MicrosoftはWDS(Windows Deployment Services)脆弱性への対策として、2026年4月を目途にWDSを既定で無効化する方針を示しました。WDSをPXE展開やキッティングの中核にしている組織では、単なる機能停止ではなく「標準手順がある日動かない」リスクが現実化します。端末更改、災害復旧、拠点立ち上げなどのスピード要件に直結するため、情シス主導で早期に影響範囲を見積もる必要があります。
特に、WDSはDHCP設定やIPヘルパ、VLAN越えのPXEなどネットワーク設計と密結合です。OS展開だけを差し替えるつもりでも、拠点NWや分離設計、認証・特権運用まで波及します。更新や新バージョン移行のタイミングで露見しやすいため、ロードマップ管理も重要です。
WDSはネットワークブートでOSイメージを配布できる一方、ブート関連プロトコルは認証が弱く、誤設定で配布範囲が広がりやすい特性があります。さらに展開サーバにはイメージ、ドライバ、応答ファイルなど高価値資産が集まり、侵害時の横展開や資格情報窃取の踏み台になり得ます。Microsoftの既定無効化は、こうした攻撃面を初期状態で閉じる「セキュア・バイ・デフォルト」への誘導と捉えるべきです。
従来「便利だから残す」で許容されてきた展開基盤も、今後は必要性と統制が説明できる状態が求められます。監査観点でも、展開基盤の特権・ログ・変更管理が不十分だと指摘対象になりやすい点に注意が必要です。
最初に、WDSの利用拠点、利用者、用途(新規展開・再展開・復旧)と依存するNW設定を一覧化します。次に、イメージ更新頻度、ドライバ管理、応答ファイル内の資格情報(平文混在など)を点検し、漏えい時の影響を評価します。これにより「止まる業務」と「守るべき資産」が明確になります。
継続利用する場合は、展開ネットワークの分離(専用VLAN、限定ルーティング)、不要ポート・サービスの閉塞、管理端末の限定を前提にします。展開サーバは特権階層(Tier)を意識し、通常端末から直接管理しない運用へ寄せます。イメージ保護、アクセス制御、変更管理、監査ログの集中管理もセットで整備してください。
中長期ではWDS依存を減らし、クラウド主導のプロビジョニング(例:Autopilot+MDM)や統合管理基盤への移行を検討します。拠点サーバ維持の縮小やゼロタッチ展開などの利点がある一方、回線品質、デバイス登録、条件付きアクセス、IDガバナンスといった前提条件が増えます。PoC→段階移行→切替の計画を早期に立て、調達・更改サイクルと同期させることが現実的です。
期限の2026年4月は、基盤刷新としては短期間です。今すぐ「現状把握」「分離・特権・監査の強化」「代替方式の選定」を並行して進め、更新タイミングで手順が止まる事態を回避してください。
