こんにちは、アネシスの谷田貝です。

今回は業務サポートをさせて頂いております宇都宮市のお客様から『社内業務ソフトが重くて動かない』とのご相談があって対応したのですが、その内容について触れたいと思います。

ご連絡頂いた業務用ソフトはワークフローやコミュニケーションツール、ドキュメント管理などを総合した『グループウェア』で、全社員が主業務に使用する基幹システムです。

システムそのものはリースサーバー上にあり、OSはWindows Server2016。グループウェアの使用者は各個人PCのブラウザからアクセスして使用する形態です。

タスクマネージャー、リソースメーターの確認

では解析開始です。

私の事務所からリモートデスクトップでサーバーに入り、まずはタスクマネージャーを起動して状態の確認です。

早速『何だこれ?』的な何かが発生していますね。

Antimalware Service Executable』というプロセス単独でCPU負荷が48%。原因はまず間違いなくこれでしょう。

左端の『>』をクリックしてプロセスのもとになっているサービスを見てみます。

はい、プロセスの元が『Windows Defender』である事がわかりました。

続いてリソースモニターを起動してみます。※キャプチャ画像が粗くてすみません。。。。

ご覧の通り高負荷になっています。

そしてこちらでも突出したプロセスが一つ。『MsMpEng.exe』です。

しばらく監視したところCPU負荷は常に80%を超えていて100%になる事もしばしば。確かにこれでは重くなるのは当然ですね。

原因は『Windows Defender』の暴走?

細かい詳細については割愛しますが異常値を示している下の二つ

  • Antimalware Service Executable
  • MsMpEng.exe

これは二つとも『Windows Defender』に絡んだもので、各々がそのプロセスと実行ファイルになります。Windows Defenderとはマイクロソフトが開発したセキュリティソフトで、Windows Vista以降のOSに無償で標準搭載されているものです。

以前はセキュリティソフトとしての信頼性を疑問視する声が多かったのですが、最近では有料ソフトと比較しても引けを取らない水準まで上がってきたとのネット上での報告も多くなりました。

さて、ではなぜDefenderがこんな高負荷になっているのか?という事ですが、残念ながらその原因まではわかりませんでした。

ただこの症状を調べていくと、同じ症例がたくさん報告されていることがわかりました。原因そのものは不明ですが、いわゆるDefenderの『暴走』です

Windows Defenderを停止する方法

Defenderが暴走した原因は掴めませんでしたが、CPU負荷が異常値になっている原因がDefenderである事はわかりました。

まずはこのDefenderの暴走を止めなければ社員の皆さんがシステムを正常に使用できない訳ですが、こういう症状の場合にまず最初にやるべきことは『パソコンの再起動』です。

パソコンは使えば使うほど様々な情報が内部で処理され、重く不安定になってきます。再起動はそうした状態をある程度は初期値に戻してくれるため内容によってはあっけなく改善される事も多いものです。もし皆さんが同じような症状になった場合はあまり深く悩まずにまずは再起動をお試しください。

本当であれば今回もまずは『再起動』をして状態を見たかったのですが、会社の基幹システムが稼働しているアプリケーションサーバーで、しかも通常業務時間の真っただ中。多くの社員の皆さんが使用中とあればいきなり電源を切る訳にも行きません。

そこでDefenderを強制的に停止させて見ることにしました。

さて、ここで考えなければいけないのは『例え短時間でも会社の基幹システムが稼働しているサーバーのセキュリティソフトを簡単に停止させて大丈夫なの?』という事です。

これについてもう一つ、実はこのサーバーには別の業務用セキュリティソフトが最初から導入されています。つまりセキュリティソフトが併用されていた事になる訳です。ふと『併用なら更に強力?』と思いがちですが実際はその逆で、ソフトウェア同士が干渉や衝突をおこして動作が重くなったり様々な症状を引き起こすと言われています。もしかすると今回の暴走もそういった要因が元になっていたのかもしれません。

推測はともかく、まず業務用セキュリティソフトのメーカーに問い合わせをしたところ、やはりDefenderとの併用はまずいらしく、停止もしくは削除してくださいとの指示でした。

さっそくDefenderを停止した訳ですが、せっかくですのでWindows10による停止方法の動画を載せておきます。必要な方は参考にしてください。

Defenderを停止→再起動で改善されました

設定からDefenderを停止させてみたのですが、起動しているプロセスが終了しないためCPUの負荷が下がりません。

手動によるプロセスの強制終了を試みましたがこれも受け付けません。どうやらやはり再起動が必要と判断しました。

サーバーの再起動をアナウンスして頂き、時間を決めて再起動を実行。

その結果が次の画像です。

いかがでしょう! Defenderの停止と再起動で無事正常値に戻りましたあれほど高い負荷を見せていた例のプロセスももうありません。再起動後はセキュリティソフトメーカーの指示通りDefenderは停止したままになっています。これにて今回の一件は収束をしたと言っていいでしょう。

という訳で、今回は『Windows Defenderの暴走』についてでした。

長々とありがとうございました。

また次の機会にお会いしましょう。では!(^.^)/

【追伸】Defenderは粗悪ではない!

さて最後にもう一つ、誤解がないようにお話ししておきます。

今回の話の流れ的にDefenderが悪者みたいになってしまったかもしれませんが、決してDefenderが粗悪な訳ではなく他社有料ソフトと比較しても見劣りしない優秀なソフトです

これは個人的な所感ですが、Defenderそのものを本当にマイクロソフトが開発しているとした場合、Windowsという根本を理解してその弱点も分かった上で開発しているはずです。そんなアドバンテージがあるにも関わらず他社より劣る部分があるとするならば、セキュリティウェアとしてのこれまでの経験と実績が不足していることしかありません。

Defenderが優秀であることを裏付けるデータがネット上にたくさん出ていますし、下記サイトで詳しい解説が掲載されていますので興味のある方はご覧になって頂くと分かりやすいかと思います。

Windows 10 は Defender だけで十分なのか?標準搭載のウイルス対策ソフト 【tanweb.net(キタムラ様のHP)】

以上、今回のコラムはここまでとします。

改めてありがとうございました。(^^)V