※購入先、ダウンロードへのリンクにはアフィリエイトタグが含まれており、それらの購入や会員の成約、ダウンロードなどからの収益化を行う場合があります。

Antimalware Service Executableとは:CPU高負荷の原因と対処

PCソフト・サイト

パソコンのファンが突然うなり、タスクマネージャーを見ると「Antimalware Service Executable(MsMpEng.exe)」がCPUを独占──。
犯人はWindows標準のMicrosoft Defender本体ですが、正しい設定さえ押さえれば、守りを弱めずに負荷を抑えられます。
本記事では、重くなる仕組みをわかりやすく整理し、スケジュール最適化・ピンポイント除外・更新の正常化など、今日から実践できる手順を具体的に解説。
開発環境・クリエイティブ作業・一般利用のケース別ワザも収録。安全第一で、サクサク感を取り戻しましょう。

※本コンテンツは「記事制作ポリシー」に基づき、正確かつ信頼性の高い情報提供を心がけております。万が一、内容に誤りや誤解を招く表現がございましたら、お手数ですが「お問い合わせ」よりご一報ください。速やかに確認・修正いたします。

この記事のまとめ

要点は3つ

  1. タイミング最適化(クイック中心、フルは週1・夜間・AC時)

  2. 除外は最小限に(中間生成物・巨大キャッシュだけ)

  3. 更新・修復の正常化(定義更新/Windows Update/SFC・DISM)

これだけで多くの環境は体感が改善します。まずはリソースモニターでパスを特定ピンポイント除外再計測の順で。
“全部オフ”ではなく、守りを保ちながら速くするのが正解です。

目次

Antimalware Service Executableとは

Antimalware Service Executableは、Windows標準のMicrosoft Defender本体プロセスです。主に次を担います。

  • リアルタイム保護:ファイルアクセス時に即時スキャン

  • オンデマンド/スケジュールスキャン:クイック/フル/カスタム

  • クラウド保護:疑わしい挙動をクラウド判定

  • 定義(シグネチャ)更新:新手の脅威に対応

正規ファイルの場所(確認ポイント)

例:C:\ProgramData\Microsoft\Windows Defender\Platform\<バージョン>\MsMpEng.exe
タスクマネージャーで当該プロセスを右クリック→ファイルの場所を開く
この配下であれば原則正規。別の場所ならマルウェアなりすましの可能性があるためフルスキャン推奨。

なぜCPU・ディスクが高負荷になるのか

(1) スキャンの性質

フルスキャン全ドライブを深く検査します。容量・ファイル数・圧縮率が増えるほど指数的に重くなる傾向。

リアルタイム保護は「頻繁に更新される多数の小ファイル」が大の苦手。
例)node_modules / .git\objects / dist / target / VMディスク / Dockerレイヤー / 大容量ログ

(2) 更新ループ・破損

定義更新の失敗やキャッシュ破損があると、何度も再試行→CPU/ディスクが断続的に高止まり。

(3) 競合

他社のウイルス対策・EDR・チューニング常駐が同じIOイベントを二重に監視していると、常時重い状態に。

3分でできる初期診断

  1. タスクマネージャー

    • 「プロセス」→Antimalware Service ExecutableのCPU/メモリ/ディスクを確認。

    • 「パフォーマンス」→ディスクが常に100%近いか検知。

  2. Windows セキュリティ

    • 「ウイルスと脅威の防止」→スキャンの進行保護の履歴(検出・失敗)を確認。

  3. 更新の状態

    • 「ウイルスと脅威の防止の更新」→「更新プログラムのチェック」。連続失敗は赤信号。

  4. 常駐の整理

    • 他社AV/EDR、クラウドストレージ(リアルタイム同期)、開発補助ツールが重なっていないか確認。

  5. 重いフォルダの特定

    • 「リソースモニター」→ディスクタブ→MsMpEng.exeがアクセスしているパスを観察。問題ファイル/フォルダを特定。

安全かつ効果が出やすい対処

A) スキャンのタイミング最適化(効果◎/安全◎)

  • クイックスキャン中心に運用、フルスキャンは週1・深夜・AC電源時などに。

  • タスク スケジューラ
    タスク スケジューラ ライブラリ > Microsoft > Windows > Windows Defender

    • 「Scheduled Scan」「Verification」等のトリガーを「アイドル時」「AC接続時のみ」に。

    • 重複トリガー(ログオン・起動直後など)がないかも確認。

B) 除外設定(効果◎/安全△:最小限に)

  • パス:Windows セキュリティ > ウイルスと脅威の防止 > 設定の管理 > 除外の追加または削除

  • 原則:“信頼できる/作業負荷が高い”フォルダをピンポイントで。

  • 例(ユースケース別)

    • Web/Node.js<project>\node_modules\, <project>\.next\, <project>\dist\

    • Java/Gradle/Maven<project>\.gradle\, ~\.m2\repository\, target\

    • .NETbin\, obj\

    • ゲーム/3D(Unity/Unreal):Library\, Temp\, Intermediate\, DerivedDataCache\

    • Docker/コンテナC:\ProgramData\Docker, %USERPROFILE%\.docker\(※必要最小限)

    • VMC:\VMs\, *.vhdx, *.iso

    • VCS.git\objects\

  • やってはダメDownloads全体、メール添付保存フォルダ、ユーザー直下を丸ごと除外(感染リスク上昇)。

C) 定義更新の正常化(効果○/安全◎)

  • GUI:「ウイルスと脅威の防止の更新」→「更新プログラムのチェック

  • PowerShell(管理者):

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate

  • 失敗が続く場合:

    1. Windows Updateトラブルシューティング

    2. 一時的にメータード接続/プロキシが阻害していないか確認

D) 一時停止の正しい使い方(効果○/安全△)

  • ビルド・エンコード・大量コピー時だけ短時間停止→作業完了後すぐON

  • Tamper Protection(改ざん防止)がONだと、勝手なレジストリ/GPO変更は自動で戻される点に注意。

E) 競合の解消(効果○〜◎/安全◎)

  • 他社AV/EDRがある場合はどちらか一方に統一

  • 乗り換え時はベンダー提供の削除ツールで残存ドライバを除去。

F) 破損の修復(効果○/安全◎)

管理者CMD:

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

再起動後、挙動を再確認。

PowerShellで“測る・直す”

企業管理PCはポリシー準拠で。Tamper ProtectionがONだと一部は拒否されます。

# 現在のDefender設定を確認(除外やスキャン計画が見える)
Get-MpPreference | fl

# 除外パスを追加(例:負荷の高いnode_modulesのみ)
Set-MpPreference -ExclusionPath “D:\Projects\MyApp\node_modules”

# スケジュール(例:日曜 02:00)
Set-MpPreference -ScanScheduleDay 0 -ScanScheduleTime 120

# 定義更新を手動実行
& “$env:ProgramFiles\Windows Defender\MpCmdRun.exe” -SignatureUpdate

# 一時的にリアルタイム保護を停止(作業直後に必ず戻す)
Set-MpPreference -DisableRealtimeMonitoring $true

戻し方(例)

# 追加した除外を削除(複数あれば配列で対応)
Remove-MpPreference -ExclusionPath “D:\Projects\MyApp\node_modules”

# リアルタイム保護を再有効化
Set-MpPreference -DisableRealtimeMonitoring $false

ケース別・最適な除外設計

開発者(Node/Java/.NET/Go/Rust)

  • 原則依存キャッシュビルド出力のみを除外。ソースやDownloadsは除外しない。

  • 例:

    • Node:node_modules, .next, dist

    • Java:.m2\repository, .gradle, target

    • .NET:bin, obj

    • Rust:target

  • Git.git\objects\は巨大差分で重くなるときのみ検討。

Docker/WSL2

  • Windows側パス(C:\…経由)でコンテナ/WSLファイルを扱うと二重スキャンで重くなりがち。

  • 対策

    • プロジェクトをWSL内に置き、WSL内でビルドする(Windows経由で大量IOを発生させない)。

    • Dockerはビルドキャッシュ/レイヤーが多く、C:\ProgramData\Docker周辺を最小限で除外。

    • 移行可能ならDocker Desktopの設定でビルド時のパスを整理。

クリエイター(映像/3D/音楽)

  • .cache, Library, Temp, Intermediate, DerivedDataCacheなど生成/再生成容易な中間ファイルに限定。

  • 元素材(Raw/プロジェクト)は除外しない。未知の素材流入時の防波堤を維持。

トラブルシューティング

イベントログで原因を特定

イベント ビューアアプリケーションとサービス ログ
Microsoft-Windows-Windows Defender/Operational

繰り返すエラー(更新失敗/スキャン失敗)を特定し、該当ファイルやパスを対処。

セーフモード検証

セーフモードで負荷が治まる→常駐アプリ競合の可能性大。
常駐を半分ずつ止める切り分け(バイセクション)で犯人特定。

巨大/壊れたアーカイブ

ダウンロード直後にCPU100%→巨大ZIP/ISOの展開/検査が原因のことも。
問題ファイルを隔離し、必要に応じて拡張子単位の除外(※慎重に。恒久運用は非推奨)。

グループポリシー(Pro/Enterprise向け)

企業環境ではセキュリティチームの方針を最優先。下記は管理者向けの一般論です。

  • gpedit.msc
    コンピューターの構成管理用テンプレートWindows コンポーネントMicrosoft Defender ウイルス対策

    • スケジュールスキャン:夜間/アイドルのみ

    • クラウド保護:有効のまま、しきい値/サンプル送信を適正化

    • 除外:パス/拡張子/プロセスを最小限に定義

やってはいけない設定

  • Defenderの恒久無効化(攻撃面が一気に広がる)

  • 出所不明の「軽量化スクリプト」でサービスやドライバを削除

  • 広範囲除外(ユーザープロファイル全体、C:\直下など)

  • 「とりあえず全部オフ」→脅威混入時の検知遅延につながる

FAQ

Q. 完全に止めれば一番速い?
A. 短期的には速くなりますが、感染リスクが急増。基本はタイミング最適化+最小限の除外で。

Q. どのフォルダを除外すべきか迷う
A. 「生成し直せる中間物」が第一候補。外部から入る未知ファイルの保護は残す。

Q. 正規プロセスか不安
A. タスクマネージャー→ファイルの場所を開くで正規パスを確認。違えばフルスキャンし、検出が続くなら専門家へ。

Q. 開発中だけ極端に重い
A. 小ファイル大量IOが原因。node_modules/ビルド出力/キャッシュのみピンポイントで除外

PCソフト・サイトの最新記事4件