脆弱性検出サービス セットアップガイド(Windows版)

[更新:2026年03月17日]

概要

本ドキュメントでは、さくらのクラウドサーバ(Windows版)における脆弱性検出サービスのセットアップ手順について説明します。

セットアップ手順

手順1:監視対象サーバの作成

脆弱性検出サービスの監視対象となるWindows Serverを作成します。

サーバ作成の流れ

  1. さくらのクラウド にアクセスし、さくらのクラウドユーザーとしてログインします。

さくらのクラウドのログイン画面

  1. 「さくらのクラウド」を選択します。

さくらのクラウドのホーム

  1. 左メニューから「サーバ」を選択し、「追加」ボタンをクリックします。

さくらのクラウド サーバ追加画面

  1. 以下の設定でWindowsサーバを作成します:

    • ディスクイメージ: Windows Server 2019/2022/2025 のいずれか(脆弱性監視サービス対応OS一覧)

    • サーバプラン: 任意

    • ディスクプラン: 任意

    • 接続先ネットワーク: インターネット

    • ホスト名: 任意の文字列

サーバの作成画面

  1. 作成されたサーバは、メニューの「サーバ」から確認できます。

サーバ作成完了

詳細な作成手順については、 さくらのクラウドサーバの作成・削除 を参考にしてください。

手順2:脆弱性検出サービス作成APIの実行

脆弱性検出サービスのリソース作成APIを実行してインストールスクリプトを取得します。

APIエンドポイント

  • メソッド: POST

  • エンドポイント: /addon/1.0/security/vulnerability

リクエストボディ

{
  "os": 1, // Windows
  "location": "japaneast"
}

レスポンス例

{
    "resourceGroupName": "{リソースグループ名}",
    "installScript": "$global:scriptPath=$myinvocation.mycommand.definition;function Restart-AsAdmin{$pwshCommand=\"powershell\";if($PSVersionTable.PSVersion.Major -ge 6){$pwshCommand=\"pwsh\"}try{Write-Host\"This script requires administrator permissions to install the Azure Connected Machine Agent. Attempting to restart script with elevated permissions...\";$arguments=\"-NoExit -Command `\"& ''$scriptPath''`\"\";Start-Process $pwshCommand -Verb runAs -ArgumentList $arguments;exit 0}catch{throw\"Failed to elevate permissions. Please run this script as Administrator.\"}}try{if(-not([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)){if([System.Environment]::UserInteractive){Restart-AsAdmin}else{throw\"This script requires administrator permissions to install the Azure Connected Machine Agent. Please run this script as Administrator.\"}}$env:SUBSCRIPTION_ID=\"{サブスクリプションID}\";$env:RESOURCE_GROUP=\"{リソースグループ名}\";$env:TENANT_ID=\"{テナントID}\";$env:LOCATION=\"japaneast\";$env:CLOUD=\"AzureCloud\";[Net.ServicePointManager]::SecurityProtocol=[Net.ServicePointManager]::SecurityProtocol-bor 3072;Invoke-WebRequest -UseBasicParsing -Uri \"https://gbl.his.arc.azure.com/azcmagent-windows\" -TimeoutSec 30 -OutFile \"$env:TEMP\\install_windows_azcmagent.ps1\";& \"$env:TEMP\\install_windows_azcmagent.ps1\";if($LASTEXITCODE -ne 0){exit 1};& \"$env:ProgramW6432\\AzureConnectedMachineAgent\\azcmagent.exe\" connect --resource-group \"$env:RESOURCE_GROUP\" --tenant-id \"$env:TENANT_ID\" --location \"$env:LOCATION\" --subscription-id \"$env:SUBSCRIPTION_ID\" --cloud \"$env:CLOUD\" --tags \"ArcSQLServerExtensionDeployment=Disabled\" --use-device-code}catch{$logBody=@{subscriptionId=\"$env:SUBSCRIPTION_ID\";resourceGroup=\"$env:RESOURCE_GROUP\";tenantId=\"$env:TENANT_ID\";location=\"$env:LOCATION\";operation=\"onboarding\";messageType=$_.FullyQualifiedErrorId;message=\"$_\"};Invoke-WebRequest -UseBasicParsing -Uri \"https://gbl.his.arc.azure.com/log\" -Method \"PUT\" -Body ($logBody | ConvertTo-Json) | out-null;Write-Host -ForegroundColor red $_.Exception}"
}

手順3:インストールスクリプトの取得と処理

APIレスポンスからインストールスクリプトを取得し、実行可能な形式に変換します。

3-1. インストールスクリプトの取得

「手順2 脆弱性検出サービス作成apiの実行」で実行したAPIのレスポンスから、 installScript フィールドの値をコピーします。

{
  "resourceGroupName": "{リソースグループ名}",
  "installScript": "$global:scriptPath=<XXXXXXXXXX>"
}

3-2. エスケープ文字の置換処理

取得したインストールスクリプトには、JSON形式のエスケープ文字(\")が含まれています。このままでは実行できないため、以下の変換を行います:

変換内容: - \"" に置き換え

重要

変換後のスクリプトは、「手順4-2 ssh接続でのスクリプト実行」で使用します。必ずメモ帳などに保存しておいてください。

手順4:インストールスクリプトの実行

取得したインストールスクリプトを監視対象サーバで実行します。

4-1. サーバへのアクセス

  1. さくらのクラウドコントロールパネルで作成したサーバにアクセスします。

  2. HTML5モードでリモートスクリーン接続します。

  3. 以下の手順でWindows初期設定を行います。

言語設定を日本語に設定し、「次へ」をクリックします。

Windows Server 初期設定画面1

ライセンス条項を確認し、「承諾する」をクリックします。

Windows Server 初期設定画面2

Administratorアカウントのパスワードを設定します。

Windows Server 初期設定画面3

重要

パスワードは、「手順4-2 リモートデスクトップ接続でのスクリプト実行」で必要になります。必ず控えておいてください。

4-2. リモートデスクトップ接続でのスクリプト実行

さくらのクラウドに作成したサーバに手元のパソコンからリモートデスクトップ接続してスクリプトを実行します。

  1. 手元のパソコンからリモートデスクトップ接続

  • 手元のパソコンから、Windowsのリモートデスクトップ接続を使用してサーバに接続します。

  • Windowsの「スタート」メニューから「リモートデスクトップ接続」を検索して起動します。

リモートデスクトップ検索

  • 「コンピューター」欄にサーバのIPアドレスを入力します。

リモートデスクトップ 設定画面1

  • サーバのIPアドレスは、さくらのクラウドコントロールパネルの「サーバ」から確認できます。

サーバのIPアドレス確認

  • 「オプションの表示」をクリックし、ユーザー名にAdministratorと入力し、「接続」をクリックします。

リモートデスクトップ 設定画面2

  • パスワードの入力が求められるので、「手順4-1 サーバへのアクセス」で設定したパスワードを入力します。

リモートデスクトップ 設定画面3

  • 下記のような警告が表示される場合がありますが、「はい」をクリックして続行します。

リモートデスクトップ 警告

  1. PowerShellを起動

リモートデスクトップ接続後、スタートメニューから「PowerShell」を検索して起動します。

PowerShell 起動

  1. インストールスクリプトの実行

「手順3-2 エスケープ文字の置換処理」 で処理したインストールスクリプトをPowerShellで実行します。

PowerShell スクリプト実行

  1. Azure認証

    スクリプト実行中に以下のメッセージが表示されます

> To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code {コード} to authenticate.

  1. ブラウザで https://microsoft.com/devicelogin にアクセスします。

  2. 表示されたコードを入力します。

  3. Add-on用のEntraユーザーアカウントでサインインします。

※Webブラウザでセキュリティ警告が出た場合、対象サイトを信頼済みサイトに登録してから作業を継続してください。

4-3. 完了確認

インストールが正常に完了すると、以下のメッセージが表示されます:

INFO    Azure にマシンを接続しました
INFO    コンピューターの概要ページ: https://portal.azure.com/#@{テナントID}/resource/subscriptions/{サブスクリプションID}/resourceGroups/{リソースグループ名}/providers/Microsoft.HybridCompute/machines/{マシン名}/overview

※URLに含まれる各ID(テナントID、サブスクリプションID、リソースグループ名、マシン名)は、お客様の環境に応じた実際の値が表示されます。

インストールスクリプトの正常実行により、以下の機能が有効化されます: - Azure Arc エージェント(Azure Connected Machine Agent) のインストールと構成 - 脆弱性検出サービス の利用開始

Azure ポータルでの確認

実行結果に表示される「コンピューターの概要ページ」のURLをクリックすることで、Azureポータル上で接続されたサーバの詳細情報を確認できます。このページでは、サーバの状態、構成、およびセキュリティ情報を監視・管理することが可能です。

Azure Arc サーバの概要(接続済み)

セットアップ完了

以上で、さくらのクラウドサーバ(Windows)における脆弱性検出サービスのセットアップが完了しました。