シンクライアント専用端末

コラム

Windows 10 IoT Enterprise LTSC
（組み込みOS）って何？
普通のWindows 10との違いを解説！

2020/12/28

組み込みOSは、製造ライン専用端末やPOS端末、デジタルサイネージなど、特定の用途で使用する端末向けのOSのことを言います。組み込みOSにはさまざまな種類がありますが、その中でも比較的性能の高いデジタル家電や通信機器などで利用されることが多いのが、Windows 10をベースにした組み込みOS「Windows 10 IoT Enterprise LTSC」です。

普通のWindows 10とは何が違う？特定用途PCに特化した機能を搭載

普通のWindows 10の更新プログラムには、セキュリティ上の脆弱性や不具合の解消を目的とした「品質更新プログラム」と新機能の追加や機能拡張を目的とした「機能更新プログラム」の2種類が提供されています。Windows 10では、業務で使用しているアプリケーションの動作に影響のある「機能更新プログラム」が半年に1回の頻度で実施されており、運用管理者の頭を悩ませる原因にもなっています。一方で、Windows 10 IoT Enterprise LTSCでは、メジャーアップデートを適用しなくても良く、最長10年間のサポートを受けられるというメリットがあります。

また、ストレージへの書き込み制限や初期設定の保持、実行可能なアプリの制限などが可能で、目的の用途以外には使えないように機能を制限できるロックダウン機能を搭載している点も、普通のWindows 10との違いです。

機能	Windows 10 IoT Enterprise	Windows 10 Pro
機能更新プログラム（Feature Update：FU）	10年間更新せずに利用可能	半年に1回更新
品質更新プログラム（Quality Update：QU）	○	○
ロックダウン機能	○	×

一方で、Edgeや特定用途PCに適さない機能は搭載されていなかったり、シンクライアント環境利用する場合はインストールが禁止されているアプリケーションもあります。

Windows 10 IoT Enterpriseのメリットとは？

Windows 10 IoT Enterpriseのメリットは大きく3つあります。
① 強固なセキュリティ
② 安定した長期運用
③ ロックダウン機能によるカスタマイズ

① 強固なセキュリティ

Windows 10では、Windows 8.1にはなかったセキュリティ機能が新たに標準搭載されています。これらの機能を活用することで、余計なコストや手間をかけずに、標的型攻撃や情報漏えいなどから大切な情報資産を守ることが可能になります。

それでは、攻撃前、攻撃開始時、攻撃中、攻撃後の4つのフェーズでどんな対策が取れるのか見てみましょう。

● 攻撃前：顔認証/指紋認証でサイバー攻撃を受けないように事前対策！

ユーザーと端末間、端末とサービス間の認証を分離することで、認証情報がネットワークに漏えいすることを防ぐ「Microsoft Passport」を利用することで、総攻撃やパスワードの漏えいなどによる不正アクセスを事前に防止できます。

● 攻撃開始時：マルウェア感染検知でウィルス感染被害の拡大を防ぐ！

Windows 10には、ウイルス対策ソフト「Windows Defender」が標準搭載されています。パソコンの動作を常時監視しウイルスが入り込もうとしたらそれらを遮断する「リアルタイム保護」やウイルスに感染していないかを探す「スキャン保護」、ランサムウェアやトロイの木馬などを強力にシャットダウンする機能が搭載されており、必要最低限のウイルス対策が可能です。

● 攻撃中：認証情報の盗難防止でシステム全体への攻撃を防止！

資格情報を分離し、権限のあるシステムソフトウェアのみがアクセスできるようにすることで、多くの攻撃で使用される認証情報の盗難攻撃やツールをブロックできる「Windows Defender Credential Guard」を搭載しています。万が一マルウェアに感染した場合も、管理者権限の情報を盗まれてシステム全体が攻撃されることを防止できます。

● 攻撃後：データ損失防止機能で情報漏えい後もデータを守る！

PCなどの紛失による情報漏えいを防ぐための暗号化機能である「BitLocker」に加え、データとアプリケーションをそれぞれビジネス用途と個人用途に分離し、ビジネスデータを個人用途に利用することを防ぐ「Windows Information Protection（WIP）」を利用できます。保護されたアプリ以外ではデータを共有したりアクセスできないようにすることができ、ユーザーの誤操作なども含め、万が一、データが外部に流出した場合も、内容が読み取られる心配はありません。

② 10年間更新せずに使い続けられるから、運用負担を最小限にできる

Windows 10の更新プログラムのうち、「機能更新プログラム」は非常に厄介です。更新プログラムの更新中は端末を操作できない状態になるため、予期しないアップデートが業務に支障をもたらす可能性もあります。また、特定の業務で使用する端末の場合、予期しないタイミングでアップデートが始まり、これまで使用していたアプリが使えなくなってしまったという問題も起こりかねないため、アップデート前にアプリが正しく動作するか検証する必要があり、多くの運用管理者の負担になっています。

さらに、この機能更新プログラムは、年2回の頻度でリリースされており、サポート期間はリリースから18カ月とされています。そのため、継続的にサポートを受けるためには、きちんと機能更新プログラムを適用する必要があります。

一方で、LTSCの場合、品質更新プログラムの提供のみで、機能更新プログラムが提供されないため、最長10年間にわたってアップデートしなくてもサポートを受けながら利用し続けることが可能です。特定用途に特化して作り込んだ端末など、一度設定して運用を初めてしまえば、その後長期間安定して利用し続けられます。

③ ロックダウン機能でカスタマイズ

汎用PCとは異なり、組み込みOSが搭載される端末は、特定の用途で使用する専用端末として用いられます。それ故、起動後に特定のアプリがすぐに起動できる、想定フロー以外の操作はさせないなど、システムの安定性と信頼性が求められます。これらを実現するのが、Windows 10 IoT Enterprise LTSCに搭載されるロックダウン機能で、OSの設定や動作を制限できます。ロックダウン機能を活用することで、業務シナリオに応じて自由にカスタマイズが可能になります。

ロックダウン機能の“いろいろ”

Write Filter
ストレージに書き込みさせないように制御可能

Shell Launcher
あらかじめ指定したアプリのみ動作（いわゆるキオスクモードの提供）するように設定可能

Keyboard Filter
キーボード入力によるスタートメニュー表示（Winキー）やAlt+Tab、Alt＋F4など管理者が想定しない操作をさせないように設定可能

Custom Logon
サインイン画面、ロック画面などWindows要素の表示を抑制します。デスクトップ画面などを表示させずに直接アプリを起動させることも可能

Unbranded Boot
起動処理中に表示されるロゴやテキストメッセージなどを非表示化できます。

ThinBoot ZEROでは、簡単に設定可能なオリジナル制御ツールを標準提供

ThinBoot ZEROでは、通常はコマンドで設定を行う書き込み制御や操作制御を、GUIで簡単に設定できる制御ツールを提供しています。

ロックダウン機能を初めて利用する場合にもチェックのON/OFFで簡単に右クリックの禁止やローカルドライブを表示させないなどの設定が可能です。さらに、OS起動時の動作やデスクトップ画面のカスタマイズなどもご要望に応じて対応可能です。