ITニュース.　企業のパッチ管理の基盤「WSUS」が非推奨へ、どうする！？オンプレのパッチ管理

60秒で振り返るWSUSの歴史

　WSUSの歴史は古く、最初のリリースは2002年6月の「Software Update Services（SUS）1.0」であり、MicrosoftがWindows Update（Microsoft Update)を通じて提供するWindows、やInternet Exolorer（IE）の更新パッチ、およびWindowsのサービスパック（Service Pack）を、オンプレミスのサーバーにダウンロードし、オンプレミスの配布ポイントとしてクライアントに更新を配布する無料のパッチ管理ソリューションでした。その後、WSUSに改名され、WSUS 2.0、WSUS 2.0 SP1、WSUS 3.0、WSUS 3.0 SP1、WSUS 3.0 SP2とバージョンアップが行われ、Windowsだけでなく、OfficeアプリケーションやMicrosoftサーバー製品、マルウェア対策の定義ファイルなど更新に対応した製品や分類が大幅に増えました。また、無料（Windows ServerのOSライセンスは必要）だということもあって、企業のオンプレミスの標準的なパッチ管理ソリューションとして広く利用されました。WSUS 4.0でWindows Server 2012のサーバーの機能として同梱され、それ以降、OS標準の役割として今日まで提供されてきました（画面1）。

画面1　Windows Server 2022のWSUS管理コンソール

　WSUS 4.0以降、WSUSの基本機能に新たな変更は加えられていませんが、サポート期間中のサーバーOSで動作するWSUSについては、最近の以下の例のようにWindows Updateのや要件の変更などが行われています。

Windows Server 2019 以降 WSUS レポート機能のソフトウェア要件について（2024-03-08）｜Japan Microsoft Configuration Manager Support Team Blog
Microsoft Update カタログから更新プログラムをインポートする手順が変更されました（2023-07-27）｜Japan Microsoft Configuration Manager Support Team Blog
オンプレミス環境向け UUP 更新プログラムを提供開始しました（2023-05-30）｜Japan Microsoft Configuration Manager Support Team Blog

　WSUSのレポート要件については、Windows Server 2016以降の前提であった「Microsoft Report Viewer Runtime 2012（およびMicrosoft System CLR Types for SQL Server 2012）」のサポートが2023年1月に終了（→ Microsoft Lifecycle）したことへの対応であり、Windows Server 2019およびWindows Server 2022上では2023年10月の累積更新プログラム以降、Report Viewerの要件が削除されました。つまり、サポートが終了したコンポーネントへの依存性が削除され、インストールされている場合はアンインストールできるようになったわけです（レポート機能は前提コンポーネントなしで使用できます）。更新プログラムのインポートする手順の変更は、非推奨になったIEやActiveXコントロールへの依存性を削除するためのものです。そして、UUP（Unified Update Platform）への対応は、Windows 11で採用され、その後、Windows 10にも導入された、新しい更新モデルへのオンプレミスでの対応を提供するものです。

　WSUSが非推奨リスト入りしたことで、今後、こういった対応が期待できなくなります。例えば、Windows Updateに劇的な仕様変更が加えられた場合、WSUSで管理できなくなるということも否定できません。

WSUS以外のMicrosoft純正パッチ管理ソリューションは、有料のクラウドベースのソリューションだけに

　Microsoftの発表によると、WSUS非推奨化は、クラウドからのWindows管理の簡素化というビジョンの一環として行われるもので、WSUSはWSUSチャネルを通じて公開済みの更新プログラムとともに引き続き利用可能であり、今後もWSUSチャネルを通じて新しい更新プログラムが継続して公開されるとのことです。また、ソフトウェア更新ポイントとしてWSUSを利用する「Microsoft Configuration Manager」の使用には少なくとも現行バージョンについては影響されません。^*1 しかし、WSUSは開発終了扱いとなり、新機能への投資や、WSUSへの新機能リクエストの受付は終了します。
*1　Microsoftは言及していませんが、Microsoft Confguration Managerは年3回という短いリリースであるため、WSUSへの依存部分が将来別の機能に将来変更になる可能性は否定できません。

　WSUSは長く企業のオンプレミスの更新管理基盤として利用されてきました。しかし、規模によってはパフォーマンスが大きく低下する（特に既定で無料のWindows Internal Database（WID）を使用した場合）、同期に長い時間がかかる、WSUSのデータがディスク領域を逼迫させる（特に後述のUUPへ移行してから）、データベースやファイルシステムの定期的なクリーンアップやメンテナンスが欠かせない、テレワークの普及でクライアントデバイスの更新をうまく管理できなくなったなど、WSUSを運用している企業はさまざまな課題を抱えていると聞きます。また、クイック実行形式（C2R）に移行したOfficeアプリをWSUSで管理できないなど、Microsoft製品の更新を一元的に管理できていた以前とは状況が変わってきたこともあります。Windows 10の初期には、Windows 10のWindows Updateの検索と、WSUSの検索がコンフリクトするというデュアルスキャン問題もありました。

　年内にリリースされる予定の「Windows Server 2025」では、WSUSは非推奨リスト入りしましたが、引き続きサーバーの役割としてインストールして利用することはできます。しかし、非推奨リスト入りした以上、新たにWSUS環境を導入するのは避けるべきでしょう。また、現在、WSUSを利用している企業や組織は、WSUSに変わるパッチ管理ソリューションの検討を開始するべきです。WSUSからの移行を決して急ぐ必要はありませんが、現在、WSUSの運用管理で問題を抱えているのだとしたら、早々にWSUS以外のソリューションに移行するべきです。

　WindowsやWindows ServerのWindows Updateに任せることは可能ですし、グループポリシーを使用してWindows Udpateを管理することは可能です（Windows 10の初期に「Windows Update for Business」と呼ばれていた遅延ポリシー）、その場合、ネットワーク帯域の圧迫が問題になる可能性があります。また、必要な更新プログラムの評価や更新状態を一元的に管理する機能を備えていません。

　Microsoftが現在、提供している、WSUS非依存のサービスとしては、「Microsoft Intune」によるWindowsの更新プログラムの管理機能（画面2）、Microsoft Intuneにテナントを登録してアクティブ化できる「Windows Autopatch（Windows自動パッチ）」があります（画面3）。Windows Autopatchは、以前は「Windows Update for Business Deployment Service（展開サービス）^*2」と呼ばれていたものです。Windows Serverについては、「Azure Update Manager」があります（画面4）。いずれも、オンプレミスのクライアントデバイスやサーバーを管理する場合は、有料のサービスです。つまり、無料で利用できるWSUSの代替機能を、Microsoftは提供していません。
*2　Windows 10の初期にあった「Windows Update for Business」のポリシー設定と「Windows Update for Business Deployment Sercvice」（現在のWindows Autopatch）は全く別のものです。
Consolidating update management for enterprises｜Windows IT Pro Blog（Microsoft Tech Community）