2023.03.23(2023.08.09更新)

業務効率化

WSUS(ダブルサス)とは?その導入メリットや機能一覧、導入手順や注意点を解説

Windowsのパソコンやサーバーを最新の状態で使うためには「Microsoft Update」を実施し、更新プログラムを適用する作業が必要です。しかし、企業など組織においては複数のパソコンを管理しているため、アップデートの管理だけで膨大な手間がかかってしまうでしょう。さらに社内のパソコンやサーバーが一斉にアップデートを行うと、通信回線を圧迫して業務に影響が出てしまうリスクもあります。
このような問題を解消するために有効な手段が「WSUS(ダブルサス)」です。この記事ではWSUSとはどんなものか、導入メリットや注意点ついて解説していきます。導入を検討している企業の方は、ぜひ参考にしてください。

MDM導入のご検討・
ご相談はこちら

WSUS(ダブルサス)とは

WSUS(ダブルサス)とは「Windows Server Update Services」の略で、Microsoft社が無料で提供しているソフトウェアです。このソフトウェアは「Windowsアップデート」や「Microsoft製品の更新プラグラム」などを制御することができ、主に多くのPCを管理する必要がある企業向けに提供されています。

WSUS(ダブルサス)の導入メリット

企業でWSUSを導入した場合、以下のような4つのメリットがあります。

  • 更新プログラムの管理ができる
  • 社内の各PCのグループ化ができる
  • 更新プログラム適用状況の把握ができる
  • インターネットの通信回線を圧迫しない

以下の項目で、それぞれについて解説をしていきます。

更新プログラムの管理ができる

WSUSを使用すれば、更新プログラムの種類や更新プログラムの適用タイミングを制御することができます。

Windowsアップデートはサイバー攻撃やウイルスから守るために必要不可欠ですが、更新プログラムに問題がある場合もあります。特に注意が必要なのは、アプリケーションの動作に不具合が出るケースです。最新のOSにアプリケーションが対応しておらず不具合が発生する場合や、使用しているパソコンで作業ができなくなることも考えられます。

社員が個人的にアップデートを行うと、上記のような問題が発生する場合があります。しかしWSUSを導入することで、管理者側で動作確認を行ってから更新プログラムを配信できるため、業務に影響する不具合を事前に取り除くことが可能になるのです。

社内の各PCのグループ化ができる

WSUSでは、社内で利用している各パソコンをグループで管理することができます。設定したグループごとに更新プログラムを適用させることや、特定の部署に不要なプログラムは更新しないということもできるのです。

例えば更新プログラムを適用する場合、全社のパソコンを一度に更新してしまうと、サーバーやネットワークにかなりの負荷がかかります。それを防ぐために、部署ごとに更新の日程をずらすという使い方も可能です。

更新プログラム適用状況の把握ができる

WSUSは、各パソコンへの更新プログラムの適用状況や、更新プログラムごとの各パソコンへの適用状況をレポートで確認することができます。容易に各パソコンの適用状況を把握することができるので、更新漏れを防ぐことができ、セキュリティリスクや不具合の発生を抑えるのに有効です。

インターネットの通信回線を圧迫しない

更新プログラムの適用にはインターネット通信が必要になるため、企業で一斉にアップデートを行うと、インターネットの通信回線に大きな負荷がかかります。しかしWSUSを導入した場合、社内にあるWSUSのサーバーだけがアップデートサーバーに接続するため、通信の負荷を軽減することができるのです。
WSUSを利用したアップデートでは、WSUSを導入したサーバーが更新プログラムを受け取ります。そのサーバーが取得したアップデートファイルを社内の各パソコンに配布するため、インターネット通信で更新プログラムを受け取るのはWSUSサーバーのみです。そのためインターネットの通信回線に負荷をかけることがなく、通信の圧迫により業務に支障が出るなどのリスクを回避することができます。

WSUS(ダブルサス)の機能一覧

WSUSでは以下のような4つの機能があります。

  • 更新プログラムの制御
  • グループによる管理
  • レポート機能
  • 配布製品の管理

以下の項目で、各機能について解説をしていきます。

更新プログラムの制御

WSUSでは更新プログラムをどのように配布するか、管理者側で制御をすることができます。
制御方法は以下の4つです。

インストール 各パソコンが更新プログラムをインストールすることを許可します。更新プログラムごとにインストールの許可を設定することが可能です。
検出のみ パソコンに更新プログラムの存在を公開するのみで、インストールの許可は行いません。
削除 各パソコンの更新プログラムを強制的に削除します。
拒否 更新プログラムの検出を拒否できます。更新プログラムの拒否を実施すると、WSUSのコンソール上にも表示されません。

グループによる管理

WSUSを利用することで各パソコンをグループ分けし、設定したグループごとに管理をすることができます。特定のグループにのみ更新プログラムの配信を行うことや、逆に不要なプログラムを配信しないということも可能です。

レポート機能

各パソコンへの更新プログラムの適用状況や、更新プログラムごとの各パソコンへの適用状況など、さまざまなステータス状況を確認することができます。レポートはPDFやExcel形式でダウンロードすることも可能です。

配布製品の管理

WSUSではアップデートファイルを配布する製品・種類・言語など、詳細に設定が可能です。WindowsOSだけでなく、office製品などにも対応しています。

WSUS(ダブルサス)とActive Directoryの連携によりできること

Active DirectoryとはWindows serverに導入されている機能のひとつです。システム管理者がActive Directoryを利用することで、パソコンに関するさまざまな情報を一括して管理することができます。

企業で使用している端末が多い場合には、WSUSでアップデートの管理を行うにあたり、Active Directoryとの連携が必須といえます。連携することにより、以下の3つのことができるようになります。

  • アカウント管理
  • アクセス権限管理
  • パソコン設定の一元管理

以下の項目で、それぞれについて解説していきます。

アカウント管理

Active Directoryを導入することで、ユーザー情報を一元管理できるようになるため、「シングルサインオン」が可能になります。「シングルサインオン」とは、ひとつのIDとパスワードで複数のサービスやアプリケーションにログインできる仕組みのことです。1人あたりひとつのID・パスワードで管理ができるので、WSUSでアップデートファイルを配布する際にも業務の効率化に繋がります。

参考記事:「【図解つき】シングルサインオン(SSO)とは?機能や仕組み、導入メリット、デメリットをわかりやすく解説!

アクセス権限管理

Active Directoryではユーザー情報を一元管理するため、アクセス権限の管理を行うことができます。全ての社員が自由に企業の情報にアクセスするのは、セキュリティ上とても危険です。Active Directoryを利用すれば、範囲や人物などのアクセス権限を管理することができるようになります。

パソコン設定の一元管理

Active Directoryの管理者は、各パソコンへの管理者権限を得ることができます。そのため、権限を利用してパソコンの設定を変更したり、管理したりすることが可能です。特定の機能について設定の変更が必要な場合でも、社員1人1人が設定を行う必要はなく、管理者側で各パソコンの設定を変更することができます。設定変更の確認や催促の手間を省くことができるので、業務の効率化に繋がるといえます。

WSUS(ダブルサス)のインストール導入手順

こちらの項目では、WSUSのインストール導入手順を解説していきます。
以下の表で手順ごとに説明をしているので、参考にしてください。

1 WSUSサーバーの役割をインストールするサーバーに、ローカルの「Administrators グループのメンバーアカウント(管理者権限のあるユーザー)」を使用してログオンします。
2 サーバーマネージャーで「管理」をクリックし「ロールと機能の追加」をクリックします。
3 「開始する前に」のページで「次へ」をクリックします。
4 「インストールの種類の選択」ページで「ロールベースまたは機能ベースのインストール」オプションが選択されていることを確認して「次へ」をクリックします。
5 「対象サーバーの選択」ページで、サーバーがある場所を選択します。場所を選択したら、WSUSサーバーの役割をインストールするサーバーを選択し「次へ」をクリックします。
6 「サーバー ロールの選択」ページで「Windows Server Update Services」を選択します。 「Windows Server Update Services に必要な機能の追加」が表示されます。「機能の追加」をクリックし「次へ」をクリックします。
7 「機能の選択]」ページで既定の設定をそのまま使用し「次へ」をクリックします。
※ WSUSのセットアップ中に追加の Web サーバーの役割の構成を求められた場合は、既定値をそのまま使用しても問題ありません。
8 「Windows Server Update Services」ページで「次へ」をクリックします。
9 「役割サービスの選択」ページで、既定の設定をそのまま使用し「次へ」をクリックします。
10 「コンテンツの場所の選択」ページで、更新プログラムを保存するためのフォルダを指定します。
11 「次へ」をクリックします。「Web サーバーの役割(IIS)」ページが開くので、情報を確認して「次へ」をクリックします。「Web サーバー(IIS)のインストールする役割サービスを選択します」で、既定値をそのままにして「次へ」をクリックします。
12 「インストール オプションの確認」ページで選択したオプションを確認し「インストール」をクリックします。クリックすると、WSUSインストールウィザードが実行します。
13 WSUSのインストールが完了したら、概要ウィンドウの「インストールの進行状況」ページで「インストール後のタスクを起動する」をクリックします。クリックすると、テキストが「サーバーが構成されるまでしばらくお待ちください」に変わります。タスクが完了すると、テキストが 「構成は正常に完了しました」に変わるので「閉じる」をクリックしてください。
14 サーバーマネージャーで「再起動が必要であることを知らせる通知」が表示されるかどうかを確認します。
※ インストールしたサーバーの役割によって表示が異なる場合があります。再起動が必要な場合は、必ずサーバーを再起動してインストールを完了させてください。

WSUS(ダブルサス)の初期設定の手順

こちらの項目では、WSUSの初期設定の手順を解説していきます。
タスクごとに以下の表にまとめていますので、参考にしてください。

タスク 説明
ネットワーク接続を構成する ファイアウォールとプロキシサーバーの設定を構成し、サーバーが必要な接続を確立できるようにします。   メインのWSUSサーバーがインターネット上のMicrosoftドメインに接続できるように、ファイアウォールを構成します。 他のWSUSサーバーがメインのWSUSサーバーに接続できるように、ファイアウォールを構成します。 必要に応じてプロキシサーバーを使用するよう、WSUSサーバーを構成します。 クライアントコンピューターがWSUSサーバーに接続できるように、ファイアウォールを構成します。
WSUS構成ウィザードを使用してWSUSを構成する WSUS構成ウィザードを使用して、WSUSの基本構成を設定します。
Secure Sockets Layer プロトコルを使用してWSUS をセキュリティで保護する WSUSを保護するためにSecure Sockets Layer(SSL)プロトコルを構成します。   WSUSサーバーのIISサービスでSSL/HTTPSを有効にして SSL/HTTPSを使用します。 一部の接続にSSLを使用するようにWSUSサーバーの IISWeb サーバーを構成します。 クライアント接続にSSL署名証明書を使用するようにWSUSを構成します。 必要に応じてSQLServer接続をセキュリティで保護します。 必要に応じてローカル発行用のコード署名証明書を作成します。
WSUSコンピューターグループを構成する 組織内の更新を管理するために、WSUS管理コンソールでコンピューターグループを作成します。   クライアントコンピューターをコンピューターグループに割り当てる方法を選択します。 必要に応じてクライアント側でのターゲット設定を有効にします。 必要なコンピューターグループを作成します。
WSUSサーバーとのSSL接続を確立するようにクライアント コンピューターを構成する WSUSサーバーとのセキュリティで保護された接続を確立するように、クライアントコンピューターを設定します。
WSUSサーバーから更新プログラムを受信するようにクライアントコンピューターを構成する WSUSサーバーから更新プログラムを受信するように、クライアントコンピューターを設定します。   編集する正しいポリシーセットを選択します。 ポリシーを編集してクライアントコンピューターを構成します。 クライアントコンピューターからWSUSサーバーに接続できるようにします。 クライアントコンピューターがWSUSサーバーに正常に接続されていることを確認します。 必要に応じてクライアントコンピューターのサーバー側でのターゲット設定を行います。
WSUSで更新プログラムを承認および展開する コンピューターグループ内のコンピューターは、今後24時間以内に自動的にWSUSサーバーに接続して更新プログラムを取得します。 WSUSのレポート機能を使用することで、更新プログラムがテストコンピューターに展開されたかどうかを判断することができます。テストが正常に完了したら、組織内の該当するコンピューターグループに対して更新プログラムを承認することができます。
WSUS更新プログラムを承認して展開する WSUS管理コンソールを使用し、更新プログラムを承認および展開します。
自動承認規則を構成する 自動承認では選択したグループに対して更新プログラムのインストールを自動的に承認するようにWSUSを構成し、既存の更新プログラムに対する改訂の承認方法を構成します。
インストールされた更新プログラムをWSUSレポートで確認する 更新プログラムを承認後24時間以内は、WSUSのレポート機能を使用して、更新プログラムがテストグループコンピューターに展開されたかどうかなどの詳細を確認します。更新プログラムの状態を確認するには、WSUSのレポート機能を使用します。

WSUS(ダブルサス)利用における注意点

WSUSは便利なソフトウェアですが、注意が必要な点もあります。WSUSを利用する際に注意が必要な点は、以下の3つです。

WSUS導入のための運用コストがかかる

WSUSのソフトウェアは無償で提供されていますが、社内で利用するサーバーの調達、運用のために専門的な知識をもった人材の採用や教育など、金銭・人的コストが発生します。中小企業では費用面での負担が大きすぎるといった声もあるので、企業でWSUSを導入する場合、コスト面は大きな課題になるでしょう。

WSUSを運用するための知識が求められる

WSUSを運用する際、ほとんどの場合、先の項目で説明した「Active Director」を利用してパソコンを管理することになります。そのため、全くの素人には扱いが難しく、ソフトウェア利用に伴う知識や経験が求められます。専門的な知識を持った人材がいない場合、WSUSを利用して業務を行うには、ある程度の学習期間が必要になるでしょう。

更新プログラムを配信するとハードウェアやアプリの動作が不安定になることがある

更新プログラムを配信すると、社内で利用しているアプリケーションなどが最新のプログラムに対応しておらず、動作が不安定になることがあります。こういった事態を避けるためにはグループ化などを活用し、更新プログラムに問題がないか、事前に確認することが求められます。

まとめ

WSUSの導入にはコスト面や知識面などのハードルはありますが、業務の効率化を考えると、大きなメリットがあります。とくに多くのパソコンを管理する企業では、大幅な作業時間の短縮に繋がるでしょう。パソコンの管理に課題がある企業の方は、ぜひこの記事のメリット・注意点を参考に、導入を検討してみてはいかがでしょうか。

MDM導入のご検討・
ご相談はこちら