Microsoftは2026年7月8日(現地時間)、企業や組織におけるWindows更新プログラムの展開ガイドラインを改定した。従来の運用習慣であった「セキュリティパッチ適用の意図的な延期」を見直し、更新プログラムのリリースから3日未満で全デバイスへ展開することを強く求める新たな推奨基準を打ち出した。
AIが脆弱性悪用の時間を短縮
AI技術の急速な発展に伴い、ソフトウェアの脆弱性が発見されてから悪用されるまでの期間が劇的に短くなっている。Microsoftのデータによると、同社製品における対処済みの脆弱性数は2026年4月以降増加傾向にあり、同年6月には単月で206件に達した。この傾向は今後加速すると予測されている。
Microsoftが開発したマルチモーダル自律型エージェントスキャンハーネス「MDASH(Multimodel Agentic Scanning Harness)」による検証では、5月の月例パッチチューズデーを前に、Windowsのネットワーク認証スタック全体から16件の新しい脆弱性が事前に検出された。この中には、リモートコード実行(RCE)を可能にする重大な(Critical)脆弱性が4件含まれていた。
AIの導入により、ソフトウェアの脆弱性が発見されてから攻撃コードが作成され、実際に悪用(ゼロデイ攻撃を含む)が開始されるまでの期間は、従来の「数週間」単位から、現在では「数時間」単位へと劇的に短くなっている。IT管理者がセキュリティパッチの発行から数週間も適用を猶予している場合、その空白期間はAIを駆使する攻撃者にとって格好の標的となり、既知のセキュリティギャップを突いた攻撃を受けるリスクが高まる。
新たなポリシー:品質更新プログラムの猶予期間は3日未満
Microsoftは、このAI加速型脅威に迅速に対応するため、組織のセキュリティ体制とリスク管理の再考を促し、デバイスへの最新パッチ適用を可能な限り早期に実施させるための新たなポリシーを推奨している。
- 品質更新プログラムの猶予期間(Deferral Period): 3日未満
- 適用デッドライン(Deadlines): 0日または1日
- 更新猶予期間(Grace Period): 最大2日
これらのタイムバウンド(期限付き)ポリシーを導入することにより、配布から数日以内に組織内のすべてのクライアント環境に修正プログラムを行き渡らせることが可能になる。
IT部門の工数を増やさない3つの推奨ステップ
パッチの適用頻度や速度を上げると、組織内での業務中断や頻繁なPC再起動が懸念されるが、Microsoftはクラウド管理ツールを組み合わせた自動化と、再起動を不要にする技術によってこれを解決している。
ポリシー制御による更新プログラムの配信を行っている場合、これらの設定は「Windows Autopatch」および「Microsoft Intune」を介して容易に構成可能だ。「Microsoft Configuration Manager」や「Windows Server Update Services」(WSUS)といった従来の更新管理ツールを利用している場合でも、同等の期限付きポリシーを構成できる。
Microsoft Intuneにおいては、「ホットパッチ(Hotpatch)」による更新がデフォルトで有効化されている。同技術により、更新プログラムのインストール後、PCの再起動を待つことなく即座に保護機能が有効化される。これにより、ダウンタイムを減らし、エンドユーザーの業務中断やデバイスの再起動回数を最小限に抑え、スムーズな運用を維持しつつ迅速な防護体制を構築できる。
最新のセキュリティパッチが適用されていないWindowsクライアント、Microsoft EdgeなどのWebブラウザ、およびMicrosoft 365アプリに起因するリスクを限定的に抑えるため、IT管理者は以下のステップを実行することが推奨される。
- 現状のダウンタイム状況の評価: Windows Autopatchのレポート機能を活用し、Windows Desktop Infrastructureの現状を把握する。どのデバイスが最新状態に保たれており、どのデバイスで更新プログラムが不足しているかのベースラインを明確にする。
- ポリシーの自動化(Set and Forget): 現在および将来の更新プログラム展開を自動化するため、Microsoft IntuneでWindows Autopatchを設定し、リングベースの展開(段階的展開)を構成する。Microsoft 365アプリについては「月次エンタープライズチャネル(Monthly Enterprise Channel)」を使用するようサービスプロファイルを設定する。
- 条件付きアクセスによる未対策デバイスの遮断: ポリシーに準拠していない、または安全性が確認できないデバイスからのアクセスを制限するため、「条件付きアクセス(Conditional Access)」ポリシーを導入する。これにより、最新のセキュリティ要件を満たした信頼できるデバイスのみが社内リソースにアクセスできるよう制御し、未対策の端末を経由した組織内への脅威の侵入を防ぐ。
AIによって脅威が高まる中、組織のリスクを低減しセキュリティ体制を強化するためには、これらの統合的なアプローチと迅速なパッチ管理の自動化が不可欠となっている。



