PowerShellで実践するセキュリティ監査：CVEスキャンとパッチ管理の基礎

セキュリティ脆弱性の管理は、現代のIT運用における最重要課題の一つです。

本記事では、PowerShellを使用してセキュリティ脆弱性を効率的に検出し、修正する方法を学びます。

特に、CVE（Common Vulnerabilities and Exposures）スキャンとパッチ管理に焦点を当て、実践的なスクリプト例とステップバイステップの手順を提供します。

セキュリティ監査とは？
PowerShellでCVEスキャンを行う
1. 必要なモジュールのインストール
2. スクリプト例：CVEの検索
パッチ管理：PowerShellによる自動化
1. スクリプト例：アップデートのインストール
2. 自動スケジュールの設定
学んだ内容の演習問題
1. 演習問題 1: CVEスキャンスクリプトの修正
2. 演習問題 2: パッチ適用スクリプトの改良
解答例
1. 解答例 1: CVEスキャンスクリプトの修正
2. 解答例 2: パッチ適用スクリプトの改良
まとめ

セキュリティ監査とは？

セキュリティ監査は、システムやネットワークの安全性を評価し、脆弱性を特定するプロセスです。以下のポイントが主な目的です：

脆弱性の検出：既知の脆弱性（CVE）をシステム上で検出する。
パッチの適用：検出した脆弱性を修正するためのアップデートやパッチを適用する。
リスク管理：修正できない脆弱性に対して適切な緩和策を講じる。

PowerShellは、Windows環境でこれらのタスクを自動化するための強力なツールを提供します。

PowerShellでCVEスキャンを行う

CVEスキャンは、システムが既知の脆弱性にさらされているかどうかを確認するために行います。以下に、簡単なスクリプト例を示します。

必要なモジュールのインストール

PowerShellで脆弱性スキャンを行うには、PSWindowsUpdateやVulnerability Assessmentなどのモジュールが役立ちます。

以下のコマンドでモジュールをインストールします：

# モジュールのインストール
Install-Module -Name PSWindowsUpdate -Force
Install-Module -Name Posh-ACME -Force

スクリプト例：CVEの検索

以下のスクリプトは、ローカルマシンで未解決の脆弱性を検索します。

# CVE情報の取得
function Get-CVEReport {
    Write-Host "CVEスキャンを開始します..." -ForegroundColor Green

    # ローカルのWindows更新プログラムのステータスを確認
    $UpdateSession = New-Object -ComObject Microsoft.Update.Session
    $Searcher = $UpdateSession.CreateUpdateSearcher()
    $SearchResult = $Searcher.Search("IsInstalled=0 and Type='Software'")

    if ($SearchResult.Updates.Count -eq 0) {
        Write-Host "脆弱性は見つかりませんでした。" -ForegroundColor Green
    } else {
        Write-Host "検出された未解決の更新プログラム：" -ForegroundColor Yellow
        foreach ($Update in $SearchResult.Updates) {
            Write-Host $Update.Title -ForegroundColor Cyan
        }
    }
}

# 実行
Get-CVEReport

パッチ管理：PowerShellによる自動化

パッチ管理は、CVEスキャンで検出した脆弱性を解消する重要なプロセスです。以下のステップで、自動的にWindowsのアップデートを適用する方法を説明します。

スクリプト例：アップデートのインストール

# Windowsアップデートのインストール
function Install-Updates {
    Write-Host "Windowsアップデートのインストールを開始します..." -ForegroundColor Green

    # アップデートの検索
    $UpdateSession = New-Object -ComObject Microsoft.Update.Session
    $Searcher = $UpdateSession.CreateUpdateSearcher()
    $SearchResult = $Searcher.Search("IsInstalled=0")

    if ($SearchResult.Updates.Count -eq 0) {
        Write-Host "インストール可能なアップデートはありません。" -ForegroundColor Green
    } else {
        foreach ($Update in $SearchResult.Updates) {
            Write-Host "インストール中：" $Update.Title -ForegroundColor Yellow
            $Update.Install()
        }
    }

    Write-Host "すべてのアップデートがインストールされました。" -ForegroundColor Green
}

# 実行
Install-Updates

自動スケジュールの設定

以下のコマンドを使用して、このスクリプトを定期的に実行するタスクスケジューラを設定できます：

# タスクスケジューラに登録
$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File "C:\Scripts\InstallUpdates.ps1"'
$Trigger = New-ScheduledTaskTrigger -Daily -At 3am
Register-ScheduledTask -Action $Action -Trigger $Trigger -TaskName "AutoPatchManagement" -Description "定期的にパッチを適用"

学んだ内容の演習問題

演習問題 1: CVEスキャンスクリプトの修正

以下の要件を満たすように、先ほどのGet-CVEReportスクリプトを修正してください：

検出されたCVE情報をC:\Logs\CVE_Report.txtに保存する。
スクリプトの実行日時をログに含める。

演習問題 2: パッチ適用スクリプトの改良

Install-Updatesスクリプトを改良し、以下を追加してください：

適用されたアップデートの情報をC:\Logs\Update_Log.txtに記録する。
インストールが完了した後、再起動が必要かどうかを通知する機能を実装する。

解答例

解答例 1: CVEスキャンスクリプトの修正

function Get-CVEReport {
    $LogFile = "C:\Logs\CVE_Report.txt"
    $DateTime = Get-Date -Format "yyyy-MM-dd HH:mm:ss"

    Add-Content -Path $LogFile -Value "スキャン実行日時: $DateTime"

    $UpdateSession = New-Object -ComObject Microsoft.Update.Session
    $Searcher = $UpdateSession.CreateUpdateSearcher()
    $SearchResult = $Searcher.Search("IsInstalled=0 and Type='Software'")

    if ($SearchResult.Updates.Count -eq 0) {
        Add-Content -Path $LogFile -Value "脆弱性は見つかりませんでした。"
    } else {
        foreach ($Update in $SearchResult.Updates) {
            Add-Content -Path $LogFile -Value $Update.Title
        }
    }
}

解答例 2: パッチ適用スクリプトの改良

function Install-Updates {
    $LogFile = "C:\Logs\Update_Log.txt"
    $DateTime = Get-Date -Format "yyyy-MM-dd HH:mm:ss"

    Add-Content -Path $LogFile -Value "パッチ適用実行日時: $DateTime"

    $UpdateSession = New-Object -ComObject Microsoft.Update.Session
    $Searcher = $UpdateSession.CreateUpdateSearcher()
    $SearchResult = $Searcher.Search("IsInstalled=0")

    if ($SearchResult.Updates.Count -eq 0) {
        Add-Content -Path $LogFile -Value "適用可能なアップデートはありません。"
    } else {
        foreach ($Update in $SearchResult.Updates) {
            Add-Content -Path $LogFile -Value "インストール中: $Update.Title"
            $Update.Install()
        }
    }

    if ((Get-WmiObject -Query "Select * from Win32_ComputerSystem").AutomaticResetBootStatus -eq $true) {
        Add-Content -Path $LogFile -Value "システムの再起動が必要です。"
        Write-Host "再起動が必要です。" -ForegroundColor Yellow
    }
}

まとめ

本記事では、PowerShellを活用してセキュリティ脆弱性を検出・修正する方法を学びました。CVEスキャンとパッチ管理の自動化は、手間を大幅に削減し、セキュリティリスクを最小限に抑える効果的な方法です。

演習を通じて、自分の環境に応じたスクリプトをカスタマイズし、

さらに深く理解を深めましょう。