Office 2016 の暗号化技術と暗号化
Office 2016 では、データセキュリティを強化するための暗号化設定が提供されています。 これらの設定は、Access 2016、Excel 2016、OneNote 2016、PowerPoint 2016、Project 2016、Word 2016など、いくつかのアプリケーションで使用できます。
この記事では、Office 2016 の暗号化と暗号化について説明します。 データ暗号化の設定の概要を示し、以前のバージョンの Office との互換性に関する詳細を提供します。
暗号化設定を計画するときは、次の推奨事項を考慮してください。
organizationのセキュリティ モデルで異なる設定が必要な場合を除き、既定の暗号化設定は変更しないでください。
データを暗号化する際に強力なパスワードが使用されるようにパスワードの長さと複雑さを強化することをお勧めします。
RC4 暗号化は使用しないことをお勧めします。 詳細については、この記事で後述する 以前のバージョンの Office との互換性 を参照してください。
ユーザーにドキュメントの暗号化を強制する管理設定はありません。 ただし、ユーザーがドキュメントにパスワードを追加できないようにする管理設定があるため、ドキュメントが暗号化されないようにします。 詳細については、この記事で後述する 暗号化技術と暗号化設定 を参照してください。
信頼できる場所にドキュメントを保存しても暗号化設定には影響しません。 ドキュメントが暗号化され、信頼できる場所に保存されている場合でも、ユーザーはドキュメントを開くためにパスワードを指定する必要があります。
ユーザーがドキュメントのパスワード保護を許可すると、パスワードを忘れたり失ったりする可能性があります。 このような場合は、DocRecrypt ツールを使用してパスワードをリセットまたは削除できます。 詳細については、「 Office 2016 でファイル パスワードを削除またはリセットする」を参照してください。
Office 2016 の暗号化技術と暗号化について
Office で使用できる暗号化アルゴリズムは、Windows オペレーティング システムの API (アプリケーション プログラミング インターフェイス) を介してアクセスできるアルゴリズムによって異なります。 Office 2016 では、暗号化 API (CryptoAPI) のサポートを維持するだけでなく、CNG (CryptoAPI: 次世代) のサポートも含まれています。これは、Service Pack 2 (SP2) を使用した 2007 Microsoft Office システムで初めて提供されました。
CNG を使用すると、ドキュメント暗号化プロセス中に使用するためにホスト コンピューターでサポートされている暗号化とハッシュ アルゴリズムを指定できる、より機敏な暗号化が可能になります。 CNG を使用すると、サード パーティの暗号化モジュールを使用できる拡張性の高い暗号化も可能になります。
Office で CryptoAPI を使用する場合、暗号化アルゴリズムは、Windows オペレーティング システムの一部である Crypto Service Provider (CSP) で使用できる特定のアルゴリズムに依存します。 コンピューターにインストールされている CSP のリストは、次のレジストリ キーに含まれています。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
2007 Office system SP2、Office 2010、Office 2013、Office 2016 では、次の CNG 暗号化アルゴリズム、またはシステムにインストールされている他の CNG 暗号拡張機能を使用できます。
AES、DES、DESX、3DES、3DES_112、RC2
2007 Office system SP2、Office 2010、Office 2013、Office 2016 では、次の CNG ハッシュ アルゴリズム、またはシステムにインストールされている他の CNG 暗号拡張機能を使用できます。
MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384、SHA512
Office 2016 では、暗号化方法を変更する設定がありますが、Open XML Format ファイル (.docx、.xslx、.pptx など) を既定値 (AES (Advanced Encryption Standard) と 256 ビットのキー長、SHA-2、CBC (暗号ブロック チェーン) で暗号化することで、ほとんどの組織に適した堅牢な暗号化が提供されます。 国家安全保障局(NSA)は、米国政府の標準のための最も強力な業界標準アルゴリズムとしてAES暗号化を選択しました。 AES 暗号化は、Windows Vista、Windows 7、Windows 8、Windows 10など、さまざまな Windows オペレーティング システムと互換性があります。 また、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012など、複数の Windows Server バージョンもサポートしています。
暗号化技術と暗号化設定
次の表に、CryptoAPI にアクセスする Office バージョンで使用できる暗号化アルゴリズム設定を示します。 この一覧には、Office 2016 までの Office バージョンが含まれます。
CryptoAPI で使用できる暗号化アルゴリズム設定
| 設定 | 説明 |
|---|---|
| [ パスワードで保護された Office Open XML ファイルの暗号化の種類] |
Open XML ファイルの暗号化の種類は、この設定で使用可能な暗号化サービス プロバイダー (CSP) を使用して指定できます。 カスタム COM 暗号化アドインを使用している場合は、この設定を適用する必要があります。 さらに、この設定は 2 つのシナリオで不可欠です。 まず、2007 Office システム SP1 を使用していて、暗号化アルゴリズムを既定値から変更する場合。 2 つ目は、Word、Excel、PowerPoint ファイル形式に Microsoft Office 互換パックより古いバージョンの互換性パックを使用していて、暗号化アルゴリズムを変更する場合です。 |
| [ パスワードで保護された Office 97-2003 ファイルの暗号化の種類] |
この設定では、使用可能な暗号化サービス プロバイダー (CSP) から Office 97-2003 (バイナリ) ファイルの暗号化の種類を指定できます。 この設定でサポートされている暗号化アルゴリズムは RC4 のみです。これはお勧めしません。 |
Office 2016 で [パスワードで保護された Office Open XML ファイルの暗号化の種類] 設定を変更する必要がある場合、まず [暗号化の互換性を指定する] 設定を有効にし、次に [以前の形式を使用する] オプションをオンにします。 [暗号化の互換性を指定する] 設定は、Access 2016、Excel 2016、PowerPoint 2016、Word 2016 で使用できます。
次の表に、Office 2016 の使用時に暗号化アルゴリズムの変更に使用できる設定を示します。 これらの設定は、Access 2016、Excel 2016、OneNote 2016、PowerPoint 2016、Project 2016、Word 2016 に適用されます。
暗号化アルゴリズムを変更する設定
| 設定 | 説明 |
|---|---|
| [ CNG 暗号アルゴリズムを設定する] |
使用する CNG 暗号アルゴリズムを構成できます。 既定の設定は AES です。 |
| [ CNG 暗号チェーン モードを構成する] |
使用する暗号チェーン モードを構成できます。 既定の設定は [ 暗号ブロック チェーン (CBC)] です。 |
| [ CNG 暗号キーの長さを設定する] |
暗号キーの作成に使用するビット数を構成できます。 既定の設定は 256 ビットです。 |
| [ 暗号化の互換性を指定する] |
互換性の形式を指定できます。 既定の設定は [ 次世代の形式を使用する] です。 |
| [ CNG コンテキストにパラメーターを設定する] |
CNG コンテキストに使用する暗号化パラメーターを指定できます。 この設定を使用するには、CNG (CryptoAPI: Next Generation) を使用して CNG コンテキストを事前に作成しておく必要があります。 詳細については、CNG Cryptographic Configuration Functions を参照してください。 |
| [ CNG ハッシュ アルゴリズムを指定する] |
使用するハッシュ アルゴリズムを指定できます。 既定の設定は SHA1 です。 |
| [ CNG パスワードのスピン数を設定する] |
パスワード検証をスピンする (リハッシュする) 回数を指定できます。 既定の設定は 100000 回です。 |
| [ CNG 乱数ジェネレーター アルゴリズムを指定する] |
使用する CNG 乱数ジェネレーターを構成できます。 既定の設定は RNG (Random Number Generator) です。 |
| [ CNG ソルト長を指定する] |
使用するソルトのバイト数を指定できます。 Salt は、パスワードとハッシュに対する追加の入力です。 既定の設定は 16 です。 |
次の表に、Excel 2016、PowerPoint 2016、Word 2016に構成できる CNG 設定の一覧を示します。
Excel 2016、PowerPoint 2016、Word 2016 固有の CHG 設定
| 設定 | 説明 |
|---|---|
| [ パスワードの変更時に新しいキーを使用する] |
パスワードを変更するときに新しい暗号キーの使用を指定できます。 既定では、パスワードの変更に新しいキーを使用しません。 |
次の表に示した設定を使用して、ユーザーがドキュメントにパスワードを追加しないように指定できます。 この設定により、ユーザーはドキュメントを暗号化できなくなります。
ユーザーがドキュメントをパスワードで保護するのを防ぐ設定
| 設定 | 説明 |
|---|---|
| [ 読み取りパスワードの UI を無効にする] |
ドキュメントにパスワードを追加することを Office 2016 のユーザーに許可するかどうかを指定できます。 既定では、ユーザーはパスワードを追加できます。 |
以前のバージョンの Office との互換性
Office ドキュメントを暗号化する必要がある場合は、Office 97-2003 形式 (.doc, .xls, .ppt など) ではなく Open XML 形式ファイル (.docx, .xlsx, .pptx など) でドキュメントを保存することをお勧めします。 バイナリ ドキュメント (.doc, .xls, .ppt) の暗号化では RC4 が使用されます。 ただし、これは、Office Document Cryptography Structure Specification の「Security Considerations」セクションの 4.3.2 および 4.3.3 に書かれているとおり推奨されません。 以前の Office バイナリ形式で保存されたドキュメントは、以前のバージョンの Office との互換性を保つため、暗号化に使用できるのは RC4 のみとなります。 Open XML 形式ファイルの暗号化には、既定であり、推奨暗号化アルゴリズムである AES が使用されます。
Office 2016、Office 2013、Office 2010、2007 Office system では、ドキュメントを Open XML 形式ファイルとして保存できます。 また、Office 2003 では、互換機能パックを使用してドキュメントを Open XML 形式ファイルとして保存できます。
Office 2007 SP2 互換パックを使用する Office 2016、Office 2007 SP2、および Office 2003 のみが、Open XML 形式ファイルとして保存され、Office 2016 を使用して暗号化されたドキュメントを読み取ることができます。 以前のすべてのバージョンの Office との互換性を確保するために、CompatMode と呼ばれる HKCU\Software\Microsoft\Office\16.0<\application>\Security\Crypto\ の下にレジストリ キー (まだ存在しない場合) を作成し、0 に設定して無効にすることができます。 アプリケーション>に入力<できる値は、このレジストリ キーを構成する特定の Office アプリケーションを表します。 たとえば、Access、Excel、PowerPoint、または Word を入力できます。 CompatMode を 0 に設定すると、Office 2016 では、Office 2016 を使用して Open XML 形式ファイルを暗号化するときに既定で提供される強化されたセキュリティではなく、Office 2007 互換の暗号化形式が使用されます。 互換性の理由でこの設定を構成する必要がある場合、AES 暗号化など、セキュリティを強化できるサードパーティ製の暗号化モジュールも使用することをお勧めします。
Open XML 形式ファイルの暗号化に Word、Excel、PowerPoint のファイル形式用 Microsoft Office 互換機能パックを使用するには、次の点に注意してください。
既定では、互換機能パックは、Windows Server 2003 および Windows Vista のオペレーティング システムで、 [Microsoft Enhanced RSA and AES Cryptographic Provider、AES 128、128] の設定を使用して Open XML 形式ファイルを暗号化します。
ユーザーには、互換機能パックでこれらの暗号設定が使用されることは通知されません。
互換機能パックをインストールした場合、Office の以前のバージョンのグラフィカル ユーザー インターフェイスでは、Open XML 形式ファイルの暗号化設定が正しく表示できません。
Office の以前のバージョンでは、グラフィカル ユーザー インターフェイスを使用して Open XML 形式ファイルの暗号化設定を変更できません。
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示