■WSUSとは
WSUS(Windows Server Update Services):
Microsoftが提供する無料の更新プログラム管理ツールで企業などのネットワーク内でWindows OSやMicrosoft製品のアップデートを一元的に管理・配布する
つまり、企業内のWindows Updateの管理をWSUSに集約することで運用負荷やNWリソースへの負荷を減らしているということですね。
Updateの適用如何は企業内端末のセキュリティに直結する問題なので、非常に重要な役割を担っています。
では、なぜいまさらそのお話をしているかというと...。
■どうなるWSUS...今後の展開
実はWSUSが非推奨化され新機能の開発などがされなくなってしまいました。
公式:MSページ
理由としては、MSアプリケーションのアップデート方法の変化やオンプレミス(WSUS)からクラウド移行の流れが挙げられます。
WSUSを運用するにしても、オンプレミスだと基盤となるサーバーの保守やアップデート内容の確認など手間が多いです。
トラブルが起きた際も筐体での原因切り分けや復旧など対応するのは現場の担当者です。
そういった課題の解決策としては当然の流れかもしれません。
新機能の開発が止まっても、使用することは可能ですしセキュリティアップデートなどは行っていくというのがMSの方針です。
しかし、日々新しい機能が実装されていくWindows OSに対して、開発が終了したWSUSは少しずつ対応するのが遅れていくというのは必定と言えます。
そういったわけで現場担当者の方々はWSUSに代わる代替案を模索していることと思われます。
もちろんMSからはWSUSとは異なるアップデート手段も提供されています。
Azure Update ManagerやIntuneなどがそれにあたりますね。
つまり現場担当の方には少なくとも
①リスクを承知でWSUS継続
②MSの製品で代替え手段を探す
③他メーカーでアップデートの役割を補完できる製品を探す
という選択肢があります。
というわけで私の都合ではありますが、Tanium担当として"Taniumで対応できるかどうか"というお話をさせていただきます。
■WSUSの代わりにTaniumを利用するメリット
まず運用において課題となる通信の観点部で両者の立ち位置をまとめてみました。
通信から見る両者の特長
| 観点 | WSUS | Tanium |
|---|---|---|
| 外向き通信量 | 最小(原則1回) | 少なめ(拠点/セグメント代表ノード) |
| 内部通信量 | 通常量(1ノードずつ集中配布) | 非常に効率的(リニアチェーン) |
| 回線ピーク | 出やすい | 分散可能(時間による分散設定やリングデプロイによる段階展開) |
| 拠点/VPN | 要考慮 | 容易 |
内外の通信に関してはWSUSの場合はWSUSが受け取れば基本的に完結するので通信によるやりとりという意味では最高効率です。
Taniumの場合も、NWの特定のセグメントの代表(ピア)がデータを受信してからは内部でチャンクデータ(データを構成する小さいパーツ)としてお互いにやりとりする特許技術のおかげでパッチが効率的に配布されます。WANとLAN側の両者の負荷が効率よく削減されますね。
次に、運用における課題の観点で見てみます。
運用から見る両者の特長
| 観点 | WSUS | Tanium |
|---|---|---|
| 保守 | サーバ保守が必要 | SaaS中心で最小(オンプレミスも可能) |
| 作業実施時の負荷 | 計画・手作業多め | 適用基準を設定し自動化可能 |
| 端末適用状況の可視性 | 間接的・定期通信の為遅延あり | リアルタイムにモニター可能 |
| 新規端末への対応 | GPOなどの設定が付随 | エージェントインストールのみ |
現状の管理の形態にもよりますが、脆弱性管理およびそれに付随した資産の管理を目的にシームレス化されているTaniumの運用も良さそうですね。
別途Patchモジュールの記事を書く際に詳細にお見せできるとは思いますが、TaniumのPatchモジュールはエンドポイントに対する可視性が非常に高いです。
パッチ適用が可能な端末が環境内にどれくらいあるか、という点も自動でスキャン可能なので状況把握にいちいち工数を割く事も不要になります。
また、パッチ適用前に適用後の端末への影響度を把握できるConfidence Scoreといった機能もあります。
パッチ適用によりかえって問題が生じるといったありがちな問題も事前に察知しリスクヘッジすることが可能です。
それでも不安があれば、「テスト環境の〇%でパッチ適用が成功したら、本番環境のAグループに適用。Aグループの〇%で適用完了したら~」のような段階的な自動展開も可能です。
Patchモジュール以外で言えば、Complyモジュールを利用すればパッチではなく脆弱性表示画面から「脆弱性を解消するためのパッチ」をワンクリックで表示したり適用画面へ移動することも可能です。
また、言わずもがなですがQuestionを利用することで脆弱性やパッチ以外の端末のリソース状況や利用状況もリアルタイムに把握可能です。
このように、WSUSの変化にもしっかりと対応できるのはTaniumならではなのではないでしょうか。
■最後に
WSUSには非常にお世話になったという方々も多いのではと思います。
WSUSの運用手順などもしっかり準備してあればなおさら運用を変えずに使い続けたいと思うかもしれません。
ただ、もし他の選択肢を探しているという事であればTaniumについてもご一考いただけると幸いです。
※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
正確性、最新性、完全性は保証できませんのでご了承ください。
他のオススメ記事はこちら
著者紹介
SB C&S株式会社
技術本部 技術統括部 第4技術部 1課
宮澤 建人
