ホットパッチとは
ホットパッチ(Hotpatch)は、OSカーネルのメモリ上のコードを直接書き換え、再起動なしでセキュリティパッチを適用する技術です。Windows Server 2022のAzure Editionで先行導入され、その後Windows 11 Enterprise 24H2以降にも対応が拡大されました。
従来のパッチ適用では、セキュリティ更新のたびにPCの再起動が必要で、業務中断の大きな要因でした。ホットパッチにより、年間の再起動回数を12回から4回程度に削減できます。
2026年5月の変更内容
Microsoftは2026年5月から、Windows Autopatchの既定ポリシーをホットパッチに変更することを発表しました。
- 対象OS:Windows 11 Enterprise 24H2以降
- 対象ライセンス:Microsoft 365 E3/E5、Windows 365 Enterprise、Azure Virtual Desktop
- 既定の変更:Autopatchの品質更新ポリシーが「標準パッチ」から「ホットパッチ優先」に切り替わる
- オプトアウト可能:従来の標準パッチに戻すことも可能
⚠️ Business Premiumの対応状況
現時点でホットパッチの対象はE3/E5ライセンスです。Business Premiumでの対応は2026年後半に予定されています。Business Basic/Standardは対象外です。
従来パッチとホットパッチの比較
| 項目 | 従来パッチ | ホットパッチ |
|---|---|---|
| 適用方法 | ファイル置換後に再起動 | メモリ上のコードを直接書き換え |
| 再起動 | 毎月必要 | 四半期に1回のみ(ベースライン更新時) |
| 年間再起動回数 | 12回 | 4回 |
| 適用速度 | 10〜30分(再起動込み) | 数分(再起動なし) |
| 対象OS | 全Windows | Windows 11 Enterprise 24H2以降 |
| 配信サイクル | 毎月第2火曜日 | 毎月第2火曜日(3ヶ月に1回はベースライン) |
ホットパッチの4サイクル構成
ホットパッチは四半期ごとのサイクルで運用されます。
| 月 | 更新タイプ | 再起動 |
|---|---|---|
| 1月(Q1ベースライン) | 累積更新(フルパッチ) | 必要 |
| 2月 | ホットパッチ | 不要 |
| 3月 | ホットパッチ | 不要 |
| 4月(Q2ベースライン) | 累積更新(フルパッチ) | 必要 |
| 5月 | ホットパッチ | 不要 |
| 6月 | ホットパッチ | 不要 |
このサイクルが年間通じて繰り返されます。ベースライン月のみ再起動が必要で、それ以外の月はホットパッチにより再起動不要でセキュリティを維持できます。
Intuneでの設定手順
- 前提条件の確認:Windows 11 Enterprise 24H2以降、Entra IDに参加済み、Intuneに登録済み
- Autopatchの有効化:Microsoft Intune管理センター → テナント管理 → Windows Autopatch → 登録
- ホットパッチポリシーの確認:2026年5月以降、既定でホットパッチが有効。カスタム設定が必要な場合は更新リングポリシーで調整
- モニタリング:Autopatchレポートでホットパッチの適用状況を監視
中小企業への影響
メリット
- 業務中断の最小化:再起動による年間約8時間の業務停止を削減
- パッチ適用率の向上:再起動不要のため、ユーザーがパッチ適用を先延ばしにするリスクが軽減
- セキュリティ体制の強化:パッチ適用までの空白期間が短縮され、脆弱性の露出時間を削減
注意点
- 対象OSバージョン:Windows 11 24H2以降が必要。古いバージョンはアップグレードが前提
- ライセンス要件:E3/E5が必要。Business Premiumは2026年後半対応予定
- VDAライセンス:Azure Virtual Desktop環境ではVDAライセンスが追加で必要な場合あり
BTNコンサルティングの支援
Windows Autopatchの導入設定、ホットパッチポリシーの構成、既存のパッチ管理体制からの移行支援を提供します。Intune環境の構築からAutopatchの運用代行まで、「情シス365」で一括対応可能です。
まとめ
ホットパッチの既定化は、パッチ管理の常識を変える大きな転換点です。再起動不要のセキュリティ更新により、業務効率とセキュリティの両立が可能になります。2026年5月までにOSバージョンとライセンスの確認を済ませ、スムーズな移行を準備しましょう。