2021年3月22日 4:15 AM

Windows 更新プログラムの適用について: “マンスリー ロールアップ” の適用をお勧めします

いつも Windows をご愛用いただき、ありがとうございます。今回は、Windows 8.1 および Windows Server 2012 R2 以前のバージョンの Windows にのみ提供されている “セキュリティのみの更新プログラム” を用いた運用について、ご留意いただきたい点を最新の事例を交えてお伝えいたします。(注: Windows 10 や、Windows Server 2016 以降の Windows では、本稿の内容は該当いたしません)

Windows 8.1 および Windows Server 2012 R2 以前のバージョンの Windows は、長期間運用されている環境が増加していることから、“セキュリティのみの更新プログラム” を適用した環境に固有の問題が発生するとのお問い合わせを頂くことがあります。今回ご紹介する問題は、“セキュリティのみの更新プログラム” 自体に起因する問題ではありません。また、“マンスリー ロールアップ” と呼ばれるセキュリティ更新プログラムでは発生いたしません。セキュリティ上のリスクからの適切な保護と、お使いの環境の安定性の維持のため、可能な限り “マンスリー ロールアップ” を定期的にご適用いただく運用をお勧めいたします。

セキュリティ更新プログラムの種類について

Windows 8.1 および Windows Server 2012 R2 以前のバージョンの Windows には、下記 2 種類のセキュリティ更新プログラムが提供されております。

  • マンスリー ロールアップ
  • セキュリティのみの更新プログラム

既にサポートが終了している Windows 7 や Windows Server 2008 R2 SP1 および Windows Server 2008 SP2 に対しても、拡張セキュリティ更新プログラム (ESU) をご契約のお客様に向け上記 2 種類のセキュリティ更新プログラムが月例のセキュリティ更新のタイミングで同時にリリースしております。

この 2 種類のセキュリティ更新プログラムの差はどのような点にあるのでしょうか。大まかな特徴を下記にまとめました。

マンスリー ロールアップ セキュリティのみの更新プログラム
累積の有無 あり (その月の新規のセキュリティ修正と機能修正に加え、前月までの過去すべてのロールアップに含まれる変更) なし (その月の新規のセキュリティ修正)
提供チャネル – Windows Update
– Microsoft Update カタログ
– Windows Server Update Services (WSUS)
– Microsoft Update カタログ
– Windows Server Update Services (WSUS)

“セキュリティのみの更新プログラム” という名称からは少々分かりにくい点ですが、セキュリティ関連の修正以外は一切適用されないというものではありません。使用する更新プログラムの種類によってアプリケーションの動作に影響や差異が生じることのないよう、セキュリティに関連しない変更を意図的に “セキュリティのみの更新プログラム” に含めてリリースすることもあります。例えば、2019 年 5 月に施行された新元号「令和」への対応の際は、日本のお客様から強いフィードバックをいただき、“マンスリー ロールアップ” と全く同じ内容を “セキュリティのみの更新プログラム” に含めてリリースいたしました。

ご存じの方も多いかと思いますが、ある月の “セキュリティのみの更新プログラム” の内容はそのすべてが当月の “マンスリー ロールアップ” にも含まれます。逆に言えば、“マンスリー ロールアップ” から当月にセキュリティ関連の修正が行われたモジュールを抜き出したものが “セキュリティのみの更新プログラム” と考えていただければと思います。

“セキュリティのみの更新プログラム” での運用を行う際の注意点について

“セキュリティのみの更新プログラム” の適用は、一見手軽に最新のセキュリティ修正を適用できるように思われるかもしれませんが、Windows 自身、および各種アプリケーションは様々なモジュールの組み合わせで動作していることを考慮する必要があります。

上記で記載した一部の例外を除き、直接的にセキュリティに関連しない変更は “セキュリティのみの更新プログラム” には含まれません。そのため、”セキュリティのみの更新プログラム” や臨時のセキュリティ更新プログラムを選択的に適用している環境では、一部のモジュールのバージョンだけが最新となる一方、脆弱性が確認されていないモジュールは古いままとなります。このように各モジュールが “つぎはぎ” 状に更新されることにより、複数のモジュールが連携して動作するシナリオでは、相互に想定しないバージョンの組み合わせが生じることとなり、これに起因して様々な問題が発生する可能性があります。

エンタープライズのパッチ環境とテストの比較

Overview of Windows as a service (Windows 10) – Windows Deployment | Microsoft Docs

一方、“マンスリー ロールアップ” には、これまでに修正が加えられた各モジュールの最新バージョンが網羅的に含まれているため、このような “つぎはぎ” の状態は原理的に発生しません。また、”セキュリティのみの更新プログラム” の適用により既にバージョンの不整合が生じている環境に “マンスリー ロールアップ” を適用することで、古いモジュールを検出して更新し問題を改善することが可能です。実際の例をいくつかご紹介します。

ケース 1: “セキュリティのみの更新プログラム” の適用後、印刷が失敗したり、32 bit アプリケーションが起動しなくなる

原因: モジュール バージョン間に新旧の不一致が生じるため
対処: 最新のマンスリー ロールアップの適用
概要: 64 bit の Windows では、プリンター ドライバーも 64 bit 用のドライバーをお使いいただく必要があります。アプリケーションは印刷処理のためにプリンター ドライバーを読み込みますが、32 bit プロセスは 64 bit のモジュールをロードすることができないため、その仲介を行う仕組みが存在しております。”セキュリティのみの更新プログラム” の適用により描画等を担っているカーネルと上記印刷関連のモジュールにバージョンの差異が生じた場合、印刷処理が失敗することがあります。印刷に失敗する、32 bit アプリケーションが起動しなくなるといった類似の現象が発生したと考えられる際には、最新のマンスリー ロールアップの適用をご検討ください。

ケース 2: “セキュリティのみの更新プログラム” の適用後、一部の設定画面が開かなくなる

原因: モジュール バージョン間に新旧の不一致が生じるため
対処: 最新のマンスリー ロールアップの適用
概要: “セキュリティのみの更新プログラム” を用いて運用されるすべてのお客様にご認識をいただきたいことといたしまして、”Internet Explorer (IE) のセキュリティ更新は含まれていない” という点があります。本稿でご紹介をしております事象でお問い合わせをいただきましたお客様とお話を進めておりますと、「IE も更新されていると思っていた」とお考えのケースが多く、慌ててご対応いただくことが多くあります。

IE の累積的な更新プログラムも確実に適用を! – Microsoft Security Response Center

Windows の機能や設定画面の中には、Internet Explorer のコンポーネントに依存して動作するものが複数あります。”セキュリティのみの更新プログラム” をご適用いただく一方、Internet Explorer は更新がなされない状況が続いた場合、モジュール間のバージョンの不整合が拡大しWindows が Internet Explorer の機能を呼び出した際に想定しない動作が生じることがあります。類似の事象が発生したと考えられる場合は “マンスリー ロールアップ” または “Internet Explorer の累積的な更新プログラム” の適用をご検討ください。

ケース 3: “セキュリティのみの更新プログラム” の適用を続けた環境で、C: ドライブの容量の枯渇が発生する

原因: 古いモジュールに置き換え関係が発生しないため
対処: 最新のマンスリー ロールアップを適用し、古い “セキュリティのみの更新プログラム” を削除して WinSxS フォルダーをクリーンアップする
概要: アップデートを適用した際、主にロールバック等を目的とし %WinDir%\WinSxS フォルダーへ新旧バージョンのファイルが保存されます。不要となったファイルは [ディスク クリーンアップ] の実行やバックグラウンド タスクによって自動的にクリーンアップがなされますが、“セキュリティのみの更新プログラム” が適用されている環境ではクリーンアップできるモジュールがなく、結果として C: ドライブの空き容量が枯渇する事例が複数報告されております。

“マンスリー ロールアップ” のような累積更新プログラムは過去の修正を全て含んでいるため、置き換えられた古い更新プログラムをクリーンアップすることが可能ですが、”セキュリティのみの更新プログラム” の場合は累積関係がないため、古い更新プログラムをクリーンアップすることができません。累積されていない更新プログラムの適用を重ねた環境では、C: ドライブが想定以上に消費されることとなります。

まとめ

今回は、パッケージの性質上 “セキュリティのみの更新プログラム” の適用により依存関係にあるモジュール間にバージョンの差異が生じることをお伝えいたしました。“セキュリティのみの更新プログラム” は、“マンスリー ロールアップ” にお客様の環境では許容できない変更が含まれている場合の一時的な回避策等としてお使いいただくことを想定して設計されております。

私たちマイクロソフトでは引き続き、“セキュリティのみの更新プログラム” のみを適用いただく環境へのサポートを提供いたしますが、上記の実際の例としてお伝えしたようにパッケージの特性に起因する問題が生じた場合は “マンスリー ロールアップ” のご適用以外にご案内できる対処がないことも考えられます。また、前述いたしました Internet Explorer の累積的な更新も組織内で展開されているか、改めてご確認をお願いいたします。

Windows Update で自動的に提供されることからグローバルでの適用実績も圧倒的に多く、過去の脆弱性や既知の問題へ網羅的に対処でき、かつモジュール間のバージョンについても考慮が不要となる “マンスリー ロールアップ” を常に適用いただくことを強くお勧めいたします。

なお、Windows 10 / Windows Server 2016 以降の新しい Windows では、シンプル化された更新モデルに基づき、リリース当初からの変更を完全に累積した品質更新プログラムのみを提供しております。Windows 10 / Windows Server 2016 以降の新しい Windows では今回お伝えした問題は基本的には発生せず、更新に伴う問題が大幅に軽減されております。

これからも皆様に安心して、そして喜んでご使用いただける製品・サービスの提供に努めてまいります。今後ともご愛顧の程よろしくお願い申し上げます。

参考公開情報:

Join the conversation