「Microsoft ネットワーク リアルタイム検査サービス」(NisSrv.exe) とは何ですか? 私の PC で実行されているのはなぜですか?

Windows 10 には、ウイルスやその他の脅威から PC を保護する Windows Defender が含まれています。 NisSrv.exe としても知られる「Microsoft Network Realtime Inspection Service」プロセスは、Microsoft のウイルス対策ソフトウェアの一部です。

Microsoft Security Essentials ウイルス対策ソフトウェアがインストールされている場合、このプロセスは Windows 7 にも存在します。これは、Microsoft の他のマルウェア対策製品の一部でもあります。

この記事は、 Runtime Broker 、 svchost.exe 、 dwm.exe 、 ctfmon.exe 、 rundll32.exe 、 Adobe_Updater.exe など 、タスク マネージャーにあるさまざまなプロセスを説明する 継続的なシリーズ の一部です。それらのサービスが何なのか知りませんか?読み始めたほうがいいよ！

Windows Defenderの基本

Windows 10 では、 がデフォルトでインストールされます。 Windows Defender はバックグラウンドで自動的に実行され、ファイルを開く前にマルウェアがないかスキャンし、他の種類の攻撃から PC を保護します。

Windows Defender のメイン プロセスは「 Antimalware Service Executable 」という名前で、ファイル名は MsMpEng.exe です。このプロセスでは、ファイルを開いたときにマルウェアがないかチェックし、バックグラウンドで PC をスキャンします。

Windows 10 では、スタート メニューから「Windows Defender セキュリティ センター」アプリケーションを起動することで、Windows Defender と対話できます。 [設定] > [更新とセキュリティ] > [Windows セキュリティ] > [Windows Defender セキュリティ センターを開く] に移動して見つけることもできます。 Windows 7 では、代わりに「Microsoft Security Essentials」アプリケーションを起動します。このインターフェイスを使用すると、マルウェアを手動でスキャンし、ウイルス対策ソフトウェアを構成できます。

NisSrv.exe は何をするものですか?

NisSrv.exe プロセスは、「Windows Defender ウイルス対策ネットワーク検査サービス」としても知られています。 Microsoft のこの の説明によると、「ネットワーク プロトコルの既知および新たに発見された脆弱性を狙った侵入の試みを防ぐのに役立ちます」。

つまり、このサービスは常に PC のバックグラウンドで実行され、ネットワーク トラフィックをリアルタイムで監視および検査します。攻撃者がネットワーク プロトコルのセキュリティ ホールを悪用して PC を攻撃しようとしていることを示唆する不審な動作を探しています。このような攻撃が検出された場合、Windows Defender は直ちにそれをシャットダウンします。

新しい脅威に関する情報を含むネットワーク検査サービスの更新は、Windows Defender (Windows 7 PC を使用している場合は Microsoft Security Essentials) の定義更新を通じて提供されます。

この機能はもともと 2012 年に Microsoft のウイルス対策プログラムに追加されました。Microsoft の ブログ投稿では これについてもう少し詳しく説明しており、これは「パッチが適用されていない脆弱性に対する既知のエクスプロイトに一致するネットワーク トラフィックをブロックできる、当社のゼロデイ脆弱性シールド機能です」と述べられています。そのため、Windows またはアプリケーションで新しいセキュリティ ホールが見つかった場合、Microsoft はそれを一時的に保護するネットワーク検査サービスの更新をただちにリリースできます。その後、Microsoft、またはアプリケーション ベンダーは、セキュリティ ホールに恒久的なパッチを適用するセキュリティ アップデートに取り組むことができますが、それには時間がかかる場合があります。

それは私をスパイしているのでしょうか?

「Microsoft Network Realtime Inspection Service」という名前は、最初は少し不気味に聞こえるかもしれませんが、実際には、既知の攻撃の証拠がないかネットワーク トラフィックを監視する単なるプロセスです。攻撃が検出されるとシャットダウンされます。これは、開いたファイルを監視して危険かどうかをチェックする、標準のウイルス対策ファイル スキャンと同じように機能します。危険なファイルを開こうとすると、マルウェア対策サービスによって阻止されます。

この特定のサービスは、Web 閲覧やその他の通常のネットワーク アクティビティに関する情報を Microsoft に報告しません。ただし、 デフォルトの「フル」システム全体のテレメトリ設定 では、Microsoft Edge および Internet Explorer でアクセスした Web アドレスに関する情報が Microsoft に送信される可能性があります。

Windows Defender は、検出した攻撃を Microsoft に報告するように構成されています。必要に応じて、これを無効にすることもできます。これを行うには、Windows Defender セキュリティ センター アプリケーションを開き、サイドバーの [ウイルスと脅威の保護] をクリックし、[ウイルスと脅威の保護の設定] 設定をクリックします。 「クラウド提供の保護」オプションと「自動サンプル送信」オプションを無効にします。

Microsoft に送信される攻撃に関する情報は他のユーザーを保護するのに役立つため、この機能を無効にすることはお勧めしません。クラウド提供の保護機能を使用すると、PC が新しい定義をより迅速に受信できるようになり、 ゼロデイ攻撃 から保護するのに役立ちます。

無効にできますか?

このサービスは Microsoft のマルウェア対策ソフトウェアの重要な部分であり、Windows 10 では簡単に無効にすることはできません。Windows Defender セキュリティ センターでリアルタイム保護を一時的に無効にすることはできますが、自動的に再び有効になります。

ただし、別のウイルス対策プログラムをインストールすると、Windows Defender は自動的に無効になります。これにより、Microsoft Network Realtime Inspection Service も無効になります。他のウイルス対策アプリには、独自のネットワーク保護コンポーネントがある可能性があります。

言い換えれば、この機能を無効にすることはできませんし、無効にするべきではありません。 PC の保護に役立ちます。別のウイルス対策ツールをインストールすると、そのツールは無効になります。これは、その別のウイルス対策ツールが同じ仕事をしていて、Windows Defender が邪魔をしたくないためです。

ウイルスですか?

このソフトウェアはウイルスではありません。これは Windows 10 オペレーティング システムの一部であり、システムに Microsoft Security Essentials がインストールされている場合は Windows 7 にもインストールされます。 Microsoft System Center Endpoint Protection など、他の Microsoft マルウェア対策ツールの一部としてインストールされる場合もあります。

ウイルスやその他のマルウェアは、正規のプロセスに偽装しようとすることがよくありますが、マルウェアが NisSrv.exe プロセスになりすましたという報告は見たことがありません。とにかく心配な場合は、ファイルが正規のものであることを確認する方法を次に示します。

Windows 10 では、タスク マネージャーで「Microsoft Network Realtime Inspection Service」プロセスを右クリックし、「ファイルの場所を開く」を選択します。

最新バージョンの Windows 10 では、C:\ProgramData\Microsoft\Windows Defender\Platform\4.16.17656.18052-0 のようなフォルダーにプロセスが表示されますが、フォルダーの番号は異なる可能性があります。

Windows 7 では、NisSrv.exe ファイルは C:\Program Files\Microsoft Security Client に表示されます。

NisSrv.exe ファイルが別の場所にある場合、または単に疑わしいため PC を再確認したい場合は、選択したウイルス対策プログラムで PC をスキャンすることをお勧めします。