今回は、現代的なデバイス管理「モダンマネジメント」におけるセキュリティ機能の1つである、OSバージョンの更新管理を行う「アップデート管理」について、具体的に解説していきます。

(前回までの記事はこちら)
テレワークのセキュリティ問題を解決する！第1回 -モダンマネジメントのセキュリティ機能-
テレワークのセキュリティ問題を解決する！第2回 -ポリシー管理

• PCのOS更新管理をすでにWSUS（※）などのオンプレミスサーバーで管理している
• メールなどの社内周知にてユーザーに更新を促している
• OS更新はユーザー任せで、とくに管理されていない

など、会社によって管理状況は違うかと思われます。

「なぜセキュリティ対策としてOSの更新管理を行わなければならないか？」
という疑問を持たれる方もいらっしゃるでしょう。

また、モダンマネジメントでのOSバージョン管理がよいと言われても
「従来のWSUSでの管理とモダンマネジメントでの管理では何が違うのか？」
こういった疑問も生じるでしょう。

今回は、OSバージョン管理の必要性、従来の管理で起こりうる課題、モダンマネジメントを取り入れることでの課題解決について解説していきます。

※WSUS：Windows Server Update Servicesの略称。Microsoft製のPCやサーバー群のバージョンを一元管理するためのサーバー

デバイス管理においてOSアップデート管理を行う目的

はじめに、前提となる、PCのOS更新管理が必要な理由を解説します。

OSの更新管理を行う目的ですが、大きく分けて以下の2つです。

• 利用する社内システムに対応するためにOSバージョンを保つ
• 最新の脅威に対応するために最新のOSバージョンを保つ

・利用する社内システムに対応するためにOSバージョンを保つ

まず、業務で利用しているアプリやサーバーなどのシステムをPCで正常に動かすために、システムに対応したOSバージョンを保つ必要があります。

身近な例で言うと、スマートフォンのゲームアプリでも、対応しているiOSやAndroidOSのバージョンがあります。ゲームを開始するためには、OSのバージョンアップが必要なことと同義です。

また、最新のOSバージョンがリリースされた際に、利用している業務システムが不具合なく正常に動作するかを検証した上で、社内の全PCを最新バージョンに更新するなどの管理も実施しなければなりません。

・最新の脅威に対応するために最新のOSバージョンを保つ

2点目の、最新の脅威に対する対策としてのOSバージョンアップはより重要となります。

セキュリティインシデントの発生は、会社経営にとってより経営に直接インパクトを与える事象であるためです。

前提として、OSの新バージョンは、旧バージョンで対応していなかった最新ウィルスなどの脅威への対策を施されたうえでリリースされます。

ウィルスなどの脅威はウィルス対策ソフトなどで対策を行ったとしても、悪意のある人たちがいる限りまた新たなウィルスを作り、対策を超えて攻撃をしてきます。

つまり、いたちごっこの状態です。

このように、対応策を施しても新たな脅威で対抗してくるため、OSは常に最新の状態でなければなりません。

また、全社員のPCが常に最新OSにバージョンアップされているかも管理しておかなければなりません。

従来のOSアップデート管理

OS更新管理の重要性を解説してきましたが、従来、それらの管理をWSUSなどのオンプレミスのシステムで行ってきました。

社内PCのOSバージョンを管理して、指定したバージョン以外の状態にあるPCには更新を促し、新バージョンがリリースされた際は勝手に新バージョンに更新されることがないように、現状のバージョンのまま凍結させておりました。

システム検証後に全PCへ新バージョンへの更新許可を行うなど、会社指定のバージョン内に収まるように管理されてきました。付随してWindowsUpdateが自動更新されるタイミングの管理もWSUSで行われておりました。

​​​​​​​

従来の問題とモダンマネジメントにおけるOSアップデート管理

従来型OSアップデート管理の問題点

従来のオンプレミスのシステムでの更新管理は、社内ネットワークに繋がっているPCのみが対象となります。したがって、テレワーク時の自宅やカフェなどの、社外ネットワークに接続されているPCの管理はできません。

つまり近年急増している、テレワークで業務を行うケースだと、基本的にPCの管理は行えず、OSの更新はユーザー自身の管理に任せることになり、放置されるなどのリスクがあります。

VPNなどで自宅から社内ネットワークに繋ぐ環境があったとしても、OS更新は大量の通信を使うため、VPNのような一時的な社内ネットワークへの接続だと更新管理が正常に行われない場合が多いです。

すべてのPCがVPNへ常時接続する形だと、VPNにネットワークが集中してしまい、ネットワーク遅延といった不具合が出てしまうためです。

※VPNに頼らない、テレワークにおける新しいNWの形はこちらをご覧ください。

モダンマネジメントにおけるOSアップデート管理

モダンマネジメントでは、オンプレミスのシステムではなくクラウドからOSの更新管理を行うため、インターネットに接続されているPCを対象として、ネットワークの所在が社内、社外かを問わずに管理することができます。

たとえばMicrosoftのIntuneの場合、

• Windows10の自動更新のタイミングの管理
• 管理対象のPCが指定バージョン以下だった場合に更新を促す
• Windows10の機能更新プログラムのバージョンを指定したバージョンのまま凍結させる

など、WSUSで行うことができる機能をクラウド上で利用できます。

また、検証用のPCグループを作成して新バージョンをグループ内のPCに適用させ、システムに不具合がないかの検証を行い、問題がなければすべてのPCに新バージョンをリリースするといった管理も可能です。

このように従来のオンプレミスのシステムで行っていたような、社内ネットワーク環境下にあるPCのOS更新を、社外ネットワーク環境下でも行えるようになります。

モダンマネジメントにおけるOSアップデート管理の不安要素

では、モダンマネジメントにおけるOS管理が、すべてにおいて従来型に優っているのでしょうか？

いいえ、そんなことはありません。
WSUSサーバでの運用と比較すると、細かい設定ができないという不安要素があるためです。

しかしながら、以下の2点でモダンマネジメント型OS管理に切り替えた方がよいと言えるでしょう。

1.テレワークが主流となってきている現代において、社外ネットワーク環境下のPCを管理　できるという点が、細かい設定ができないデメリットを上回るであろうと期待できること
2.モダンマネジメントの利用にあたり、Microsoft IntuneなどのSaaSサービスを利用するため、アプリケーションのサービス性能が徐々にアップデートされ、現状の不安点を払拭できるであろうと期待できること
※当然、すべての会社が当てはまる訳ではございません。

まとめ

現状、モダンマネジメントのOSの更新管理機能は、従来のオンプレミスのサーバーと比較すると細かい設定ができません。

しかし、社外ネットワーク環境下のPCを管理できるというメリットが大きいため、テレワークを導入している会社が社外利用のPCの更新管理を行う際は必須といえるでしょう。

なによりも、システムでの更新管理を行っていない会社が導入した場合、PCのセキュリティ向上に大きく繋がります。

押さえておきたいのは、以下の2点です。
・PCのOS管理は社内のセキュリティ向上に直結すること
・テレワーク時代のOS管理はモダンマネジメント環境で実施すべきこと

次回は、今回のアップデート管理と前回のポリシー管理などと組み合わせて利用される、アクセス制御の機能について取り上げます。

■関連記事

・モダンマネジメントを活用したテレワークとは？情シス目線でテレワーク環境をつくる

・【認証・認可】どうやって守る？？ テレワーク時での情報資産の守り方【情報資産】

・情報システム担当者必見！デバイス管理の新手法「モダンマネジメント」について（前編）

※この記事は、公開時点の情報をもとに作成しています。