強靭化ネットワーク分離後のWSUSの扱いをどうする?

2021年10月4日

定期的にWindows OS やMicrosoft Office等の脆弱性に対する修正パッチを配信しているのがWSUS(Windows Server Update Service)というものです。

大体の組織のイントラ環境ではWSUS専用のサーバが用意されており、そのWSUSサーバが修正パッチをインターネットから取得しています。そしてWSUSサーバから各クライアント端末へパッチを配信しています。

WSUSサーバを利用する事のメリットとしては以下2点があります。

1 配信するパッチをWSUSサーバで指定する事ができる

例えば、Windows10へのアップグレードを促す配信が話題となりましたが、これを制御する事が可能となります。クライアントが単体でインターネット接続を行った場合は、全てのパッチ配信を受けてしまう事になります。

2 トラフィックの節約

クライアント端末が全てインターネットからパッチを取得した場合、インターネット回線の帯域を消費してしまいます。WSUSサーバが代理で取得した場合はインターネットとの通信は一回で済むといったわけです。

前置きが長くなってしまいましたが、LGWAN接続系からインターネットを分離した場合、今のようにLGAWAN接続系のWSUSサーバはインターネットからパッチを取得する事ができなくなる為、対策を検討する必要があります。

 

LGWAN接続系でのWSUSサーバの取り扱い方法

 

方法1:LGWAN-ASP を利用する。(管理人推奨)

LGWAN-ASPサービスを利用してパッチの取得を行います。富士通でこのサービス提供を行っていますので下記リンクをご参照いただければと思います。また、総務省もこの方法を推奨している感があります。

http://www.fujitsu.com/jp/services/infrastructure/network/other/lgwan/

方法2:手動で対応

インターネット接続系でWSUSデータを受信し、手動にてLGWAN接続系のWSUSサーバへデータをインポートさせます。運用として現実的ではありませんので、方法1のLGWAN-ASPをオススメします。

ここでインターネット接続系のWSUSはどうするかといった疑問がでてきます。

 

インターネット接続系でのWSUSサーバの取り扱い方法

 

方法1:自治体情報セキュリティクラウド利用(管理人推奨)

クラウドのオプション、または基本メニューにWSUS配信があると思います。これを利用してインターネット接続系のWSUSサーバを更新します。

方法2:LGWAN接続系から取得

LGWAN接続系からインターネット接続系への通信については、グレーとなっています。これをポリシー上問題ないと判断した場合、LGWAN接続系のWSUSサーバからインターネット接続系のWSUSサーバへデータを配信します。

 

何れにしてもWSUSが2台必要となってきますので、コスト増、管理増を覚悟する必要があります。

 

1時間で1万円分のAmazonギフト券を確実にゲットする方法


現在、ITトレンドで普段お使いのWeb会議やチャットツール等の業務システムのレビューをするだけで1レビューにつき1,000円分のAmazonギフト券が必ず貰えるキャンペーンをやっています。

筆者も10個のレビューを書き1時間以内に1万円分のAmazonギフト券をゲットしました。

予算が無くなり次第終了となると思われるので早めにITトレンドレビュー投稿フォームにレビューを書いてAmazonギフト券1万円分をゲットしましょう。詳細は以下のリンクよりご確認ください。

ITトレンド公式サイト Amazonギフト券プレゼントキャンペーンの説明へ

会社のパソコンかつ業務時間中により回答できないという方は、以下QRコードでレビューの説明記事のリンクをスマホに飛ばしておきましょう。レビューの手順と確実にゲットするための注意事項等を纏めてあります。

ITトレンドにレビューを書いてAmazonギフト券1万円分を1時間で誰でも簡単にゲットする方法
ITトレンドにレビューを書いてAmazonギフト券1万円分を1時間で誰でも簡単にゲットする方法