セキュリティパッチ等を夜間に適用するための電源管理方法とは?

運用管理
はじめに
本記事をご覧いただいている皆様の職場では、セキュリティパッチの適用をいつ実施されていますか?サーバーOSの場合、セキュリティパッチを適用する際に夜間や休日に実施することが多いです。最近では、Windows 10の普及に伴い、年2回リリースされる機能更新プログラム(大型アップデート)やセキュリティパッチを夜間や休日に実施する企業が増えているようです。
今回の記事では、企業の情報システム部門のご担当者向けに、夜間に無人の状態でオフィスや工場にあるPCの電源を入れて、機能更新プログラムやセキュリティパッチ等を適用するために必要な電源管理方法をご紹介したいと思います。
夜間にセキュリティパッチ等を適用するメリット
では、夜間にセキュリティパッチ等を適用するとは何でしょうか?主に、以下に記載したような3つのメリットがあると考えられます。
- 業務の生産性低下を防げる
日中帯にセキュリティパッチの適用が開始されてしまうと、その間しばらく業務が滞ってしまいます。特に機能更新プログラムはOSをバージョンアップすることになり、PCのスペックによっては1時間以上かかる場合がありますので、業務の生産性が著しく低下してしまいます。夜間に実施することで、業務の生産性低下を最小化することができます。 - ネットワーク帯域を負荷分散できる
Windows 10の機能更新プログラムは、インストーラーのサイズが約4GBとなっており、各PCに配布するだけでもかなりのネットワーク帯域を使用します。夜間に機能更新プログラム等の大容量ファイルを配信することで日中帯のネットワーク帯域を圧迫することなく、機能更新プログラムやセキュリティパッチを適用することができます。 - セキュリティレベルを維持できる
日中帯に機能更新プログラムやセキュリティパッチ等を適用しようとすると、従業員が業務を優先して勝手に適用作業を延期・キャンセルしてアプリケーションの脆弱性を放置してしまう可能性があり、夜間に実施することで確実に適用できるため、セキュリティレベルを維持できます。
逆に、夜間にセキュリティパッチを適用するデメリットとしては、処理に失敗した際にすぐに対処・リカバリーができないといったデメリットがあります。そのため、夜間に実施しても問題ないか小規模でテストしてからスケジューリングする必要があります。
夜間にセキュリティパッチ等を適用するために必要なツール
次に、夜間に機能更新プログラムやセキュリティパッチ等を適用するために必要なツールをご紹介します。既に多くの方がご存知の内容だと思いますので、簡単に記載いたします。
夜間にセキュリティパッチ等を適用するためには、当然ながらスケジュールで動作する仕組みがないと実現できないため、何かしらのツールが必要です。例えば、マルウェア対策製品の定義ファイルを更新したいのであれば、マルウェア対策製品の管理サーバーにそのようなスケジュール機能が必要となります。
機能更新プログラムやセキュリティパッチ等を適用するためには、マイクロソフト製のWSUS(Windows Server Update Services)、SCCM(System Center Configuration Manager)やサードパーティー製の資産管理ツールやパッチ管理ツールが必要となります。
次に、夜間にPCの電源を入れるためのツールが必要です。SCCMや多くのサードパーティー製の資産管理ツールには、スケジュールに沿って電源を入れることができる機能がありますので、既にお客様にて資産管理ツールをご導入済みであれば、新たに電源管理のためにツールを購入する必要はないと思います。
夜間にPCを電源ONするには?
電源ONすると言えば、皆様は真っ先に「Wake On LAN」を思い浮かべると思います。今回はそれに加え、もう一つ「インテル AMT」という電源管理が実現できるテクノロジーについてもご紹介したいと思います。
Wake On LAN
Wake On LANは、従来からある電源管理の仕組みで、PCのネットワークカードに対して、電源ONしたいMACアドレスを16回繰り返した「マジックパケット」と呼ばれるパケットをブロードキャスト宛て(同一ネットワーク内の全てのPC向け)に送信することで、電源ONを実現する手法です。
多くのPCにおいて、Wake On LANが使用でき、追加コストもかからないため、比較的容易に導入することができます。以下に、メリット・デメリットを記載します。
メリット | デメリット |
多くのPCで使用できる | MACアドレスを調べる必要がある |
多くの資産管理ツールで制御できる | 多くのPCでBIOSの設定変更が必要 |
追加コストがかからない | 同一ネットワークしか使用できない |
- | UDP通信なので、信頼性に欠ける |
- | 誰でも電源を入れられてしまう |
- | Wi-Fiでは電源ONできないものが多い |
インテル AMT
インテル AMT(Active Management Technology)は、インテル社製のCPU、マザーボード、ネットワークカード上に実装されているテクノロジーの一つで、リモートから電源ON・OFFをしたり、PCをリモートから操作したりする機能が含まれています。「インテル vProテクノロジー」というハードウェア上に管理機能が搭載されたPCであれば、インテル AMTの機能を使用することができます。以下に、メリット・デメリットを記載します。
メリット | デメリット |
多くの資産管理ツールで制御できる | インテル vProテクノロジー搭載PCが必要 |
ルーターを越えて、電源管理できる | 初期設定(プロビジョニング)が必要 |
管理者以外は電源管理できない | - |
TCP通信なので確実に電源ONできる | - |
暗号化通信(TLS/SSL)も可 | - |
Wi-Fiでも電源ONできる | - |
シャットダウンも制御できる | - |
上記の通り、Wake On LANはどのPCでも導入できる手軽さはありますが、インテル AMTと比較すると、セキュリティ面や運用面でデメリットが多いと思います。これから夜間や無人で電源管理を検討される場合は、インテル AMTの利用を検討しても良いと思います。
但し、インテル AMTが使えるPCは、インテル vProテクノロジー搭載PCに限られているため、PCを調達・購入する段階でインテル vProテクノロジー搭載PCを選択しなければいけないので注意が必要です。
まとめ
夜間に無人の状態でオフィスや工場にあるPCの電源を入れて、機能更新プログラムやセキュリティパッチ等を適用するために必要な電源管理方法についてご紹介しましたが、いかがでしたでしょうか?
本記事をお読みになり、インテル vProテクノロジーやインテル AMTにご興味を持たれた方は、以下の弊社ブログ記事をご覧いただければと思います。
・インテル® vPro™テクノロジーで、PCの運用管理をもっと効率的にしよう!
・インテル® AMTを使って、電源ON・リモート操作をしてみよう!
なお、当社では、「PIT-PowerController for AMT」というインテル AMTを使用した電源管理ツールを提供しています。予め指定したスケジュールにPCの電源オン・シャットダウンを実現したいというご要望がございましたら、お気軽にお問い合わせください。