※本記事は2018年10月18日時点の情報を元に構成しています。
Microsoftは米国時間9月6日、有料の Windows 7 延長セキュリティ更新プログラム (ESU) を 2023 年 1 月まで提供することを発表した。
Windows 7 ESUの対象はWindows 7 Professional と Windows 7 Enterprise のボリューム ライセンスユーザー。販売はデバイス単位で1年ごとに価格が上昇する。Windowsソフトウェア アシュアランス、Windows 10 Enterprise、 Windows 10 Educationのサブスクリプションを利用しているなら割引が提供される。また、Windows 7 ESUが適用されたデバイスの365 ProPlus は 2023 年 1 月までサポートされる。
Windows 7 延長セキュリティ更新プログラム (ESU)は有償であり、本記事の作成時点で詳細が公開されておらず、ESUを適用することによる影響、メリット/デメリットなども明らかではないため、本記事では2020年1月14日の延長サポート終了を前提にした移行プロセスについて解説する。
旧バージョンからの移行だけではなく、その運用にも多大な労力が必要となるWindows10。半年ごとに提供されるSAC(Semi-Annual Channel)のFU(Feature Update)のスピードに合わせ、毎回いくつものアプリケーション互換性の確認を行い、マスターイメージ(OS)をこまめにアップデートし、数GBサイズの容量になる場合もある(Feature Update、以下FU)を各端末に展開できる環境を常時整えておく……。こうしたタスクと年中向き合うというのは、なかなか大変だ。
この手間を省くための有効な対策のひとつとして「仮想デスクトップ(VDI)の導入」がある。 比較的小規模な企業であれば一般的なPC端末(ファットクライアント)の環境でも問題はないだろうが、端末の多い企業や自社アプリの数が多い企業ほどVDIを利用するメリットが大きくなる。
第4回では、VDI導入によりWindows10の運用負荷が軽減される理由について解説していく。
VDIを導入(合わせてシンクライアント端末を導入するとなおよい)することで、プログラムの実行やデータの保存といった機能を端末から切り離し、サーバーに集中させて管理することができるようになる。OSやアプリケーションなどもすべてサーバー側にあるため、利用者はネットワーク環境を通じサーバーにアクセスして作業を行うことになる。
このVDIを導入することでSAC対応において多くのメリットが生まれる。以下にてVDIをおすすめする理由を解説したい。
VDIにおいては、マスターイメージOSをサーバー側で一元管理する仕組みとなっており、検証が終わったFUの即時展開が可能となる。 また、更新前のマスターイメージOSを残したまま、一部の端末に更新後のマスターイメージOSを展開するということも可能となる。 また万が一、FUの適用後に問題が発生しても、マスターイメージOSのバージョンをすぐに切り戻すこともできる。
マスターイメージを自在に適用し、切り戻しも自由にできるのはVDIによりマスターイメージのハードウェア依存がなくなったからである。
そのおかげでマスターイメージの数を最小限におさえられ、動作確認の対象範囲を小さくできる。
さらにアプリケーションも仮想化してしまえばSAC 対応によるアプリケーションの検査・検証の範囲も最小化できる。 アプリケーション仮想化とは、OSからアプリケーションを切り離し、アプリケーションをサーバー上で動かしてデスクトップ上に表示させる技術のこと。これによってアプリケーションはOSの更新サイクルと完全に分離される。必要なら塩漬けにして使用することもできるようになる。
QU(Quality Update、以下QU)配布されるウィルス定義ファイルやパッチをすべての端末で最新に保つというのはむずかしい。 特にQUは容量が大きくなりがちなので、ネットワーク環境によっては配布しても適用されるまでに時間がかかり、いつまでも適用されないままになってしまう危険もある。
しかしすべての端末を常に最新にしておかなければ、セキュリティリスクは一気に高まってしまうことになる。攻撃者は既知の脆弱性を狙うため、セキュリティパッチが配布されたら速やかに適用する必要がある。
しかしVDIなら最新のQUを1日以内にすべての仮想デスクトップに配布することも可能だ。 OSがサーバー側に一元管理されているので、端末の起動状況やネットワーク接続状況に関わらず確実に配布・適用することができる。SAC追従以外でもVDIはセキュリティを担保するのにうってつけの技術だ。
例えば、データがすべてサーバー側に保存される、端末の紛失などによる情報漏えいのリスクが大きく軽減できる。
また、万が一マルウェアなどに感染した際にも対応負荷を軽減できる。 プログラムの不審な挙動を感知するウィルス対策ソフトとの連携が必要だが、ユーザーのログイン権を除外したり、デスクトップを隔離するような対応が自動で素早く行うことが可能だ。
以上のようにWindows10のSAC運用と相性がいいVDIだが、自社で運用していくとなると、いくつかの課題が出てくる。
まずVDIの基盤、すなわち各種管理サーバーや、エージェントなどはFUに合わせ定期的にアップデートする必要がある。もちろん、マスターイメージとアプリケーションの組み合わせ検証も必要だ。バージョンアップの度にVDI基盤全体を自社で維持・メンテナンスをしていくのにはやはり労力がかかる。
つまり、自社でVDIを運用していると、Windows10のSAC追従による運用負荷はどうしても避けられない。
オンプレ型のVDIが抱えるこうした課題を解消するひとつの手法としておすすめなのが「DaaS(Desktop as a Service)」の利用だ。
DaaSはサービス型のVDIだ。DaaSを導入するとVDIに関連する運用もSACに対する運用も、すべて提供ベンダーにアウトソースできる。DaaSなら管理サーバーのバージョンアップや、マスターイメージのバージョンアップ計画の立案・管理、FU適用検証など、ベンダーの支援を受けることができるので、SACを運用する上での不安はほとんどなくなるだろう。
運用の手間を大きく軽減し、サービスとしてのWindows、Windows10 SACのメリットを最大限に享受する方法として、DaaS導入は有効な選択肢となる。
M³DaaSシリーズの詳細をご説明するカタログをご用意いたしました。M³DaaSを導入すると何が解決できるの?どのようなメリットがあるの?サービスの詳細は?という疑問に回答するカタログです。ぜひこの機会にご確認ください。
ダウンロード
