今回は、Windows ServerとSQL Serverの「拡張セキュリティ更新プログラム（Extended Security Updates《ESU》）の話題を取り上げます。ESUは製品サポート終了後も最大3年間、セキュリティ更新プログラムを受け取れるサービスです。ESUもWindows Serverのホットパッチと同様に、Azure Update Manager（必須ではありません）やAzure Arcが関係してきます。

　Windows Server 2016は2027年1月12日に、SQL Server 2016は2026年7月14日に、延長サポートが終了し、製品のライフサイクルが終了します。これらの環境を運用している場合、1年後には何らかの対応を迫られることになります。ESUは、OSのアップグレードやサーバーのリプレースができない場合の残された対応策（猶予策）です。オンプレミスの物理/仮想インスタンスをAzureにリフト＆シフトすれば、最大3年間、ESUのセキュリティ更新プログラムが無料で手に入ります。オンプレミスに設置したまま、Azure Arc（従量課金）または年ごとの契約（要ソフトウェアアシュアランス）でESUのセキュリティ更新プログラムを有料で入手することもできます。

Windows ServerとSQL Serverの拡張セキュリティ更新プログラム（ESU）

　拡張セキュリティ更新プログラム（ESU）は、特定のレガシバージョンのMicrosoft製品のサポート（延長サポートフェーズ）終了後に、最大3年間、セキュリティ更新プログラムを受け取れるサービスです。このサービスは、長期的なものではなく、サポートされている新しいプラットフォーム（OSのアップグレード、サーバーのリプレース、クラウドへの移行など）に移行するまでの暫定措置として提供されるもので、Windows ServerおよびSQＬ Serverのバージョン2008/2008 R2の製品サポート終了に併せて始まりました。

　Windows Serverに対しては、Microsoft Security Response Center（MSRC）による評価で緊急（Critical）または重要（Important）なセキュリティ問題に対する修正プログラムが提供されます。SQL Serverに対しては、緊急（Critical）のセキュリティ問題に対する修正プログラムが提供されます。

　なお、クライアントOS向けには、過去にWindows 7に対して企業向けESUが提供されました。2025年10月14日に製品サポートが終了するWindows 10バージョン22H2向けには企業および個人向けESU^*1が提供される予定です（Windows 8/8.1向けにESUは提供されませんでした）。こちらも、緊急（Critical）または重要（Important）なセキュリティ問題に対する修正プログラムが提供されます。

^{*1　Windows 10の拡張セキュリティ Updates (ESU) プログラム｜Windows（Microsoft Learn）}

Windows ServerとSQL Serverの拡張セキュリティ更新プログラム（ESU）提供スケジュール

^{*2　https://learn.microsoft.com/ja-jp/lifecycle/products/windows-server-2008
*3　https://learn.microsoft.com/ja-jp/lifecycle/products/windows-server-2012
*4　https://learn.microsoft.com/ja-jp/lifecycle/products/windows-server-2016
*5　https://learn.microsoft.com/ja-jp/lifecycle/products/microsoft-sql-server-2008
*6　https://learn.microsoft.com/ja-jp/lifecycle/products/microsoft-sql-server-2012
*7　https://learn.microsoft.com/ja-jp/lifecycle/products/sql-server-2014
*8　https://learn.microsoft.com/ja-jp/lifecycle/products/sql-server-2016}

^{*9　Windows Server 2016とSQL Server 2016のESUの終了日は未発表）}

^{*10　製品サポート終了日およびESUの終了日は通常、第2火曜日ですが、2027年7月12日（月）に設定されている理由は不明です。}

　現在提供中のWindows Server 2012/2012 R2のESUは、「月次ロールアップ（Monthly Rollup）」して毎月第2火曜日（米国時間）にリリースされています。^*11 Windows Server 2016についても、同様に「Windows Server 2016の累積更新プログラム（Cumulative Update）」として毎月リリースされることになるでしょう。
^{*11　Windows 8.1 and Windows Server 2012 R2 update history｜Support（Microsoft）}

　SQL Server向けのESUの更新プログラムは、緊急（Critical）のセキュリティ問題に対する修正のため、不定期にリリースされます。現在提供中のSQL Serverの場合、SQL Server 2012向けに2023年2月にKB5021123^*12 がリリースされました。SQL Server 2024向けにはまだリリースされていません。
^{*12　https://support.microsoft.com/help/5021123}

Azure VMならどちらのESUも無料、追加設定も不要

　Azure VMおよびAzure Local上のVMの場合、ESUが提供されているバージョンのWindows ServerやSQL Serverを実行するVMには、通常のWindows Updateを通じてESUが提供されます（画面1）。ESUを受け取るために追加の設定は何も必要ありません。Azure VMではAzure Update Managerの利用が無料なので、もちろんAzure Update Managerで更新管理をすることもできます（画面2）。

画面1　Windows Server 2012 R2のESUは月次ロールアップとしてWindows Updateで入手できる。SQL Server 2012のESUも、Microsoft Updateにオプトイン済みであればWindows Updateを通じて取得できる

画面2　ESUの更新プログラムは、もちろんAzure Update Managerでも管理できる。Azure VMの場合、ESUもAzure Update Managerの利用も追加コストなし

Azure以外のマシンの場合は...

　Azure以外のオンプレミスや他社クラウド上の物理サーバーやVMの場合、ESUを取得する方法は複数あります。その第1の候補となるのが、Azure VMへのリフト＆シフトです。Azure VMに移行してしまえば、ESUのために追加設定なし、かつ無料（Azure VMの使用量は別）でWindows UpdateやAzure Update Managerを使用して、ESUの更新プログラムのダウンロードとインストールが可能になります。

　オンプレミスの物理サーバーやVMのAzureへのWindows ServerやSQL Serverの移行には、Azure Migrateを利用できます。VMwareなどのハイパーバイザー上で動作しているVMや、物理サーバーについては、Hyper-V VMにP2V/V2Vで移行して、その後、Azureに移行するという方法もあります。Hyper-VはAzureと共通のテクノロジに基づいているため、Hyper-V VMからAzure VMへの移行は比較的簡単です。P2V/V2Vについては、この連載のVMwareからHyper-Vへの移行メモが参考になるでしょう。

Azure Migrateとは｜Azure（Microsoft Learn）
メモ.　手間はかかるが金いらずのV2V: VMwareのWindows VMをHyper-Vへ (その1）
メモ.　手間はかかるが金いらずのV2V: VMwareのWindows VMをHyper-Vへ (その2)

　現在のAzure以外のオンプレミスや他社クラウド上の物理サーバーやVMをそのまま維持したい場合、ESUを取得する方法は複数あります。ただしその場合、大前提として、ESUを購入するには、Windows ServerやSQL Serverにソフトウェアアシュアランス（SA）が付いている必要があります。SAのないマシンでESUを購入することはできません。

　Azure VM以外のESUの取得方法について詳しくは、以下のドキュメントで確認してください。Windows Server 2016およびSQL Server 2016のESUについては、EOSが近づき、詳細が確定し次第、ドキュメントがアップデートされるはずですので、最新の情報を確認してください。

Windows Server の拡張セキュリティ更新プログラム (ESU) を取得する方法｜Windows Server（Microsoft Learn）
SQL Server 用の延長セキュリティ更新プログラムとは｜SQL（Microsoft Learn）

　現在提供中のESUを前提としますが（※今後、手順が変更されたり、新しい方法が追加されるかもしれません）、ESUの取得方法は大きく分けて2つあります。1つは、Microsoft 365管理センターから年ごとのESU（1年目、2年目、3年目）を購入する方法です。Windows ServerのESUの場合は、購入したESUのライセンス認証キーをサーバー側でアクティブ化します。SQL Serverの場合は、Azureポータルにインスタンスを登録し、ESUの請求書を関連付けます。

　もう1つの方法は、Azure Arc対応サーバーとしてAzure Arcに接続する方法です。Azure Arc対応サーバーとして接続し、ESUに登録すると、ライセンス認証キーの入力などなしで、Windows UpdateからWindows ServerとSQL ServerのESUの更新プログラムを受け取れるようになり、従量課金で毎月利用料が請求されます。Azure Arc対応サーバーのスクリプトによるオンボード方法では、SQL ServerのAzure Arcへの登録を同時に行うオプションがあります（画面3、画面4）。なお、この方法、Azure Arc対応サーバーを通じてESUを購入する場合、Azure Update Managerのサービスを追加コストなしで利用できます。^*13

^{*13　Azure Arc対応サーバーを通じてESUが有効化されている、Azure Arc対応サーバーをホストするサブスクリプションでMicrosoft Defender for Serversプラン2が有効になっている、アクティブなソフトウェアアシュアランス（SA）のあるWindows Serverライセンス、アクティブなサブスクリプションライセンスであるWindows Serverライセンス（Microsoft CSP経由）、およびAzure Arc対応サーバーを通じた従量課金制（PAYG）ライセンスである場合、Azure Update Managerを追加コストなしで利用できます（Azure Update Managerに対する課金は発生しません）。
Azure Update Managerのよく寄せられる質問: Arc 対応サーバーが Azure Update Manager に対して課金されないシナリオはありますか?｜Azure（Microsoft Learn）}

画面3　Azure Arc対応サーバーのオンボード時にSQL Serverインスタンスを自動的にAzure Arcに接続するオプション

画面4　ESUライセンスを作成して、Azure Arc対応サーバーを登録することで、ESUの更新プログラムの受信が可能になる

　Windows ServerのESUの更新プログラムはWindows Server Update Services（WSUS）にも同期されるため、更新ソースとしてWSUSを利用することが可能です。一方、SQL ServerのESUの更新プログラムは、Azure VMおよびAzure Arcに接続されたマシンに対してWindows Update経由で提供されますが、WSUSに同期されることはありません。Windows Update経由で入手できない環境（Azure Arcに接続されていないオンプレミスのSQL Serverや、WSUSで管理されているマシン）にある場合は、AzureポータルからESUの更新プログラムをダウンロードして、手動でインストールする必要があります。

　最後に、Windows ServerのESUの更新プログラムは、Microsoft Updateカタログから誰でもダウンロードできますが、インストールできるのはESUを受け取れる権利のある環境だけです（画面5）。

画面5　ESUを購入していない（ESUのライセンス認証キーでアクティブ化していない）Windows Server 2012 R2に、Microsoft UpdateカタログからダウンロードしたESUの更新プログラムをインストールしようとしたところ

Azure Update Managerでサーバ更新管理 （1）｜（2）｜（3）｜（4）｜（5）｜（6）｜（7）｜（8）｜（9）｜（10）