Windows 11 Sysmonネイティブ統合 完全ガイド:有効化から設定・活用まで
- 公開日:2026/2/27
- 最終更新日:
- パソコン日記
- Windows 11 Sysmonネイティブ統合 完全ガイド:有効化から設定・活用まで はコメントを受け付けていません
※本記事は1つの情報源としてご活用ください。重要な変更を加える場合は事前にバックアップを取り、複数の情報源も参考にしながら操作してください。
「Sysmonを導入したいけれど、手動更新の手間や専用ツールの費用がネックで後回しにしていた」というIT管理者の方も多いのではないでしょうか。Windows 11へのSysmonネイティブ統合により、その状況が大きく変わりつつあります。
- SysmonがWindows 11にネイティブ統合された背景と、従来版との違い
- 設定アプリ・DISM・PowerShellを使ったSysmon有効化の具体的な手順
- 中小企業がSIEMなしで始められる、現実的なSysmonセキュリティ監視の方法
こんな方におすすめの記事です
- 中小企業でWindowsの端末管理やセキュリティ対策を担当しているIT管理者・情報システム担当者
- SIEMやEDRを導入する予算はないが、ログ監視によるセキュリティ強化を検討している方
- 既存のSysinternals版Sysmonからビルトイン版への移行を考えている方
本記事では、Windows 11へのSysmonネイティブ統合に伴う有効化手順・XML設定ファイルの基本・イベントログ確認方法・中小企業向けセキュリティ監視の活用例をわかりやすく解説します。
SysmonのWindows 11ネイティブ統合とは何か
SysmonのWindows 11ネイティブ統合とは、従来Sysinternalsから別途インストールが必要だったSysmonがOSのオプション機能に組み込まれ、Windows Update経由で自動更新されるようになった変更のことです。
Sysmon(System Monitor)は、プロセスの生成やネットワーク接続などの詳細なシステム活動を記録し、脅威の検出に役立てる高度な監視ツールです。従来はMicrosoftのSysinternalsから別途ダウンロードが必要でしたが、Windows 11およびWindows Server 2025のオプション機能としてOSにネイティブ統合されることが決定しました。詳細はSysmonの概要(Microsoft公式)で確認できます。
2025年11月にMicrosoft IgniteでこのWindows 11統合が発表され、2026年2月にはWindows 11 Insider Preview(KB5074177、KB5074178)およびRelease Preview(KB5077241)への展開が開始されています。KB5077241は2026年2月のWindows 11オプション累積更新プログラムであり、Sysmonのネイティブ統合はその中に含まれる新機能の一つです。KB5077241の内容と適用対象はKB5077241サポートページ(Microsoft公式)で確認できます。Ignite発表時の詳細はMicrosoft Tech Community公式ブログで確認できます。
⚠️ 展開状況に関する重要な留意事項
Sysmonは2026年2月時点でInsider Preview/Release Previewへの展開段階であり、一般提供(GA)の正確な日程は未確定です。2026年3月のPatch Tuesday(3月10日予定)で一般提供される見込みですが、変更の可能性があります。必ず公式サイトで最新情報を確認してください。また、次回の更新プログラムで状況が変わる可能性がある点にご留意ください。
従来方式とネイティブ統合の比較
ネイティブ統合によって、導入・保守の方法が根本的に変わります。以下で両者の違いを整理します。
従来:Sysinternals個別ダウンロード版
導入方法:Microsoftのサイトから手動でダウンロードし、各端末にインストール
更新方法:手動でダウンロード・再配布が必要
運用負荷:複数台への展開・バージョン管理の手間が大きい
新方式:Windows 11オプション機能(ビルトイン版)
導入方法:設定アプリまたはDISMコマンドで有効化するだけ
更新方法:Windows Update経由で自動的にアップデート
運用負荷:バイナリの手動配布・保守作業が不要になる
ビルトイン版の重要な制約事項
ネイティブ統合には便利な点が多い一方、運用前に必ず把握しておくべき制約があります。
導入前に確認すべき3つの制約
- デフォルト無効:システムのパフォーマンス低下やログの肥大化を防ぐため、デフォルトでは無効になっています。使用するには明示的な有効化操作が必要です。
- スタンドアロン版との共存不可:従来のSysinternals版(スタンドアロン版)とビルトイン版は、同じPC上で同時に有効化できません。
- 先にアンインストールが必要:既にスタンドアロン版を導入している場合、ビルトイン版を有効化する前に手動でアンインストールを完了させる必要があります。
⚠️ 一般ユーザーへの注意
Sysmonはデフォルトでは無効になっており、ログを定期的に確認・分析する運用体制がない一般ユーザーのPCでは、ログがディスク容量を消費するだけになるため、有効化は不要な場合があります。
Sysmonを有効化する手順
- 設定アプリまたはDISMコマンドでSysmonをオプション機能として有効化する
- 管理者権限のPowerShell(またはコマンドプロンプト)で
sysmon -iを実行し、サービスを初期化する
ビルトイン版のSysmonは、設定アプリまたはDISM/PowerShellコマンドで有効化し、sysmon -i でサービスを初期化することで使用を開始できます。詳細はSysmonの有効化と構成(Microsoft公式)で確認できます。
方法①:設定アプリから有効化する
最も簡単な方法は、Windowsの設定アプリから有効化することです。
sysmon -i を実行し、サービスを初期化方法②:DISM/PowerShellで有効化する
複数台のPCを管理するIT管理者の場合、コマンドを使った有効化が便利です。PowerShellを管理者権限で開き、以下のいずれかのコマンドを実行します。
DISMコマンドの場合:
Dism /Online /Enable-Feature /FeatureName:SysmonPowerShellコマンドレットの場合:
Enable-WindowsOptionalFeature -Online -FeatureName Sysmon機能を有効化した後、Sysmonのサービスを初期化・開始するために以下のコマンドを実行します。
sysmon -iなお、グループポリシー(GPO)やMicrosoft Intuneを利用した大規模展開では、上記のDISMコマンドをスクリプト化して複数端末に一括適用することも可能です。
カスタムXML設定ファイルを適用する場合
Sysmonはデフォルト設定でも動作しますが、ノイズ(不要なログ)を減らすためにカスタムのXML設定ファイルを適用するのが一般的です。設定ファイルを指定して初期化するには以下のコマンドを実行します。
sysmon -i config.xml稼働中のSysmonの設定を更新する場合は -c オプションを使用します。
sysmon -c config.xmlXML設定ファイルの基本と推奨テンプレート
include/excludeフィルターの考え方
SysmonのXML設定ファイルでは、記録したいイベント(include)と除外したいイベント(exclude)を定義します。「特定のプロセスからの通信のみ記録する」「信頼できる正規アプリの大量のログは除外する」といった設定が可能です。不要なログを除外(exclude)することで、システムへの負荷やストレージ容量を抑えることができます。
💡 include/excludeフィルターは「メールの振り分けルール」
SysmonのXMLフィルターは、メールソフトの振り分けルールのようなものです。「このアドレスからのメールは重要フォルダへ(include)」「特定の件名は自動削除(exclude)」と設定するように、どのシステム活動を記録して、どれを無視するかを細かく指定できます。ルールなしで全受信していると、本当に重要なメールが埋もれてしまう(重要なログが見つからない)のと同じ問題が起きます。
コミュニティ設定ファイルの紹介と使い分け
ゼロからXMLを作成するのは難しいため、コミュニティが公開している実績あるテンプレートを活用するのが定石です。
- SwiftOnSecurity版(GitHub):高品質なデフォルト設定がまとまっており、ノイズを抑えつつ重要なイベントを捉えるバランス型。初心者や中小企業に最適です。詳細はSwiftOnSecurity/sysmon-config(GitHub)を参照してください。
- sysmon-modular版(Olaf Hartong氏作):機能ごとにモジュール化されており、自社環境に合わせて細かくカスタマイズしたい上級者向けです。詳細はolafhartong/sysmon-modular(GitHub)を参照してください。
初心者向け最小構成XMLの例
最初は以下のMicrosoft公式推奨の最小構成から始めることをお勧めします。この構成では、プロセス作成・ネットワーク接続・ファイル作成の3つのイベントをすべて記録します(onmatch="exclude" でサブ要素を指定しないことで、除外なし=全記録となります)。
<Sysmon schemaversion="4.90">
<HashAlgorithms>SHA256</HashAlgorithms>
<EventFiltering>
<!-- プロセス作成をすべて記録 -->
<ProcessCreate onmatch="exclude" />
<!-- ネットワーク接続をすべて記録 -->
<NetworkConnect onmatch="exclude" />
<!-- ファイル作成をすべて記録 -->
<FileCreate onmatch="exclude" />
</EventFiltering>
</Sysmon>⚠️ 最小構成のログ量に関する注意
この最小構成はすべてのイベントを記録するため、ログ量が多くなる可能性があります。運用環境では、まずこの構成で数時間〜1日運用してログ量を確認し、その後SwiftOnSecurity版などのコミュニティテンプレートに差し替えてノイズを削減していくのが現実的なアプローチです。
イベントログの確認方法
イベントビューアーでの確認パス
Sysmonが記録したログは、Windows標準の「イベントビューアー」で確認できます。確認パスは以下の通りです。ビルトイン版では、イベントビューアーの表示テキストがOSの言語設定に応じてローカライズされます(スタンドアロン版との違い)。
「アプリケーションとサービスログ」 → 「Microsoft」 → 「Windows」 → 「Sysmon」 → 「Operational」
ログサイズの管理
Sysmonはデフォルトのログサイズ上限が小さいため、運用環境では上限の引き上げをお勧めします。以下のコマンドでログの最大サイズを変更できます(例:1GBに設定)。
wevtutil sl "Microsoft-Windows-Sysmon/Operational" /ms:1073741824現在のログサイズ設定を確認する場合は以下を実行します。
wevtutil gl "Microsoft-Windows-Sysmon/Operational"イベントビューアー上でも、該当ログを右クリック →「プロパティ」から最大ログサイズやログの上書き方法を設定できます。
PowerShellでのログ検索コマンド例
イベントビューアーでの手動確認は手間がかかるため、PowerShellを使うと効率的です。例えば、以下のコマンドでSysmonの最新イベントを取得できます。
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'} -MaxEvents 50中小企業がSIEMなしでSysmonを活用する現実的アプローチ
高度なSIEM(Security Information and Event Management:セキュリティ情報を一元的に収集・分析する基盤)やEDR(Endpoint Detection and Response:エンドポイントでの脅威検知・対応ツール)を導入する予算がない中小企業でも、Sysmonを使えばセキュリティ監視を強化できます。ただし、Sysmonはあくまでログ記録ツールであり、ログの定期確認・分析体制の構築が活用の前提となります。中小企業のセキュリティ対策全般については、IPA(独立行政法人情報処理推進機構)の中小企業の情報セキュリティ対策ガイドラインも参考になります。
まず監視すべきイベントID TOP5
Sysmonは多数のイベントID(Windowsが個々のイベントを識別するための固有番号)を生成しますが、まずは以下のTOP5に絞って監視を始めましょう。
- Event ID 1:プロセス作成
どのプログラムが、どんなコマンドライン引数で実行されたかを記録します。不審なスクリプトの実行などを検出できます。
- Event ID 3:ネットワーク接続
どのプロセスが、どこ(外部IP・ポート)と通信したかを記録します。マルウェアの外部通信などを検出できます。
- Event ID 11:ファイル作成
新しいファイルがどこに作成されたかを記録します。スタートアップへの登録やマルウェアのダウンロードを検出できます。
- Event ID 10:プロセスアクセス(LSASS保護)
あるプロセスが他のプロセスへのハンドルアクセスを記録します。認証情報(LSASS)を盗む攻撃などの検出に有用です。
- Event ID 22:DNSクエリ
PCがどのドメインの名前解決を行ったかを記録します。悪意のあるサイトへのアクセス試行を検出できます。
イベントビューアー+PowerShellだけで始める簡易監視フロー
SIEMがなくても、PowerShellスクリプトを定期実行し、疑わしいイベント(例:一時フォルダでの実行ファイル作成)があった場合にIT管理者にアラートを通知する簡易監視フローを構築できます。日常的には、重要なPC(役員用やファイルサーバーなど)に絞って手動でログを収集・確認するだけでも効果的です。
# 例: Event ID 1 (プロセス作成) のログのみを抽出する
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; Id=1}スタンドアロン版からビルトイン版への移行チェックリスト
既存のSysinternals版を利用している企業向けの移行チェックリストです。
スタンドアロン版からビルトイン版への移行手順
- スタンドアロン版のアンインストール:コマンド
sysmon -uで既存のスタンドアロン版を完全にアンインストールする(これが最初の必須ステップです)。 - 既存設定ファイルの引き継ぎ:これまで使用していたXML設定ファイルはそのままビルトイン版に引き継ぎ可能です。
- 移行の順序:スタンドアロン版削除 → OS再起動(推奨) → 設定アプリまたはDISMでビルトイン版を有効化 →
sysmon -i config.xmlで初期化。 - 移行後のメリット:移行後はOSの更新プログラムと一緒に更新されるため、バイナリの手動配布や保守作業が不要になります。
よくある質問(FAQ)
SysmonのWindows 11ネイティブ統合で、従来のスタンドアロン版と何が変わるのか?
これまで手動でダウンロード・更新が必要だったSysmonがOSの機能に直接組み込まれ、Windows Update経由で自動的に更新されるようになります。これにより、複数台への展開や運用保守が大幅に楽になります。
Sysmonを有効化する具体的な手順は?
設定アプリの「オプション機能」から「Windowsのその他の機能」で「Sysmon」にチェックを入れるか、PowerShellで Dism /Online /Enable-Feature /FeatureName:Sysmon を実行します。その後、sysmon -i コマンドでサービスを開始する必要があります。
XML設定ファイルでどんなイベントを記録・除外できるのか?
プロセスの作成、ネットワーク接続、ファイルの作成・削除、レジストリの変更など、多岐にわたるシステム活動を記録(include)または除外(exclude)できます。不要なログを除外してシステム負荷を下げる運用が基本です。
Sysmonのイベントログはどこで確認する?
Windowsのイベントビューアーを開き、「アプリケーションとサービスログ」 > 「Microsoft」 > 「Windows」 > 「Sysmon」 > 「Operational」のパスに保存されます。
一般ユーザーや中小企業でもSysmonを使うメリットはあるのか?
中小企業にとっては、万が一のマルウェア感染時に被害経路や証拠を後から辿るための強力な手掛かりとなります。ただし、デフォルトでは無効になっており、ログを定期的に確認・分析する運用体制がない一般ユーザーのPCでは、ログがディスク容量を消費するだけになるため、有効化は不要です。
まとめ:Windows 11 Sysmonネイティブ統合
この記事では、Windows 11へのSysmonネイティブ統合について解説しました:
- ネイティブ統合の概要:2025年11月のMicrosoft Igniteで発表され、2026年2月時点でInsider Preview/Release Previewへの展開が進行中。Windows Update経由での自動更新が可能になり、導入・保守の手間が大幅に削減されます。GA日程は未確定であることに留意してください。
スタンドアロン版との共存は不可であり、既存ユーザーは
sysmon -uでのアンインストール後にビルトイン版を有効化する必要があります。 - 有効化と設定:設定アプリの「オプション機能」またはDISM/PowerShellコマンドで有効化し、
sysmon -i config.xmlでカスタムXMLを適用します。初めての方はSwiftOnSecurity版などのコミュニティテンプレートの活用を推奨します。 - 中小企業での活用:SIEMやEDRがなくても、Event ID 1・3・10・11・22のTOP5を中心に監視することで、マルウェア感染時の証拠収集や不審な活動の検出が現実的に可能です。PowerShellスクリプトを活用した簡易監視フローから始めることをお勧めします。
本記事で紹介した手順を参考に、まずはテスト環境で自社PCのSysmonを有効化し、最初のログ確認まで実践してみてください。
端末のセキュリティ監視(Sysmon導入・ログ設計・運用構築)でお困りなど
何でもご相談ください。
全国17万件以上の実績を持つPCホスピタル
【PR】本サイトはPCホスピタルと提携しており、お申し込みにより当サイト運営者に紹介報酬が支払われます。なお、お客様のお支払い金額には影響ありません。
料金表
Sysmon導入・ログ設計・監視の立ち上げも対応
Sysmonは有効化するだけでは効果が出にくく、ログ量(ノイズ)を抑えるXML設計や、
見るべきイベントIDの絞り込み、収集・保存・確認フローまでセットで整えるのが現実的です。
端末の状況・社内体制・予算感に合わせて、無理のない運用設計を支援します。
次のような場合は専門家への相談をご検討ください
- ビルトイン版Sysmonの有効化手順(設定 / DISM / PowerShell)が不安
- スタンドアロン版(Sysinternals版)からの移行手順・共存不可の整理が必要
- XMLのinclude/exclude設計が難しく、ログが多すぎて運用できない
- まず監視すべきイベントID(1/3/10/11/22など)を自社向けに決めたい
- SIEMなしで始めるログ収集・定期チェック・通知の仕組みを作りたい
上記以外のお困りごとも、お気軽にご相談ください
「どの端末から」「どこまでやるか」の切り分けから、最小コストの運用設計までサポートします。
メールでのご質問・ご相談は24時間受付中!
こちらのフォームから受付中です。
パソコン・iPhone・スマホの初期設定から専門性の高い難しい設定まで「安心」「安全」にPCホスピタルにお任せできます!