要になります。

Version 1909からどのFUにしますか?

さて、このVersion 21H1、小規模の更新になるのでVersion 2004/20H2で月々のQUを適用していれば、イネーブルメントパッケージという小さな更新パッチの適用だけで完了です。簡単ですね。

しかし、企業の業務PCでどのくらいがVersion 2004/20H2でしょうか? 個人使用も含めた使用率は80%を越えているようです。(AdDupleの調査。「AdDuplex Report for April 2021」)

実際、弊社のお客様企業を見ていても、Version 2004/20H2が中心の企業はない印象です。
Version 20H2の登場当初の、電子証明書が失われる不具合のためアップデートを延期したお客様や、業務アプリのFU対応状況に左右されて、ようやく昨年12月にVersion 1909にアップデートしたお客様もいます。(半年待たずにEOLを向かえました😢)

このような例から考えてみると、企業ではイネーブルメントパッケージを利用したVersion 21H1へのアップデート実施はなかなか難しいというのが実態ではないでしょうか?

先頃サポート終了を向かえたVersion 1909からのアップデートを計画する場合、登場したばかりの21H1はバグ等の懸念もあるため、(2021/12にサポート終了を向かえる)Version 2004ではなく、Version 20H2の選択になる企業が大半かと思います。
Version 20H2にもイネーブルメントパッケージは存在するものの、Version 1909からのアップデートでは使用できず、数GBのパッチを適用しなければなりません。

FU適用の課題

ご存じの通り、FU適用時のパッチは数GB。5GB以上になることもあります。
企業様ではWindowsServerの標準的なパッチ適用ツールであるWSUSを利用していることも多いでしょうが、FU適用では多くの課題があることが知られています。
もしかすると、この記事を読んでいるIT担当者様が実際に経験したものもあるかも知れません。

  • クライアントPCがFUのパッチをダウンロードし、回線がパンクした。特に帯域が細い遠隔拠点が深刻で、業務影響が発生した。
  • クライアントPCでFU適用が勝手に開始され、PCが1~2時間使えなくなった。工場内生産管理端末でその事象が発生し、生産に深刻な影響が発生。関係企業にも迷惑をかけた。
  • FU適用の進捗状況が分からない。どれだけの端末が適用完了し、未適用端末がどのくらいあるのかの把握が難しい。
  • FU適用に失敗したPCがあっても、何が原因で失敗したかの把握が難しい。また、リトライのタイミングも制御できない。

・・・課題が多いですね。😢

しかし、回線パンクの対応に対しては、Microsoftもいくつかの解決方法を提示しています。

  1. BITSでクライアントの使用帯域を制御する。
  2. WSUSサーバのIISの設定変更や、QoSの変更で対応する。
  3. 分散ブランチキャッシュ機能を用い、セグメント内PC間でキャッシュを持ち合う。

以前、弊社のお客様企業のIT担当者様が上記機能を駆使してFU適用を実施しようとしたところ、

  1. BITSによる帯域制御はクライアントの制御。多数のクライアントPCが一度にWSUSにアクセスすると結局パンクする。
  2. WSUS側の帯域制限では効率の良いパッチ配布ができない。
  3. 分散ブランチキャッシュを効率よく適用するためには、セグメント内PCを段階的にFU適用対象にするため、管理工数がかかる。

などとうまくいかず、結果的に工数がかかるばかりだったとのことでした。

BigFixで課題解決

そこで弊社はHCL社のBigFixをおすすめしています。BigFixには様々なエディションが存在しますが、パッチ適用に特化したライセンスはクライアントPC1台当たり数百円という、とてもお求めやすい価格帯です。

では、BigFixでは課題をどのように解決するのでしょうか?

  • 帯域負荷制御
    • リレー機能
      リレーPCを設定することにより、BigFixサーバからの配布パッチをキャッシュし、クライアントPCへはリレーから配布することで、ネットワーク負荷を低減。
      リレーPCはサーバースペックは不要。通常の業務端末でOK。クライアントPC間でのパッチ配布の機能もあります。
    • 柔軟な帯域制御
      BigFixサーバ、リレーPC、クライアントPCそれぞれで設定できる柔軟な帯域制限機能があります。
BigFix帯域負荷制御
BigFix帯域負荷制御
  • ユーザー任意のタイミングでのFU適用
    • メッセージ機能
      FU適用前にクライアントPCにメッセージを表示する機能があり、ユーザー自身が業務影響のないタイミングでFU適用実施することできます。
      また期限設定により、いつまでもFU適用しないユーザーの発生を防げます。
BigFixメッセージ設定画面
BigFixFU適用メッセージ表示設定画面

クライアントPC側メッセージ表示

  • FU適用進捗の把握
    • レポート機能で、FU適用完了/未完了の把握も容易です。
    • FU失敗時のリトライや実行ログの確認も容易です。
BigFixFU適用レポート(グラフ)
BigFixFU適用レポート(グラフ)
BigFixFU適用レポート(PC)
BigFixFU適用レポート(PC)
BigFixアクション実行リトライ設定画面
BigFixアクション実行リトライ設定画面
BigFixアクション実行ログ
BigFixアクション実行ログ

などの機能でIT担当者様の悩みを解決することができます。

もちろん、BigFixはVersion 20H2に対応済みですのですぐにFU適用に使用できます。当然、Version 21H1にも対応予定。21H1公開後、およそ1ヶ月程度後には適用するためのFixlet(パッチ適用ジョブ)が公開されると思われます。

弊社のBigFixでのFU適用お客様事例(一例)

弊社でBigFix運用代行をおこなっている、お客様のFU適用事例を紹介します。
クライアントPC数はおよそ、3000台。お客様は150カ所の遠隔拠点をもち、そのほとんどの拠点の帯域が10Mbps。
一部クライアントPCは個人情報取扱の端末であり、厳格なセキュリティ要件がありました。
このお客様に対し、弊社では

  • 遠隔拠点にリレーPCを配置し、遠隔拠点内はリレーからキャッシュ配信することで、中央拠点と遠隔拠点の帯域負荷を低減
  • 遠隔拠点のリレーPCへは帯域制限を設定、パッチファイル(FU適用ISOイメージファイル)をネットワーク負荷による業務影響がないように各クライアントPCへ配信
  • 夜間にFU適用実施。FU適用に関してはBigFixが提供しているFixlet(パッチ適用ジョブ)に簡単なカスタマイズを施して実行。
    夜間に実施することで、業務影響をゼロを実現
  • セキュリティ運用上、夜間起動が許されない高セキュリティPCは業務終了のタイミングでメッセージを表示、ユーザータイミングで実施することで、業務影響をゼロを実現

他にも様々な工夫をしていますが、業務影響ゼロのFU適用が実現でき、一晩でFU適用が96%完了したことで、お客様に大変ご満足いただけました。

パッチ対応にお困りではないですか?
BigFixについては是非弊社にご相談ください。

投稿者プロフィール

csadm
スタッフブログ_カテゴリー
クラウド
採用

前の記事

面接官はなぜ「一番頑張った事」を聞くのか
2021年3月17日
セキュリティ

次の記事

セキュリティインシデント時の人手によらない迅速なネットワーク隔離の必要性
2021年11月18日