2020年1月14日、Windows7の延長サポート期間が終了し、セキュリティ更新プログラムや有償サポートを含むすべてのサポートが受けられなくなる。延長サポート終了後もWindows7を使い続けた場合、新たに見つかった脆弱性に対応できない。マルウェアへの感染や個人情報漏えいの危険性が高まったまま放置される可能性が高まることから、現在Windows7を使用している企業や団体は早急な対策が必須となる。

本記事では、2018年5月17日 東京新宿にて開催された「事例で学ぶWindows10移行セミナー 業務効率とセキュリティを両立する方法とは?」の公演内容から、基調講演に登壇したブリヂストンの移行事例と、ユーザー、ならびにIT部門への負担を最小限にするWindows10への移行方法について解説する。

Windows10への移行を機に、社員2万人に最先端かつセキュリティの高い業務環境を提供 - ブリヂストン

ブリヂストンでは、これまでのWindowsライフサイクルから、クライアント環境およびネットワーク環境のバージョンアップを約6.5年毎と想定し、2017年よりWindows7からWindows10への移行を開始している。

ブリヂストン ITネットワーク本部 IT基盤・タイヤ設計IT部 ワークスタイル企画ユニット 児島 高夫氏

ブリヂストン ITネットワーク本部 IT基盤・タイヤ設計IT部 ワークスタイル企画ユニット 児島 高夫氏

児島氏は、「Windows10へ移行することでエンドポイント側のセキュリティが強化され、モバイルワークを推進できます。“セキュリティ”と“業務効率化”の 2 つをWindows10に期待していました」と述べた。

ただ一方で、同社の国内の全クライアント環境約2万台の移行を、業務に大きな影響を与えることなく、速やかに行うのは、かなりの困難がともなった。

Windows10への移行をスムーズに実行するために、児島氏は2014年の10月より、社内に向けて次期OSへの移行案内を開始。その後、様々な予算計上を進め、2017年の1月より部門にて使用している各種アプリケーション(ドライバを含む)の検証を行い、2017年7月から2018年6月の1年間をかけて移行を「行っている真っ只中」とのことだ。

なお、年2回行われる更新プログラムすべてに対応するのは現実的ではないため、1バージョンおき、例えば1607の次は1703をとばして1709を展開するための、評価・検証を「Windows10への移行と並行して」行っているとのこと。 Windows10への移行は、ハードディスクを初期化して標準マスタでインストールする手法を取っている。また、ユーザーのデータは、マニュアルを配布してユーザー自身がバックアップとリストア作業を行う。

「移行作業そのものは、拠点ごとに作業員を派遣して1台ずつバージョンアップを実施するという、地道な手段を取っています。実は今日(セミナー当日)も、7拠点で80台ほどのバージョンアップを行なっている最中です」(児島氏)

Windows10への移行は、頻繁な更新によるセキュリティ強化と、モバイルデバイス利用の広がりによる業務効率化が期待され、働き方改革の実践にも大きな影響を与えるものとされている。一方、頻繁に発生する更新プログラムへの対応が、現場にとって大きな負担となる。

「更新時に発生するユーザー作業の低減化を今後の課題として上げており、SCCM(System Center Configuration Manager)やVDI(Virtual Desktop Infrastructure)、プロビジョニングなどの対策を検討しています」(児島氏)

Windows10の移行には、素早さが肝心

続いて登壇したのは、Ivanti Software テクニカルセールスエンジニア 米村雄介氏だ。1985年に米国にて設立されたIvanti Softwareは主にIT資産管理やセキュリティ管理などの各種ソリューションを提供しており、グローバルで27,500社の実績を持つ。本セッションでは、スピーディーかつ簡単に、ユーザーに影響をおよぼすことなく移行する方法について紹介された。

Ivanti Software テクニカルセールスエンジニア 米村雄介氏

Ivanti Software テクニカルセールスエンジニア 米村雄介氏

「Windows10への移行は非常に複雑で困難な作業です。その上それぞれのサポート期間は18ヶ月しかないので、更新されてから利用までの期間を短くしなければ、安全な状態で長期間、利用することができなくなります。素早く、簡単に、そしてユーザー自身に負担をかけず移行ができる。そのためのソリューションが、私たちIvanti Softwareが提供する『Ivanti Endpoint Manager』です」(米村氏)

クライアント端末には、ドライバやプロファイル、そしてアプリケーションなど、ユーザーごとに異なる環境がある。スムーズに移行するためには、それぞれの環境に応じたマスタを用意しなくてはならないが、このマスタを用意すること自体が、IT管理者にとって大きな負担になる。

そこでIvanti Endpoint Managerでは、マスタを「OSレイヤ」「ドライバレイヤ」「アプリケーションレイヤ」で管理。環境別のマスタ作成を不要にし、工数を大幅に削減できる。講演で紹介された事例によると、18,000台のOSを移行する際に、Ivanti Endpoint Managerによってマスタの種類が60から12まで削減できたとのことだ。

また、年に2回更新されるWindows10では、運用においても十分な準備と対策を検討しておく必要がある。「事前の準備なしで更新プログラムを実行したところ、70%の端末で更新を失敗した」ケースがあるそうだ。

「例えば、更新プログラムの実行には少なくても20GBの空き容量が必要です。不足している端末は更新エラーが出るため事前チェックが必須です。また、ネットワークを介して配信する場合、数GBにもおよぶ更新プログラムを一斉にダウンロードしてしまうと、ネットワークの帯域に重大な影響を与えるので注意が必要です」(米村氏)

なお、Ivanti Endpoint Managerでは事前に端末の空き容量チェックや、マルチキャストとピアダウンロード機能によりWAN帯域の負担を低減する機能を備えている。

「OSの移行には、サードパーティアプリケーションへのパッチ適用の問題も発生します。Ivanti Softwareのソリューションでは、Microsoftや Adobe、Googleなど、約50ベンダーに対応したパッチ管理ソリューションを提供しています。今回ご紹介した私たちのソリューションを活用いただければ、素早く、かつ簡単に、Windows10への移行が可能となります」(米村氏)

「サイバー攻撃対策におけるWindows10管理の落とし穴」

セミナーの最後を締めくくるセッションは、Ivanti Software カントリーマネージャー 楠田 大輔氏による「サイバー攻撃対策におけるWindows10管理」である。

Ivanti Software カントリーマネージャー 楠田 大輔氏

Ivanti Software カントリーマネージャー 楠田 大輔氏

オーストラリア通信電子局(ASD)が公表した標的型攻撃に対するリスク軽減戦略によると、35項目の戦略のうち、4つを実行するだけでもWindowsへの脅威を85%防ぐことができるとされている。楠田氏は講演にて、その4つの戦略についての解説が行われた。では、それぞれについて簡単に紹介しよう。

①アプリケーションホワイトリスティング

登録されたアプリケーションのファイルのみを実行する方法。偽造ファイルの実行を防ぐことができるが、大量に存在するプログラムファイル(Windows10の場合、45,388のexeファイルが存在)を管理するのは大変な労力が必要となる。 「Ivanti Softwareのソリューションでは、ファイルのハッシュ値などではなく、ファイルの所有者でホワイトリスティングを行います。この手法であれば、大量のプログラムファイルを登録しなくても、外部からのファイルの実行を制御することが可能となります」(楠田氏)

②パッチアプリケーション、③パッチOS

アメリカ国立標準技術研究所が管理する脆弱性情報データベースによると、報告された脆弱性の86%が、サードパーティを含むアプリケーションによるものだった。つまり移行に関しては、OSはもちろん、サードパーティのアプリケーションについても、パッチを当てなければならない。

「Ivanti Softwareのソリューションでは、Windowsアプリの55ベンダー、macOSアプリの21ベンダー、そしてWindows以外のサーバー OSについて、パッチコンテンツを提供しています。パッチ同士の依存関係やオプションも自動的に反映するので、難しい操作は不要です」(楠田氏)

④管理者権限

「Microsoft Vulnerabilities Report 2016」によると、Microsoft製品の脆弱性は、その94%が管理者権限の停止で緩和が可能とされている。とはいえ、管理者権限はドライバの追加や設定変更などにも必要となり、それを全て停止すると端末の運用に支障をきたすことになる。

「Ivanti Softwareのソリューションでは、管理者権限は停止して、ユーザーごとに必要な権限を個別に付与する仕組みとなっています。権限は制限しても、ユーザーの生産性は落としません」(楠田氏)

なお、Ivanti Softwareでは、2018年7月12日に大規模なプライベートイベント「Interchange Unplugged Tokyo 2018」が開催される予定となっている。詳細は以下のURLをご覧いただきたい。もし、Windws10への移行を検討している方、そしてIT資産の管理について悩みを抱えている方がいれば、参加を検討してみてはいかがだろうか。

Interchange Unplugged Tokyo 2018
https://interchange.ivanti.com/unplugged/tokyo/

[PR]提供:Ivanti software