「安全なはずのファイルがウイルス判定されて削除された」「特定のアプリが起動するたびにWindowsセキュリティの警告が出る」そんな経験はありませんか?
Windowsセキュリティには、スキャン対象から特定のファイルやフォルダーを除外できる「除外設定」機能があります。
この記事では、除外設定の手順を4つの種類別に解説し、ワイルドカードの使い方やPowerShellでの設定方法、セキュリティリスクへの対策まで詳しく説明します。
除外設定とは?設定前に知っておきたいこと
除外設定(Exclusion)とは、Microsoft Defender ウイルス対策のスキャン対象から、特定の項目を外す機能です。
除外設定を行うと、指定した項目に対してリアルタイム保護・スケジュールスキャン・オンデマンドスキャンが実行されなくなります。
除外設定が必要になる主な場面
- 開発用ツール(Python、Node.jsなど)が誤検知される
- ゲームのMODファイルが削除される
- 業務アプリのインストーラーや実行ファイルがブロックされる
- セキュリティスキャンでPCのパフォーマンスが低下している
除外設定の4種類
| 種類 | 内容 |
|---|---|
| ファイル | 特定の1ファイルをスキャン対象から除外 |
| フォルダー | 指定フォルダー内のすべてのファイル・サブフォルダーを除外 |
| ファイルの種類(拡張子) | .exeや.pyなど、指定した拡張子のすべてのファイルを除外 |
| プロセス | 指定したプロセスが開いたファイルをリアルタイムスキャンから除外 |
⚠️ 重要な注意点:
Microsoftの公式サポートページによると、除外設定を行った項目はウイルス対策チェックの対象外となり、デバイスやデータが脆弱になる可能性があります(Microsoft公式サポートページより)。
信頼できることが確実な項目のみ追加してください。
除外設定の手順(Windows 11)
手順1:Windowsセキュリティを開く
以下の2つのどちらかの方法で開けます。
方法A:スタートメニューから開く
- スタートボタンを右クリック(または
Win + I)して「設定」を開く - 左メニューから「プライバシーとセキュリティ」をクリックする
- 「Windowsセキュリティ」をクリックする
- 「Windowsセキュリティを開く」をクリックする
方法B:タスクバーから直接開く
- タスクバー右下の「
^」をクリックして通知領域を開く - 盾のアイコン(Windowsセキュリティ)をクリックする
手順2:除外設定の画面に移動する
- Windowsセキュリティが開いたら、左メニューの「ウイルスと脅威の防止」をクリックする
- 「ウイルスと脅威の防止の設定」セクションの「設定の管理」をクリックする
- 画面を下にスクロールし、「除外」セクションの「除外の追加または削除」をクリックする
- 「このアプリがデバイスに変更を加えることを許可しますか?」と表示された場合は「はい」をクリックする(管理者権限が必要です)
手順3:除外を追加する
「除外の追加」ボタンをクリックすると、4つの種類が表示されます。
種類別の除外設定方法
ファイルの除外
特定の1ファイルだけをスキャン対象から外す方法です。
- 「除外の追加」→「ファイル」をクリックする
- エクスプローラーが開くので、除外したいファイルを選択して「開く」をクリックする
- 選択したファイルのフルパスが除外リストに追加される
使用例: C:\Tools\my-script.py や C:\Program Files\SomeApp\app.exe など、特定のファイルだけを除外したい場合
フォルダーの除外
指定したフォルダー内のすべてのファイルとサブフォルダーをまとめて除外する方法です。
- 「除外の追加」→「フォルダー」をクリックする
- エクスプローラーが開くので、除外したいフォルダーを選択して「このフォルダーを選択する」をクリックする
- 選択したフォルダーのパスが除外リストに追加される
使用例: C:\Development\ や C:\Projects\ など、開発用のフォルダーをまとめて除外したい場合
ファイルの種類(拡張子)の除外
特定の拡張子を持つすべてのファイルをスキャン対象から外す方法です。場所に関係なく、その拡張子のファイルすべてに適用されます。
- 「除外の追加」→「ファイルの種類」をクリックする
- 入力欄に除外したい拡張子(例:
.py、.exe)を入力して「追加」をクリックする
使用例: Python(.py)やコンパイル済みの実行ファイル(.exe)など
プロセスの除外
指定したプロセスが開いたファイルをリアルタイムスキャンから除外する方法です。
- 「除外の追加」→「プロセス」をクリックする
- 入力欄にプロセス名(例:
python.exe、node.exe)を入力して「追加」をクリックする
⚠️ プロセス除外の重要な注意点:
Microsoftの公式ドキュメントによると、プロセス除外はリアルタイムスキャン(常時保護)にのみ適用されます。
スケジュールスキャンやオンデマンドスキャンでは、除外設定に関係なくそのプロセスに関連するファイルがスキャンされる場合があります(Microsoft Learn公式ドキュメントより)。
また、プロセス自体は除外されません。プロセスそのものを除外したい場合はファイルの除外を使用してください。
Windows 10での除外設定手順
Windows 10の場合、手順2のパスが一部異なります。
- スタート → 「設定」を開く
- 「更新とセキュリティ」をクリックする(Windows 11の「プライバシーとセキュリティ」とは異なります)
- 「Windowsセキュリティ」→「Windowsセキュリティを開く」をクリックする
- 以降はWindows 11と同じ手順
除外設定の削除方法
追加した除外設定を削除する手順です。
- 「除外の追加または削除」の画面を開く(追加時と同じ手順)
- 削除したい除外項目をクリックして展開する
- 「削除」ボタンをクリックする
不要になった除外設定は定期的に見直して削除することが推奨されています(Microsoft Learn公式ドキュメントより)。
PowerShellで除外設定を管理する方法
管理者権限でPowerShellを使うと、コマンドで除外設定を追加・削除・確認できます。
現在の除外設定を確認する
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath
Get-MpPreference | Select-Object -ExpandProperty ExclusionExtension
Get-MpPreference | Select-Object -ExpandProperty ExclusionProcess除外を追加する
# フォルダーを追加
Add-MpPreference -ExclusionPath "C:\Development\"
# 拡張子を追加
Add-MpPreference -ExclusionExtension ".py"
# プロセスを追加
Add-MpPreference -ExclusionProcess "python.exe"除外を削除する
# フォルダーを削除
Remove-MpPreference -ExclusionPath "C:\Development\"
# プロセスを削除
Remove-MpPreference -ExclusionProcess "python.exe"ワイルドカードと環境変数の使い方
フォルダー・ファイルパスの除外では、ワイルドカード文字が使えます(Microsoftの公式ドキュメントより)。
| 記号 | 意味 | 使用例 |
|---|---|---|
* | ファイル名・拡張子の除外では任意の文字数の文字列(ただし最後のフォルダー内のファイルにのみ適用)。フォルダー除外では1階層分の単一フォルダーを示す | C:\Projects\*.py → Projectsフォルダー直下のすべての.pyファイル |
? | 任意の1文字 | test?.exe → test1.exe、testA.exeなど |
環境変数の使用に関する注意
除外設定でシステム環境変数(例:%ALLUSERSPROFILE%)はワイルドカードとして使用できますが、ユーザー環境変数は使用できません(Microsoft Learn公式ドキュメントより)。
たとえば %USERPROFILE% を除外リストに追加した場合、実際に除外されるパスは C:\Users\ユーザー名 ではなく C:\Windows\system32\config\systemprofile になる点に注意が必要です(Japan CSS Security Support Blogより)。
除外設定を行う際のセキュリティリスクと対策
必ず守るべき原則
Microsoftは公式ドキュメントで、以下のベストプラクティスを推奨しています。
- 必要最小限に留める: フォルダー全体ではなく、問題の特定ファイルだけを除外する
- 信頼できるファイルのみを対象にする: 将来問題になりそうだからといって除外しない
- 定期的に見直す: ソフトウェアの更新で不要になった除外設定は削除する
- フルパスで指定する: ファイル名だけでなくドライブ文字を含む完全なパスで指定する(マルウェアが同名ファイルを使って検出回避するリスクを減らすため)
除外すべきでないフォルダーの例
セキュリティリスクが非常に高いため、以下のパスは除外設定に追加しないことが強く推奨されています(Microsoft Learn「除外を定義する際に避けるべき一般的な間違い」より)。
%TEMP%(一時ファイルフォルダー)%APPDATA%(アプリデータフォルダー)%USERPROFILE%(ユーザーフォルダー全体)C:(Cドライブ全体)
まとめ
Windowsセキュリティの除外設定は、誤検知の解消やアプリの動作改善に役立つ便利な機能です。
設定手順は「ウイルスと脅威の防止」→「設定の管理」→「除外の追加または削除」から操作できます。
除外の種類はファイル・フォルダー・ファイルの種類・プロセスの4種類があり、状況に応じて使い分けましょう。
ただし除外設定はセキュリティリスクを伴うため、信頼できる項目のみ最小限に設定し、不要になったら削除することが大切です。
Windowsセキュリティの仕組みや全体的な機能についてはMicrosoft Defenderだけで大丈夫?Windows標準ウイルス対策の実力と使い方やWindows Defenderセキュリティセンター/Windows セキュリティ完全ガイドもあわせてご参照ください。
参考情報源:
- Microsoft Learn「除外を定義する際に避けるべき一般的な間違い」
- Microsoftサポート「Windowsセキュリティ アプリのウイルスと脅威の保護」
- Microsoft Learn「Microsoft Defender ウイルス対策のカスタム除外を構成する」
- Microsoft Learn「拡張機能、名前、または場所に基づいて除外を構成して検証する」
- Microsoft Learn「特定のプロセスによって開かれたファイルの除外を構成する」
- Japan CSS Security Support Blog「Windowsにおけるウイルス対策と除外に関するよくあるお問い合わせ」(2024年10月22日)
コメント