Windows 7 および Windows 8.1 のサービス モデル変更についての追加情報

本記事は、Windows for IT Pros のブログ “More on Windows 7 and Windows 8.1 servicing changes” (2016 年 10 月 7 日米国時間公開) を翻訳した記事です。

(2016/12/05 更新): 2016 年 11 月、セキュリティの月例の品質ロールアップはセキュリティのみの品質更新プログラムを置き換えるパッケージとして公開されました。これは System Center Configuration Manager 2007 など、置き換えられた更新プログラムを容易に展開することができないツールを利用してセキュリティのみの品質更新プログラムを適用しているお客様に大きな影響を及ぼしました。お客様からのフィードバックに基づき、この置き換えのモデルは 2016 年 12 月に変更されました。現在の適用シナリオに影響がある場合、以下の更新箇所を確認してください。

前回発表したとおり、Windows 7 SP1、Windows 8.1、Windows Server 2008 R2、Windows Server 2012、および Windows Server 2012 R2 の更新プログラムについてロールアップ モデルへ移行します。これらの変更は、2016 年 10 月 11 日 (米国時間) の月例のリリースより有効になります。

上記のバージョンの Windows が、が、それ以降にリリースされたバージョンの Windows と同様の更新プログラムのサービス モデルに従うこととなり、サービス エクスペリエンスは一貫性を持ち、簡素化されます。組織内で Windows の更新プログラムを管理するお客様にとって、ロールアップ モデルで利用可能な選択肢を把握しておくことが重要です。

まず、各月にリリースされるパッケージについて紹介します。次の一覧が 3 種類の更新プログラムとそれぞれの公式のパッケージ名です。

セキュリティのみの品質更新プログラム

• その月のすべての新規のセキュリティ修正プログラムを含む 1 つの更新プログラム
• セキュリティのみの品質更新プログラムは、Windows Server Update Services (WSUS)、および Windows Update カタログに対してのみ配信されます。パッケージを WSUS 経由で入手して ConfigMgr などのツールで利用したり、Windows Update カタログからダウンロードして他のツールやプロセスで利用することができます。Windows Update に直接接続している PC に、このパッケージは提供されません。
• このパッケージは WSUS において “セキュリティ更新プログラム” の分類で配信され、含まれるセキュリティ修正プログラムのうち最も高いレベルの深刻度が設定されます。
• 他の更新プログラムと同様に、一意の KB 番号が割り振られます。
• このセキュリティのみの更新プログラムは、“Patch Tuesday” と呼ばれる 毎月第 2 火曜日 (米国時間) に公開されます。(これは “B week” の更新プログラムとも呼ばれています。)

セキュリティの月例の品質ロールアップ

• その月のすべての新規のセキュリティ修正プログラム (同時に公開されるセキュリティのみの更新プログラムと同じ内容)、および前月までのすべての月例のロールアップに含まれる修正をまとめた 1 つの更新プログラム。“月例のロールアップ” とも呼ばれます
• セキュリティの月例の品質ロールアップは Windows Update (すべてのコンシューマー PC がインストールするチャネル)、WSUS、および Windows Update カタログに配信されます。10 月に公開される最初の月例のロールアップには、10 月の新規のセキュリティ更新プログラム、および 9 月の非セキュリティ更新プログラムのみが含まれます。
• このパッケージは WSUS において “セキュリティ更新プログラム” の分類で配信されます。この月例のロールアップにはセキュリティのみの更新プログラムと同様の新規のセキュリティ修正が含まれるため、その月のセキュリティのみの更新プログラムと同じ深刻度が設定されます。
• WSUS では、ネットワークへの影響を最小化するために “高速インストール ファイル機能” を有効にしてインストールされていない特定の月例のロールアップのみをクライアント PC にダウンロードするよう設定することができます。
• 他の更新プログラムと同様に、一意の KB 番号が割り振られます。
• この月例のロールアップは、“Patch Tuesday” と呼ばれる 毎月第 2 火曜日 (米国時間) に公開されます。(これは “B week” の更新プログラムとも呼ばれています。)

月例の品質ロールアップ プレビュー

• 翌月の月例のロールアップに含まれていく新規の非セキュリティ修正プログラムのプレビュー、および直前までのすべての月例のロールアップに含まれる修正プログラムを含む追加の月例のロールアップ。“ロールアップ プレビュー” とも呼ばれます。
• このロールアップ プレビューは毎月第 3 火曜日 (米国時間) に公開されます。(これは “C week” とも呼ばれています。)
• このパッケージは WSUS において “更新プログラム” の分類でオプションの更新プログラムとして配信されます。また、Windows Update (すべてのコンシューマー PC がインストールするチャネル) および Windows Update カタログからも利用可能です。
• WSUS では、ネットワークへの影響を最小化するために “高速インストール ファイル機能” を有効にしてインストールされていない特定の月例のロールアップのみをクライアント PC にダウンロードするよう設定することができます。
• 2017 年の後半から数か月かけて、以前公開された修正プログラムも徐々にロールアップ プレビューに追加されるため、いずれは完全に累積的なパッケージになります。それ以降は、最新の月例のロールアップをインストールすることで、PC を完全に最新の状態にすることが可能です。
• 他の更新プログラムと同様に、一意の KB 番号が割り振られます。

毎月、さまざまな理由により個別の更新プログラムが公開されることがあります (たとえば、DST タイム ゾーンの変更、定例外のセキュリティ修正など)。その多くは次の月例のロールアップに含まれますが、Office、Flash および Silverlight の更新プログラムなど個別に分かれたままの修正もあります。

Internet Explorer 用の更新プログラム

セキュリティのみの更新プログラムおよび月例のロールアップには、各オペレーティング システムでサポートされているバージョンの Internet Explorer 用の修正プログラムが含まれます。Windows 7、Windows 8.1、Windows Server 2008 R2、および Windows Server 2012 R2 については Internet Explorer 11、Windows Server 2012 については Internet Explorer 10 がそれに該当します。該当するバージョンの Internet Explorer がインストールされていなければ、セキュリティのみの更新プログラム、月例のロールアップ、およびロールアップ プレビューの適用によりこれらのバージョンの Internet Explorer がインストールされたりアップグレードされたりすることはありません。

(2017/01/13 更新): 2017 年 2 月より、セキュリティのみの更新プログラムに Internet Explorer 用の更新プログラムは含まれません。詳細については、2017 年 1 月のブログ投稿を参照してください。

.NET Framework 用の月例のロールアップ

.NET Framework も、.NET Framework の月例のロールアップとして月例のロールアップ モデルに従います。.NET Framework の月例のロールアップは、すべてのバージョンの .NET Framework 用のセキュリティおよび信頼性に関する更新プログラムを 1 つのリリースとして Windows と同じタイミングおよびサイクルで提供します。.NET Framework 用のロールアップは、現在、お客様の PC にインストールされている .NET Framework のバージョンに対してのみセキュリティおよび品質更新プログラムを提供する点に注意してください。インストールされている .NET Framework のバージョンを自動的にアップグレードすることはありません。また、.NET Framework 用のセキュリティのみの更新プログラムを、毎月 Microsoft Update カタログおよび WSUS で公開します。

.NET Framework 用の更新プログラムの変更についての詳細は、https://blogs.technet.microsoft.com/jpsecurity/2016/10/13/net-framework-monthly-rollups-explained/ を参照してください。

更新方法の選択について

ロールアップ モデルへの移行により、運用上、Windows 7 および Windows 8.1 がインストールされている PC の更新方法にいくつかの選択肢ができました。選択肢は現在の Windows の更新方法と密接に対応しており、以下のセクションで説明します。

公開されたすべてのセキュリティおよび非セキュリティ修正プログラムをインストールする場合

これがマイクロソフトが推奨する更新方法です。この方法では、お客様が管理する PC に対して Windows 用のすべての修正プログラムが適用されることが保証されます。実装するには、月例のロールアップを利用します。WSUS を利用しているお客様は、次の手順を実施することをお勧めします。

• WSUS の [製品とクラス] ページで “セキュリティ更新プログラム"が選択されていることを確認します。これでセキュリティのみの更新プログラムと月例のロールアップの両方が月例のリリース日 (毎月第 2 火曜日、米国時間) に同期されます。オプションのロールアップ プレビューを同期する場合、“更新プログラム” も選択します。
• WSUS の [更新ファイルと更新言語] ページで “高速インストール ファイル機能” が有効になっていることを確認します。
• 既存の Windows 7 または Windows 8.1 用の自動承認規則は、従来どおり機能します。セキュリティのみの更新プログラムおよび月例のロールアップの両方が “セキュリティ更新プログラム” として分類されているため、この分類を指定している規則はどちらのパッケージも承認します。詳細については、「 両方の更新プログラムを適用した場合に予想されること 」のセクションを参照してください。また、手動で月例のロールアップのみを承認することも可能です。
• 第 3 火曜日 (米国時間) に翌月の非セキュリティ修正のプレビューを実施するには、“更新プログラム” の分類で必要に応じてすべて、または一部のコンピューターを対象に自動承認規則を設定します。

Configuration Manager を利用している場合も、同様の手順を実施します。

• サイトの [ソフトウェアの更新ポイント] のプロパティで “セキュリティ更新プログラム” が選択されていることを確認します。オプションのロールアップ プレビューを同期する場合、“更新プログラム” も選択します。

• 既存の Windows 7 または Windows 8.1 用の自動展開規則 (ADR) は、従来どおり機能します。セキュリティのみの更新プログラムおよび月例のロールアップの両方が “セキュリティ更新プログラム” として分類されているため、この分類を指定している規則はどちらのパッケージも承認します。詳細については、「 両方の更新プログラムを適用した場合に予想されること 」のセクションを参照してください。また、手動で月例のロールアップのみを承認することも可能です。または、更新プログラムのタイトルでフィルターを設定することもできます (下記以外の言語の更新プログラムを展開する場合は、翻訳されたタイトルを使用することを検討してください。: お勧めする検索文字列には、以下が含まれます (他の言語の場合は調整してください): “セキュリティのみ” “セキュリティ マンスリー品質ロールアップ” “品質ロールアップのプレビュー”

• Configuration Manager は高速インストール ファイル機能をサポートしないため、月例のロールアップ全体が毎月各コンピューターにダウンロードされる点に注意してください。

上記のわずかな調整により、更新プログラム管理の全体プロセスは以前までと非常に似たものとなります。

すべてのセキュリティ修正プログラムをインストールするが、その他の修正はインストールしない場合

セキュリティ修正プログラムのみを適用する組織の場合、月例のリリース日に一連の修正を承認または展開する代わりに、たった 1 つの更新プログラムを承認または展開することになります。

セキュリティのみの更新プログラムおよび月例のロールアップの両方が “セキュリティ更新プログラム” として分類されているため、WSUS の既存の自動承認規則は毎月、どちらのパッケージも承認します。Configuration Manager の自動展開規則についても同様です。そのため、毎月手動で更新プログラムを承認または展開するか、Configuration Manager の場合、既存の自動展開規則を調整する必要があります。詳細については、前のセクションを参照してください。

公開されたすべてのセキュリティ更新プログラムをインストールし、かつ特定の問題を解決するためにいくつかの非セキュリティ修正プログラムをインストールする場合

このような組織は通常、セキュリティのみの修正プログラムを展開するため、詳細については前のセクションを参照してください。非セキュリティ修正プログラムを適用する必要がある場合は、その修正を含む最新の月例のロールアップを手動で承認します。この月例のロールアップには他の修正プログラムも含まれているため、パッケージ全体をインストールする必要があります。

両方の更新プログラムを適用した場合に予想されること

ある月のすべての新規のセキュリティ修正プログラムは、セキュリティのみの更新プログラムおよび月例のロールアップの両方に含まれるため、同じ月に両方のパッケージを適用した場合の動作について理解しておくことが重要です。

たとえば、月例のリリース日 (“Patch Tuesday” と呼ばれる毎月第 2 火曜日、米国時間) に公開されたセキュリティのみの更新プログラムと月例のロールアップの両方を承認し、展開したと仮定します。セキュリティの修正プログラムは月例のロールアップに含まれており、また両方のパッケージがコンピューターにダウンロードされるためネットワーク トラフィックが増加するので、通常は不要な手順です。しかし、実施した場合、どのようなことが起こるでしょうか? それはインストールの順番により変わります。

• 月例のロールアップが先にインストールされた場合、セキュリティのみの更新プログラムに含まれる修正がすべてインストールされていることになります。展開の順番によってはセキュリティのみの更新プログラムがダウンロードおよびインストール対象として表示されることがありますが、適用した場合でもコンピューター上のコンポーネントがアップデートされることはありません。わかりやすくするために、1 種類のパッケージの展開のみを承認することをお勧めします。 (2016/12/05 更新): 2016 年 12 月より、セキュリティのみの更新プログラムは、月例のロールアップ (同月またはそれより後の月に公開されたもの) が既にインストールされているコンピューターではインストール対象外となります。2016 年 10 月および 11 月のセキュリティのみの更新プログラムも、同様の動作となるよう更新されます。
• セキュリティのみの更新プログラムが先にインストールされた場合、コンピューターに必要な追加の修正プログラム (非セキュリティ修正プログラムおよび以前のセキュリティ修正の両方) を含む月例のロールアップは引き続き適用されます。その後、月例のロールアップがダウンロードされインストールされて、非セキュリティの修正 (および前月以降のセキュリティ修正) が追加で適用されます。

更新プログラムを適用するために利用している管理ツールによって、コンプライアンスおよび展開レポートの表現が異なる場合があります。新規のセキュリティの月例の品質ロールアップは、前月のセキュリティの月例の品質ロールアップおよびセキュリティのみの品質更新プログラムを置き換えます。

(2016/12/05 更新): 2016 年 12 月より、月例のロールアップはセキュリティのみの更新プログラムを置き換えません。2016 年 11 月の月例のロールアップも同様に、セキュリティのみの更新プログラムを置き換えないよう更新されます。最新のセキュリティの月例の品質ロールアップをインストールすることで、新しいサービス モデルにおいて公開されているすべてのセキュリティ更新プログラムに対応していることが保証されます。

セキュリティのみの更新プログラムだけをインストールした場合、コンプライアンス ツールやレポートで月例のロールアップが “見つからない” と表示されることに注意してください。これは月例のロールアップも “セキュリティ更新プログラム” と分類されているためです。毎月、セキュリティのみの更新プログラムをインストールすることで、新しいサービス モデルにおいて公開されたセキュリティ修正のうち PC に必要なものがすべて適用されます。

セキュリティのみの更新プログラムまたは月例のロールアップのいずれかをインストールすれば、その月に公開されたセキュリティ修正プログラムのうちコンピューターに必要なものが適用されます。

共通の懸念事項: 更新プログラム適用により問題が発生したら?

マイクロソフトでは、すべての Windows の更新プログラムを一般に広く公開する前に OEM 、ISV およびお客様とともに多角的に検証しています。

一般に公開される前の更新プログラムの検証に興味がある組織は Security Update Validation Program (SUVP) に参加してください。このプログラムにより、組織内でのさらに早期の検証段階の確立を可能とし、問題に直面した場合にはマイクロソフトへのダイレクトなチャネルを提供します。SUVP の詳細については、https://msdn.microsoft.com/ja-jp/gg309155.aspx を参照するか、テクニカル アカウント マネージャーまたはアカウント チームまでご連絡ください。

組織への潜在的な影響を最小化するために、すべての更新プログラムの適用について IT 組織から開始し、パイロット グループ、そしてさらに広いグループへ “環状” に展開するアプローチを取ることをお勧めします。ユーザーが発見した問題を報告できるよう、各段階の間には十分な時間を確保してください。

問題に直面した場合には更新プログラムの展開を停止し、できるだけ早く Microsoft サポートに連絡してください。問題を分析した結果により、異なるアクションをお勧めします。以下に例を示します。

• 問題を調査している間、影響を受けたコンピューター上の更新プログラムをロールバックする
• 観察される問題を解決する他の更新プログラムをインストールする
• 影響を受けたアプリケーションについて、開発元 (ISV) と協業する

具体的なアクションはその都度決定され、組織への影響に基づきお客様ごとに異なります。アクションの内容にかかわらず、更新プログラムが原因で起こった問題は最優先事項として、可能な限り迅速に問題を解決するよう取り組みます。

ピアツーピア テクノロジを利用して更新プログラムを配布する

高速インストール ファイル機能により、各コンピューターへ配布するパッケージの容量を大幅に減らすことができます。しかし、BranchCache や配信の最適化などのピアツーピア テクノロジを利用して、WSUS や Configuration Manager からすでに更新プログラムを入手したネットワーク上の他のコンピューターからパッケージを取得する方法を許可することは、ネットワーク全体への影響を低減することに役立ちます。

各 WSUS サーバーまたは ConfigMgr サーバー上の機能を有効にすることで BranchCache を展開し、その後グループ ポリシーを使ってクライアント PC を設定し、分散キャッシュを利用できるようにします。詳細については、https://technet.microsoft.com/en-us/itpro/windows/manage/waas-branchcache (英語情報) を参照してください。完全な BranchCache 機能は Windows Enterprise SKU でのみ利用可能なため、Windows Pro SKU では BITS サポート (更新プログラムをキャッシュするために必要な機能) が提供されています。詳細については、https://technet.microsoft.com/en-us/library/mt613461.aspx#bkmk_os (英語情報) を参照してください。

サマリー

これらの変更により Windows 7 SP1、Windows 8.1、Windows 2008 R2、Windows Server 2012、および Windows Server 2012 R2 システムの更新プログラム適用がさらにシンプルになると同時に、スキャンやインストールにかかる時間が減少し、現在の Windows 更新プログラムの管理への柔軟な対応を提供します。

これらのバージョン用のセキュリティおよび非セキュリティ更新プログラムの詳細については、それぞれの更新履歴のページを参照してください。

• Windows 7 SP1 および Windows Server 2008 R2: https://support.microsoft.com/ja-jp/help/22801/windows-7-and-windows-server-2008-r2-update-history
• Windows Server 2012: https://support.microsoft.com/ja-jp/help/22811/windows-server-2012-update-history
• Windows 8.1 および Windows Server 2012 R2: https://support.microsoft.com/ja-jp/help/24717/windows-8-1-windows-server-2012-r2-update-history

2016/11/08 更新: SCCM 2007 にて置き換えられた更新プログラムを展開する方法 (英語情報) について、詳細を追加しました。

2016/12/05 更新: 月例のロールアップがセキュリティのみの更新プログラムを置き換えないモデルへ変更することについて、詳細を追加しました。