Windows 11の2026年2月のプレビュー更新プログラム(OSビルド26200/26100.7922)にWindows Sysinternalsのツールの1つである「Sysmon」がWindowsのオプション機能として追加されました。つまり、2026年3月のセキュリティ更新プログラム(セキュリティパッチ)で広く一般に利用可能になりました。これにより、SysinternalsのWebサイトやMicrosoft Storeからツールを入手しなくても、Windowsのコンポーネントの一部として利用できるようになります。
祝! SysmonがWindowsのコンポーネントに昇格
「System Monitor(Sysmon)」は、Windowsコンピューターやネットワーク上の、悪質なアクティビティを追跡するために作成されたWindows Sysinternalsのツールの1つです(https://learn.microsoft.com/ja-jp/sysinternals/downloads/sysmon)。現在では、Linux版も存在します(https://github.com/microsoft/SysmonForLinux)。
オリジナルであるWindows SysinternalsのSysmonは、インストールなしで使用できるWindows Sysinternalsの他のツールとは異なり、Windowsにサービスおよびドライバーとしてインストールされ、再起動を挟んでも継続的にシステムのアクティビティを監視することができるのが特徴です。Sysmonは、プロセスの作成と終了、カーネルドライバー、ダイナミックリンクライブラリ(DLL)やその他のイメージファイルの読み込み(ロード)、TCPおよびUDPのネットワーク接続(送信/受信)、スレッドの作成、直接ディスクアクセス、ファイルのタイムスタンプの変更(改ざん)を追跡し、Windowsイベントログに詳細なイベント(Microsoft-Windows-Sysmon/Operational)を書き込みます。
このSysmonが、今回Windowsの一部となり、オプションの機能として利用可能になりました(画面1)。ホットパッチが有効なWindows 11 Enterpriseの場合は、次のベースラインの更新である4月のセキュリティ更新プログラム以降で利用可能になるはずです。
オリジナルであるWindows SysinternalsのSysmonは、インストールなしで使用できるWindows Sysinternalsの他のツールとは異なり、Windowsにサービスおよびドライバーとしてインストールされ、再起動を挟んでも継続的にシステムのアクティビティを監視することができるのが特徴です。Sysmonは、プロセスの作成と終了、カーネルドライバー、ダイナミックリンクライブラリ(DLL)やその他のイメージファイルの読み込み(ロード)、TCPおよびUDPのネットワーク接続(送信/受信)、スレッドの作成、直接ディスクアクセス、ファイルのタイムスタンプの変更(改ざん)を追跡し、Windowsイベントログに詳細なイベント(Microsoft-Windows-Sysmon/Operational)を書き込みます。
このSysmonが、今回Windowsの一部となり、オプションの機能として利用可能になりました(画面1)。ホットパッチが有効なWindows 11 Enterpriseの場合は、次のベースラインの更新である4月のセキュリティ更新プログラム以降で利用可能になるはずです。
画面1 2026年3月から正式にWindows 11でオプションの機能として利用可能になった「Sysmon」
2026年2月後半に公開された以下の公式ドキュメントでは、「Windows 11および Windows Server 2025 のオプションの Windows 機能」と説明されていますが、2026年3月時の段階ではWindows Server 2025(OSビルド26100.32522)ではSysmonは利用可能になっていません(画面2)。
Sysmon の概要|Windows(Microsoft Learn)
画面2 2026年3月時点では、Windows Server 2025にはSysmonは搭載されていない
Windows 11には、「Windowsの機能の有効化または無効化」で「Sysmon」をチェックするか、PowerShell(管理者)で「Enable-WindowsOptionalFeature -Online -FeatureName Sysmon」を実行することで、Sysmonを追加できます。Sysmon(Sysmon.exe)は、C:¥Windows¥System32に追加されます。Windows Sysinternals版のSysmonと同様に、システムにSysmonを追加しただけでは、まだ利用できません。利用するには、「sysmon -i」を実行してサービス(Sysmon)とドライバー(SysmonDrv)をインストールする必要があります。他に何もパラメーターを指定せずにインストールした場合、プロセスの作成と終了といった基本的なイベントだけをWindowsイベントログに記録し始めます(画面3)。
画面3 「sysmon -i」を実行するとサービス(Sysmon)とドライバー(SysmonDrv)がインストールされ、監視がスタートする。記録されたイベントは、アプリケーションとサービスの「Microsoft-Windows-Sysmon/Operational」で確認できる
Sysmonの主な実行パラメーターを以下に示します。
| sysmon -i | 既定の設定でインストールする |
| sysmon -c | 現在の設定を確認する |
| sysmon -c -n [プロセス名] | Network Connectionイベントを記録する。プロセス名(複数の場合はカンマ区切り)を指定しない場合、すべてのプロセスが対象 |
| sysmon -c -l [プロセス名] | Image loaded プロセス名(複数の場合はカンマ区切り)を指定しない場合、すべてのプロセスが対象。 |
| sysmon -c <構成ファイルのパス(.xml)> | 構成ファイルでSysmonの動作を構成する |
| sysmon -u | Sysmonをアンインストールする |
| sysmon -m | Sysmonのイベントログ用マニフェストのみをインストールする。Sysmonをアンインストール後もイベントログを確認したい場合に使用。 |
| sysmon -s スキーマ | Sysmonのスキーマ情報を表示する |
| sysmon -? | Sysmonコマンドのヘルプ |
| sysmon -? config | 構成ファイルの詳細なヘルプ |
Sysmonの構成ファイル(XML)を作成し、Sysmonを構成すると、Sysmonの設定(ハッシュアルゴリズム)や機能の有効化(イメージロード、ネットワーク接続イベントの記録)、イベントの詳細なフィルタリングオプションを設定することができます。ただし、フィルター条件を緩く設定すると、数分で膨大な数のイベントが記録されることになるので注意が必要です(画面4)。Sysmonは、常時動かしておくようなものではなく、システムの挙動がおかしいときや、特定のプログラムの使用状況を調べたいとき(以下の活用例を参照)、あるいはマルウェア感染が疑われるときなどに、集中的に詳細なイベントを収集して、調査するためのものと思ってください。例えば、世界で急速に感染を広げているマルウェアのハッシュ値や挙動(特定のシステムファイルのふりをする、外部の特定のホストと通信する)が判明しているとき、マルウェア対策ソフトウェアが対応できるようになるまでの間、そのハッシュ値やファイル名、通信先などを条件にプロセスの作成を数日間監視するといった使い方です。
参考(Sysmonの活用例):
メモ. VBScript廃止に備えるのはまだ早い? 使用状況を把握する2つの方法
画面4 フィルター条件を緩く設定した例(注: “画像”はDLLなどのイメージの不適切な訳)
Windows組み込みのSysmonのバージョンは?
Windows SysinternalsのSysmonの最新バージョンは15.15です。一方、Windowsに組み込まれたSysmonのバージョンは「10.0.6100.7920」でした。つまり、Windows SysinternalsのSysmonがそのまま搭載されたわけではないということです。ファイルサイズもまったく違います。Windows SysinternalsのSysmon.exeは32ビットと64ビットの両方に対応しており約8MBです。64ビット版のSysmon64.exeは4.35MBです。そしてWindows組み込みのSysmonは、Sysmon64.exeより小さく、1.61MBしかありません。Windows SysinternalsのSysmonは、広い範囲のWindowsバージョンをサポートしていますが、Windows組み込みのSysmonはおそらく、搭載されているWindows専用であり、不要なコードが排除されているのでしょう。Windows組み込みのSysmonからは、-nobanner(System Monitor v15.15 - System activity monitor By Mark Russinovich and Thomas Garnier ...のバナー表示省略)と-accepteula(EULA画面省略)オプションも削除されています。
Sysmonのスキーマバージョンは、Sysmon 15.15が4.90なのに対して、Windows組み込みのSysmonは4.91なので、現状、Windows組み込みのSysmonのほうが若干新しいと言えるかもしれません(画面5、画面6)。
画面5 Windows SysinternalsのSysmon v15.15のスキーマバージョンは4.90
画面6 Windows組み込みのSysmon。スキーマバージョンは4.91
Windows組み込みのSysmonの更新は、Windowsの通常の品質更新プログラムを通じて提供され、変更は毎月後半のプレビュー更新プログラムで先に利用可能になります。組み込みのSysmonの更新は、Windows SysinternalsのSysmonのバージョンには影響しませんが、Windows SysinternalsのSysmonとWindows組み込みのSysmonの共存はサポートされていないことに注意してください。例えば、Windows SysinternalsのSysmonでインストールを行い、Windows組み込みのSysmonで構成変更やアンインストールするといったことのないようにしてください。
なお、Sysmonの使用方法については、-nobannerと-accepteulaを除けば、同じです。「Sysmon の概要」や以下のドキュメント、そしてもしよければお勧めの一冊で確認してください。
Sysmon|Sysinternals(Microsoft Learn)
お勧めの一冊Windows Sysinternalsユーティリティの日本語解説については、少し古い書籍ですが、こちらをお勧めします。Windows Sysinternalsユーティリティは更新を続けていますが、ユーティリティのラインアップや基本的な使い方に変わりはありません。Sysmonについては、監視可能なイベントの種類やその内容、具体的な使用例(コマンドラインや構成ファイル)からイベントログの分析方法まで説明しています。
著者 : Mark E. Russinovich、Aaron Margosis 著 ※書籍の正誤情報、およびユーティリティのこれまでの更新情報については、旧ブログサイトをご覧ください。 |
