強靭化ネットワーク分離後のWSUSの扱いをどうする?

定期的にWindows OS やMicrosoft Office等の脆弱性に対する修正パッチを配信しているのがWSUS(Windows Server Update Service)というものです。

大体の組織のイントラ環境ではWSUS専用のサーバが用意されており、そのWSUSサーバが修正パッチをインターネットから取得しています。そしてWSUSサーバから各クライアント端末へパッチを配信しています。

WSUSサーバを利用する事のメリットとしては以下2点があります。

1 配信するパッチをWSUSサーバで指定する事ができる

例えば、Windows10へのアップグレードを促す配信が話題となりましたが、これを制御する事が可能となります。クライアントが単体でインターネット接続を行った場合は、全てのパッチ配信を受けてしまう事になります。

2 トラフィックの節約

クライアント端末が全てインターネットからパッチを取得した場合、インターネット回線の帯域を消費してしまいます。WSUSサーバが代理で取得した場合はインターネットとの通信は一回で済むといったわけです。

前置きが長くなってしまいましたが、LGWAN接続系からインターネットを分離した場合、今のようにLGAWAN接続系のWSUSサーバはインターネットからパッチを取得する事ができなくなる為、対策を検討する必要があります。

 

LGWAN接続系でのWSUSサーバの取り扱い方法

 

方法1:LGWAN-ASP を利用する。(管理人推奨)

LGWAN-ASPサービスを利用してパッチの取得を行います。富士通でこのサービス提供を行っていますので下記リンクをご参照いただければと思います。また、総務省もこの方法を推奨している感があります。

http://www.fujitsu.com/jp/services/infrastructure/network/other/lgwan/

方法2:手動で対応

インターネット接続系でWSUSデータを受信し、手動にてLGWAN接続系のWSUSサーバへデータをインポートさせます。運用として現実的ではありませんので、方法1のLGWAN-ASPをオススメします。

ここでインターネット接続系のWSUSはどうするかといった疑問がでてきます。

 

インターネット接続系でのWSUSサーバの取り扱い方法

 

方法1:自治体情報セキュリティクラウド利用(管理人推奨)

クラウドのオプション、または基本メニューにWSUS配信があると思います。これを利用してインターネット接続系のWSUSサーバを更新します。

方法2:LGWAN接続系から取得

LGWAN接続系からインターネット接続系への通信については、グレーとなっています。これをポリシー上問題ないと判断した場合、LGWAN接続系のWSUSサーバからインターネット接続系のWSUSサーバへデータを配信します。

 

何れにしてもWSUSが2台必要となってきますので、コスト増、管理増を覚悟する必要があります。

 

Pocket
LINEで送る

スポンサーリンク
   

4件のコメント

  1.  実は、最近になって総務省からWSUSやウィルスパターンファイルについての調査があったようです。
     今までは、WSUS・ウィルスパターンファイルの取得はインターネットからの取得は不可としてLGWAN-ASPを利用するように言われていましたが、もしかすると、総務省が方針転換をするかもしれません。(J-LISにでもLGWAN-ASPサービスをさせ、全自治体に配布する?)
     そのようなことになれば、先にインターネット分離をして、LGWAN-ASPと契約してしまった自治体は無駄なお金をかけたことになります。(しかも、構築費ではないので補助金の対象外!!)
     費用負担が下がるのであればいいことだろうけど、本当にそんなことをするのであればもっと早めに方針転換を発表しないと、多くの自治体が無駄な費用を払ったり、民間企業に余計な投資をさせてしまうことになります。
     余りにも総務省のやり方がいきあたりばったりで、全国の自治体が迷惑していしまいます。いい加減、きちんとした方針を持って強靭化を進めてもらいたいものですね。

    • そうなんですね、いつも有益な情報ありがとうございます。WSUSとウイルスパターン配信のLGWAN-ASPは結構金額がするので、早いところ方針を固めて欲しいですね。今ならまだ間に合う自治体があるかもしれません。それにしても総務省の混乱のさせかたはちょっと、、、
      そして、何かきな臭さを感じます。強靭化を強行する理由が必要で、年金機構、上田市で騒ぎを起こしたのではと感じてしまう。で、分離をしないと本当にマズイ事態になってしまう「何か」がある気がします。

      •  うーーん。総務省陰謀説ですか。それは考えてませんでした。
         年金機構での問題は、自治体よりも上位機関の国が大規模漏えいをやってしまい、マイナンバー制度の安全性を根本から崩してしまったので、メンツのためだけの強靭化と考えていましたが・・・。
         でも、上田市の事件は、国だけが問題を起こしたのでは恰好がつかないので、自治体でも事件を起こしてしまえということで事件を起こしたとすると、ちょっと怖い話ですね。
         ところで、WSUSとウィルスパターンファイルの件については、来年度の総務省予算に計上されているようです。詳細は不明ですが、予算が通れば結局は国や自治体は全てLGWAN内のセキュリティ対策サーバから資産を受け取るようになりそうです。
         それなら、インターネットからの取得を不可としてLGWAN-ASPを使え(しかも有料で)と言ってきたのは何だったんでしょう。当面はインターネット取得を許可し、J-LISが構築後にLGWANから取得させることでよかったんではないでしょうか?きっと、多くの自治体の電算担当者が財政部門から「今まで無料だったのに何で金を払うの?」と言われながら予算化しただろうに、それ自体が無駄な行為になるかも・・・。
         なんか、もうグチャグチャです。

        • 「LGWAN-APSでウイルスサーバとWSUSを連携させるように」って、様々な資料に明記されているのに、ちょっと酷いですね。投資したベンダーも数多く見受けられるますし

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です