高速で安全なアップグレード展開のためのWindows 10の新機能と改善点：企業ユーザーに贈るWindows 10への乗り換え案内（25）（1/2 ページ）

• What's new in Windows 10, version 1803 IT Pro content［英語］（Windows IT Pro Center）
• What's new for IT pros in Windows 10, version 1803［英語］（Windows IT Pro Blog）

　新機能の多くは、Windows 10のこれまでのバージョンで段階的に実装され、強化、改善されたものや、Microsoftのクラウドサービスと併せて機能するものがあります。そのため、“これこそがWindows 10 バージョン1803の新機能”というのは難しいところです。また、名称変更や機能／ブランドの再定義などもあり、そのことが分かりにくくしている部分もあります。

　「Windows Defender Application Guard（WDAG）」と「Windows AutoPilot」については、前々回（第23回）と前回（第24回）で説明しました。この他、上記の公式ドキュメントに登場する名称で、特に以下のものについては補足が必要かもしれません。

●Windows Defender Antivirus（Windows Defenderウイルス対策）

　旧称、Windows Defender。Windows 10 Creators Update（バージョン1703）に「Windows Defenderセキュリティセンター」が実装され、ウイルス対策、ファイアウォール、SmartScreen、Exploit Protectionなどのセキュリティ関連の管理機能が統合された際、Windows Defenderはセキュリティ機能のブランド名になりました。Windows Defender Antivirusはその一部であるウイルス対策のMicrosoft提供標準エンジンを指します。この他、Windowsファイアウォールが「Windows Defenderファイアウォール」になるなど、名称の調整が行われています。

●Windows Defender Exploit Guard

　ユーザーが使用するアプリケーションの攻撃面を縮小する機能セットの総称。「Windows Defender Exploit Protection」は、Windows Defender Exploit Guardの一部です。

●Windows Defender Application Control（WDAC、Windows Defenderアプリケーション制御）

　旧称、Device Guard（デバイスガード）、Windows Defender Device Guard。

●Windows Information Protection（WIP、Windows情報保護）

　開発コード名、Enterprise Data Protection（EDP、エンタープライズデータ保護）。Windows 10 バージョン1607で初めて実装。

　公式ブログの記事にあるように、Windows 10 バージョン1709以降は、「Windows Defender System Guard」という機能が紹介されています。しかしながら、Windows 10 バージョン1709以降を利用していても、ユーザーインタフェース（UI）の中で目にすることはないと思います（Windows 10 バージョン1803からは「System Guardランタイムモニターブローカー」というサービスが存在します）。

　Windows Defender System Guardは、Windows 10にこれまで段階的に実装されてきたさまざまなセキュリティ機能を用いて、システムのブート時やアプリケーション実行時にプラットフォームの整合性を検証し、保護を強化する技術（UEFIセキュアブート、カーネルモードのコードの整合性、早期起動マルウェア対策、資格情報ガード、デバイスガード、Exploit Guard、仮想TPM、デバイス正常性構成証明など）の総称です。

　実行時の整合性検証のコア技術である「仮想化ベースのセキュリティ（Virtualization-Based Security：VBS）」は、「Windows Defender System Guardコンテナー」と呼ばれることもあります。

• Windows Defender System Guardでシステムのセキュリティを強化し整合性を維持する（Microsoft Japan Security Team）

　今回は、Windows 10 バージョン1803の新機能の中から「Feature update improvements」と「DISM」に注目します。

Windows 10 バージョン1803の機能更新プログラムはエクスプレス配信に対応

　Windows 10の「機能更新プログラム」によるアップグレードでは、ユーザーエクスペリエンスは通常のWindows Updateと大差ありませんが、巨大なファイル（3GB前後）のダウンロードとインストールのために多くの時間を要します。

　Windows 10 バージョン1709に対して行われた改善により、Windows 10 バージョン1709からバージョン1803以降へのアップグレードの時間が大幅に短縮されます。具体的には、以前のバージョンでオフラインのフェーズで行われていた処理を、オンラインのフェーズに移動することで、機能更新プログラムのインストール中にコンピュータを使用できなくなる時間が削減されます（バージョン1703からのアップグレードとの比較で63％削減）。

　また、Windows Updateにおける機能更新プログラムのダウンロードについても、Windows 10 バージョン1709で改善が行われました。Windows 10に対する毎月の累積的な「品質更新プログラム」は、デバイス上に存在するバイナリに必要なパッチの差分のみをダウンロードする「エクスプレス（Express）配信」で行われます。これに配信の最適化機能やブランチキャッシュの機能と併せることで、Windows Update（Microsoft Updateへの直接接続）やWindows Server Update Services（WSUS）経由の配信で、少ない帯域幅で短時間のダウンロードを可能にしています。

　Windows 10 バージョン1709からは、Windows Updateにおける機能更新プログラム（つまりWindows 10 バージョン1803の機能更新プログラムのダウンロードから）についてもエクスプレス配信に対応しました。

　Windows Updateクライアントは、まずエクスプレス配信を試み、必要な場合（最新の状態に更新されていない場合など）は従来のフル配信に切り替えます。機能更新プログラムによりバイナリの大部分は変更されるはずなので、その効果がどれほどのものか分かりませんが、スタンドアロンの64bit（x64）版のWindows 10バージョン1709をWindows Updateでアップグレードする際に計測したところ、ダウンロード完了直後で3.47GBのファイルがダウンロードされました。

　Windows 10 バージョン1709以降の機能更新プログラムは、以前のように「install.esd」ファイルをダウンロードするのではなく、バイナリファイルを個別にダウンロードするように変更されています。

　また、Windows 10 バージョン1709からバージョン1803への更新では、途中でコンピュータを再起動した場合でも、ダウンロード途中から再開してくれました（画面1、画面2）。以前のように、繰り返し最初からダウンロードするという無駄はなくなるでしょう。

画面1　Windows Updateによるバージョン1709からバージョン1803へのアップグレードでは、3.47GBのファイルがダウンロードされた（x64の場合）

画面2　ダウンロード中にコンピュータを再起動してみたところ、ダウンロードが途中から再開された（Windows 10 バージョン1703以前からの更新の場合は0％からやり直し）

　なお、Microsoft Updateに直接接続するWindows Updateと「Windows Update for Business（WUfB）」は機能更新プログラムのエクスプレス配信の恩恵を受けますが、WSUS経由での更新は対象外のようです。

• Optimize Windows 10 update delivery（Windows 10の更新プログラム配信の最適化）［英語］（Windows IT Pro Center）