• スポンサーリンク

強靭化ネットワーク分離後のWSUSの扱いをどうする?

Pocket
LINEで送る

定期的にWindows OS やMicrosoft Office等の脆弱性に対する修正パッチを配信しているのがWSUS(Windows Server Update Service)というものです。

大体の組織のイントラ環境ではWSUS専用のサーバが用意されており、そのWSUSサーバが修正パッチをインターネットから取得しています。そしてWSUSサーバから各クライアント端末へパッチを配信しています。

WSUSサーバを利用する事のメリットとしては以下2点があります。

1 配信するパッチをWSUSサーバで指定する事ができる

例えば、Windows10へのアップグレードを促す配信が話題となりましたが、これを制御する事が可能となります。クライアントが単体でインターネット接続を行った場合は、全てのパッチ配信を受けてしまう事になります。

2 トラフィックの節約

クライアント端末が全てインターネットからパッチを取得した場合、インターネット回線の帯域を消費してしまいます。WSUSサーバが代理で取得した場合はインターネットとの通信は一回で済むといったわけです。

前置きが長くなってしまいましたが、LGWAN接続系からインターネットを分離した場合、今のようにLGAWAN接続系のWSUSサーバはインターネットからパッチを取得する事ができなくなる為、対策を検討する必要があります。

 

LGWAN接続系でのWSUSサーバの取り扱い方法

 

方法1:LGWAN-ASP を利用する。(管理人推奨)

LGWAN-ASPサービスを利用してパッチの取得を行います。富士通でこのサービス提供を行っていますので下記リンクをご参照いただければと思います。また、総務省もこの方法を推奨している感があります。

http://www.fujitsu.com/jp/services/infrastructure/network/other/lgwan/

方法2:手動で対応

インターネット接続系でWSUSデータを受信し、手動にてLGWAN接続系のWSUSサーバへデータをインポートさせます。運用として現実的ではありませんので、方法1のLGWAN-ASPをオススメします。

ここでインターネット接続系のWSUSはどうするかといった疑問がでてきます。

 

インターネット接続系でのWSUSサーバの取り扱い方法

 

方法1:自治体情報セキュリティクラウド利用(管理人推奨)

クラウドのオプション、または基本メニューにWSUS配信があると思います。これを利用してインターネット接続系のWSUSサーバを更新します。

方法2:LGWAN接続系から取得

LGWAN接続系からインターネット接続系への通信については、グレーとなっています。これをポリシー上問題ないと判断した場合、LGWAN接続系のWSUSサーバからインターネット接続系のWSUSサーバへデータを配信します。

 

何れにしてもWSUSが2台必要となってきますので、コスト増、管理増を覚悟する必要があります。

 

スポンサーリンク
   

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です