検索
連載

累積更新プログラムのアンインストールなしでWindows 10の既知の問題を回避する「既知の問題ロールバック(Known Issue Rollback)」とは企業ユーザーに贈るWindows 10への乗り換え案内(102)

Windows 10 バージョン2004では、Windows Updateの更新プログラムのインストールを原因とした既知の問題の発生を回避する「既知の問題ロールバック(Known Issue Rollback、KIR)」という機能がOSに完全に組み込まれました。Windows Updateから更新プログラムを直接受け取らない企業の更新管理環境では、この機能の利点を得るために追加の手順が必要になる場合があることに注意してください。

[山市良,テクニカルライター] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「企業ユーザーに贈るWindows 10への乗り換え案内」のインデックス

企業ユーザーに贈るWindows 10への乗り換え案内

「既知の問題ロールバック(Known Issue Rollback、KIR)」とは

 「Windows 10」の品質更新プログラムは、「累積的な更新プログラム(Cumulative Updates、CU)」です。最新の累積的な更新プログラム(latest CU、LCU)をインストールすれば、途中をスキップしても最新状態に更新できるという利点がある一方で、更新プログラムに起因する問題の発生に対処するのが難しいという欠点もあります。

 既知の問題の原因になった修正をロールバックするには、累積更新プログラムをアンインストールするしかないという場合があります。累積更新プログラムには、セキュリティ問題の修正やバグ修正などが累積されています。累積更新プログラムをアンインストールすることで既知の問題は発生しなくなるかもしれませんが、例えばゼロデイ攻撃の発生が確認されているといったセキュリティ問題の修正がなくなり、脆弱(ぜいじゃく)な状態に戻ってしまいます。

 この欠点を補い、セキュリティと安定性を両立させる技術が、Windows 10 バージョン2004に完全に統合された「既知の問題ロールバック(Known Issue Rollback、KIR)」機能です。KIRは、Windows 10 バージョン1809以降に部分的に実装され、改良が加えられてきました。もともとはユーザーモードのコンポーネントをロールバックするために設計されたものですが、Windows 10 バージョン2004からはOSのカーネルとブートローダーを改良して、カーネルモードでもこの機能がサポートされるようになりました。

 Windows 10 バージョン2004/バージョン20H2の場合、最近では2021年2月の累積更新プログラムのプレビュー(Cリリース)や2021年3月の累積更新プログラムのプレビュー(Cリリース)でKIRを利用した既知の問題の回避措置が行われました。

 Windows 10 バージョン2004より前のバージョン1909やバージョン1809に対しても、可能な場合、KIRによる既知の問題の回避措置が実施されています。既知の問題がKIRの対象になっているかどうかは、Windows 10の各バージョンの「既知の問題(Known issues)」および「解決した問題(Resolved issues)」の一覧や、各更新プログラムの更新履歴の「既知の問題(Known issues)」で確認できます(画面1)。

画面1
画面1 既知の問題がKIRを用いてロールバックされる場合、更新プログラムをアンインストールしなくても24時間以内(次にデバイスが再起動された後)に問題は解消する

 なお、KIRによる既知の問題の回避措置対象は、主に累積更新プログラムのプレビュー(Cリリース)に初めて含まれて提供される“セキュリティ以外のバグ修正”のみです。KIRによる回避措置によって、既知の問題の原因となったプログラムコードは、修正前の古いプログラムコードに戻ります。

 セキュリティ修正に対してKIRを実施すると、脆弱性を含む古いプログラムコードが放置されてしまうことになるため、セキュリティ修正に対してKIRが実施されることはありません。また、KIRは可能な場合にのみ利用され、全ての既知の問題がKIRによって解消されるわけでもありません。

Windows Updateに接続されたデバイスの場合

 Microsoftが既知の問題を把握し、バグ修正をKIRでロールバックすると判断した場合は、そのための構成変更をクラウド側で行い、Windows Updateに接続されるデバイスはこの変更の通知を受けて、構成変更を次回再起動時に反映します(図1)。通常、このプロセスはMicrosoftが構成変更を決定してから24時間以内に完了します。

図1
図1 Windows Updateに接続されたデバイス(Windows Update for Businessで管理されたデバイスも含む)は、KIRにより自動的に既知の問題の対象コードがロールバックされる

デバイスがWindows Updateに接続しない場合(WSUSで管理された環境など)

 「Windows Update for Business(WUfB)」は、Windows Updateにデバイスが直接接続して更新プログラムを取得するため、KIRの対象になります。一方、「Windows Server Update Services(WSUS)」やその他の更新管理ツールでクライアントデバイスの更新を管理しており、クライアントデバイスがWindows Updateに接続しない場合は、KIRで問題が自動的に回避されることはありません。

 WSUSのような管理された更新環境でもKIRによる既知の問題の回避を実施できるように、MicrosoftはKIRの対象ごとにグループポリシー管理用テンプレートをWindowsインストーラーパッケージ形式(.msi)でダウンロード提供しています。

 管理者は、グループポリシー管理用の端末に管理用テンプレートをインストールし、ポリシーを有効化することで、KIRを企業内のクライアントに展開できます(図2画面2画面3)。なお、グループポリシーでセントラルストアを使用している場合は、管理用テンプレートを適切な場所にコピーする必要があります。

図2
図2 Windows Updateに接続されないデバイスは、グループポリシーを使用してKIRを有効化できる
画面2
画面2 管理用テンプレートのインストーラーをダウンロードしてグループポリシー管理用端末にインストールする
画面3
画面3 グループポリシーを使用してKIRを個別に有効化する(注:Windows Updateに接続するデバイスのためにはこの設定は不要)

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(2020-2021)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。


Copyright © ITmedia, Inc. All Rights Reserved.