Windows 10には、ウイルスなどの脅威からパソコンを守る「Windows Defender」が搭載されています。NisSrv.exe ファイルとして知られている "Microsoft Network Real-Time Inspection Service" プロセスは、マイクロソフトのウイルス対策ソフトの一部です。

この処理は、Microsoft Security Essentials AntivirusがインストールされているWindows 7でも行われます。また、マイクロソフトの他のマルウェア対策製品にも含まれています。

この記事は、ランタイムエージェント、マスタープロセス、dwm.exeファイル、入力メソッド、rundll32.exe、Adobe_Updater.exeなど、タスクマネージャの各種プロセスについて解説する連載の一部をご紹介します。どのようなサービスかご存じないですか？読み始めた方がいい！？

windows defenderの基本

Windows 10では、MicrosoftのWindows Defenderアンチウイルスが標準でインストールされています。 Windows Defenderはバックグラウンドで自動的に動作し、ファイルを開く前にマルウェアをスキャンして、他の種類の攻撃からコンピューターを保護します。

Windows Defenderのメインプロセスは「Anti-Malware Service Executable」と呼ばれ、MsMpEng.exeというファイル名を持っています。 ファイルを開いてバックグラウンドでコンピューターをスキャンすると、このプロセスがファイルにマルウェアがないかどうかをチェックします。

Windows 10では、スタートメニューからWindows Defender Security Centerアプリケーションを起動することで、Windows Defenderと対話することができます。また、「設定」→「更新とセキュリティ」→「Windows セキュリティ」→「Windows Defender セキュリティセンターを開く」で見つけることができます。Windows 7の場合、「Microsoft Security Essentials」アプリケーションを起動します。このインターフェースでは、マルウェアのスキャンやアンチウィルスソフトの設定を手動で行うことができます。

関連：Windows 10に最適なウイルス対策は？ (Windows Defenderで十分？)

nissrv.exeとはどのようなファイルかご存じですか？

このNisSrv.exeファイルプロセスは、「Windows Defender Antivirus Network Inspection Service」とも呼ばれます。マイクロソフトの説明によると、このサービスは、「ネットワークプロトコルの既知および新たに発見された脆弱性に対する侵入の試みを防止するのに役立つ」。

つまり、このサービスは常にコンピュータのバックグラウンドで動作し、リアルタイムでネットワークトラフィックを監視・検査するのです。攻撃者がネットワークプロトコルのセキュリティ上の脆弱性を悪用して、お客様のコンピューターを攻撃しようとしていることを示す不審な挙動を探します。このような攻撃を検知した場合、Windows Defenderは直ちにその攻撃をシャットダウンします。

Windows 7 PCをお使いの場合、新しい脅威に関する情報を含むNetwork Inspection Serviceの更新は、Windows DefenderまたはMicrosoft Security Essentialsの定義済み更新プログラムを通じて届きます。

この機能はもともと、2012年にマイクロソフトのウイルス対策プログラムに追加されたものです。マイクロソフトのブログでは、このことをより詳しく説明しています。"パッチを適用していない脆弱性に対する既知の攻撃とネットワークトラフィックのマッチングを停止させる、当社のゼロデイ脆弱性ブロック機能 "とあります。そのため、Windowsやアプリケーションに新たなセキュリティ脆弱性が発見された場合、マイクロソフトは直ちにNetwork Inspection Serviceの更新プログラムを発行し、一時的に保護することができます。マイクロソフトまたはアプリケーションベンダは、セキュリティ脆弱性を恒久的に修正するためにセキュリティアップデートを実行しますが、これにはしばらく時間がかかることがあります。

私を監視しているのか？

MicrosoftNetworkRealTimeInspection Service」という名称は少し不気味に聞こえるかもしれませんが、実際には、既知の攻撃の証拠となるネットワークトラフィックを監視するためのプロセスに過ぎません。攻撃を検知した場合は、停止させる。これは、一般的なアンチウィルスのファイルスキャンと同じで、開いたファイルを監視して危険かどうかをチェックするものです。危険なファイルを開こうとすると、アンチマルウェアサービスが停止します。

この特定のサービスは、お客様のウェブブラウジングやその他の通常のウェブ活動に関する情報をマイクロソフトに報告するものではありません。ただし、システム全体の遠隔測定設定をデフォルトの「フル」で使用すると、Microsoft EdgeおよびInternet ExplorerでアクセスしたWebアドレスに関する情報がMicrosoftに送信される場合があります。

Windows Defenderは、検出した攻撃をマイクロソフトに報告するように設定されています。お好みで無効にすることができます。そのためには、Windows Defenderセキュリティセンターアプリケーションを開き、サイドバーの「ウイルスと脅威の保護」をクリックし、「ウイルスと脅威の保護設定」の設定をクリックします。クラウド提供の保護」「サンプルを自動的に提出する」オプションを無効にする。

マイクロソフトに送信された攻撃に関する情報は、他の人を保護するのに役立つので、この機能を無効にすることはお勧めしません。また、クラウドによる保護は、PCが新しい定義ファイルをより早く受け取ることができるため、ゼロデイ攻撃から身を守ることができます。

無効化することはできますか？

このサービスは、Microsoftのマルウェア対策の重要な部分であり、Windows 10では簡単に無効にすることはできません。Windows Defender セキュリティセンターでリアルタイム保護を一時的に無効にすることができますが、自動的に再有効化されます。

ただし、他のアンチウイルスプログラムをインストールした場合、Windows Defenderは自動的に無効化されます。これにより、Microsoft Network Live Check サービスも無効になります。他のアンチウィルス・アプリケーションは、独自のネットワーク保護コンポーネントを備えている場合があります。

言い換えれば、この機能を無効にすることはできないし、してはいけないということです。パソコンを保護することができます。他のアンチウィルスツールがインストールされている場合は、無効化されますが、それは他のアンチウィルスツールが同じタスクを実行しているため、Windows Defenderがその邪魔をしたくないという理由だけです。

ウイルスなのか？

このソフトはウイルスではありません。Windows 10オペレーティングシステムの一部であり、Microsoft Security Essentialsがシステムにインストールされている場合は、Windows 7にもインストールされます。また、Microsoft System Center Endpoint Protectionなど、他のマイクロソフトのマルウェア対策ツールの一部としてインストールすることも可能です。

ウイルスやその他のマルウェアは、しばしば自身を正当なプロセスに見せかけようとしますが、NisSrv.exeファイルのプロセスを模倣するマルウェアの報告は見当たりません。心配な方は、以下の方法でファイルが正規のものかどうか確認してください。

Windows 10の場合、タスクマネージャで "Microsoft Network Live Inspection Service "のプロセスを右クリックし、"ファイルの場所を開く "を選択します。

最新版のWindows 10では、フォルダ番号が異なる場合がありますが、C: \ProgramDataMicrosoft⇄Windows Defender⇄Platformのようなフォルダにプロセスが表示されるはずです。

Windows 7の場合、NisSrv.exeファイルはC: \Program FilesMicrosoft Security Clientの下に表示されます。

もし NisSrv.exe が別の場所にあるようなら、あるいは単に疑わしいと思われるなら、お使いのコンピュータをウイルス対策ソフトでスキャンすることをお勧めします。