Office 2016 の暗号化技術と暗号化
概要:Office 2016 以降のデータの暗号化、Microsoft 365 Apps、および以前のバージョンの Office との互換性に関する情報を提供するために使用できる設定について説明します。
Office 2016 には、Access 2016、Excel 2016、OneNote 2016、PowerPoint 2016、Project 2016、Word 2016 の使用時にデータを暗号化する方法を制御できる設定が含まれています。
この記事では、Office 2016 での暗号化と暗号化について説明し、データの暗号化に使用できる設定について説明し、以前のバージョンの Office との互換性に関する情報を提供します。
暗号化設定を計画する際には、次のことを考慮してください。
組織のセキュリティ モデルで既定の設定とは異なる暗号化設定が必要な場合を除き、既定の暗号化設定を変更しないことをお勧めします。
データを暗号化する際に強力なパスワードが使用されるようにパスワードの長さと複雑さを強化することをお勧めします。
RC4 暗号化は使用しないことをお勧めします。 詳細については、この記事で後述する 以前のバージョンの Office との互換性 を参照してください。
ユーザーにドキュメントの暗号化を強制する管理設定はありません。 ただし、ユーザーがドキュメントにパスワードを追加できないようにする管理設定があるため、ドキュメントが暗号化されないようにします。 詳細については、この記事で後述する 暗号化技術と暗号化設定 を参照してください。
信頼できる場所にドキュメントを保存しても暗号化設定には影響しません。 ドキュメントを暗号化し、信頼できる場所に保存した場合も、ドキュメントを開く際にはパスワードが必要になります。
ユーザーがドキュメントをパスワードで保護できるようにし、後になってユーザーがパスワードを忘れた場合は、DocRecrypt ツールを使用してパスワードをリセットまたは削除することができます。 詳細については、Office 2016 のファイルのパスワードの削除またはリセット の記事をご覧ください。
Office 2016 の暗号化技術と暗号化について
Office で使用できる暗号化アルゴリズムは、Windows オペレーティング システムの API (アプリケーション プログラミング インターフェイス) を介してアクセスできるアルゴリズムによって異なります。 Office 2016 には、Encryptiony API (CryptoAPI) のサポートを維持するだけでなく、2007 Microsoft Office システムと Service Pack 2 (SP2) で初めて利用可能になった CNG (CryptoAPI: 次世代) のサポートも含まれています。
CNG を使用すると、ドキュメント暗号化プロセス中に使用するためにホスト コンピューターでサポートされている暗号化とハッシュ アルゴリズムを指定できる、より機敏な暗号化が可能になります。 CNG を使用すると、サード パーティの暗号化モジュールを使用できる拡張性の高い暗号化も可能になります。
Office で CryptoAPI を使用する場合、暗号化アルゴリズムは、Windows オペレーティング システムに含まれる暗号化サービス プロバイダー (CSP) で使用できるアルゴリズムによって決まります。 コンピューターにインストールされている CSP のリストは、次のレジストリ キーに含まれています。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider
2007 Office system SP2、Office 2010、Office 2013、Office 2016 では、次の CNG 暗号化アルゴリズム、またはシステムにインストールされている他の CNG 暗号拡張機能を使用できます。
AES、DES、DESX、3DES、3DES_112、RC2
2007 Office system SP2、Office 2010、Office 2013、Office 2016 では、次の CNG ハッシュ アルゴリズム、またはシステムにインストールされている他の CNG 暗号拡張機能を使用できます。
MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384、SHA512
暗号化の実行方法を変更する Office 2016 設定がありますが、Open XML Format ファイル (.docx、.xslx、.pptx など) を暗号化する場合、既定値 (AES (Advanced Encryption Standard)、256 ビット キーの長さ、SHA-2、および CBC (暗号ブロック チェーン) は強力な暗号化を提供し、ほとんどの組織にとって問題ありません。 AES 暗号化は、利用できる最も強力な業界標準アルゴリズムであり、米国国家安全保障局 (NSA) により米国政府の標準の規格として採用されました。 AES 暗号化は、Windows Vista、Windows 7、Windows 8、Windows 10、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 でサポートされています。
暗号化技術と暗号化設定
次の表に、CryptoAPI にアクセスする Office バージョンで使用できる暗号化アルゴリズム設定を示します。 これには Office 2016 までの Office バージョンが含まれています。
CryptoAPI で使用できる暗号化アルゴリズム設定
| 設定 | 説明 |
|---|---|
| [ パスワードで保護された Office Open XML ファイルの暗号化の種類] |
利用可能な暗号化サービス プロバイダー (CSP) から Open XML ファイルの暗号化の種類を指定できます。 この設定は、カスタム COM 暗号化アドインを使用する場合に必要になります。 また、2007 Office system SP1 を使用する場合や、Word/Excel/PowerPoint 用 Microsoft Office 互換機能パックよりも古いバージョンの互換機能パックを使用する場合は、既定の暗号化アルゴリズムを別のアルゴリズムに変更するときに、この設定を使用する必要があります。 |
| [ パスワードで保護された Office 97-2003 ファイルの暗号化の種類] |
この設定では、使用可能な暗号化サービス プロバイダー (CSP) から Office 97-2003 (バイナリ) ファイルの暗号化の種類を指定できます。 この設定でサポートされている暗号化アルゴリズムは RC4 のみです。これはお勧めしません。 |
Office 2016 で [パスワードで保護された Office Open XML ファイルの暗号化の種類] 設定を変更する必要がある場合、まず [暗号化の互換性を指定する] 設定を有効にし、次に [以前の形式を使用する] オプションをオンにします。 [暗号化の互換性を指定する] 設定は、Access 2016、Excel 2016、PowerPoint 2016、Word 2016 で使用できます。
次の表に、Office 2016 の使用時に暗号化アルゴリズムの変更に使用できる設定を示します。 これらの設定は、Access 2016、Excel 2016、OneNote 2016、PowerPoint 2016、Project 2016、Word 2016 に適用されます。
暗号化アルゴリズムを変更する設定
| 設定 | 説明 |
|---|---|
| [ CNG 暗号アルゴリズムを設定する] |
使用する CNG 暗号アルゴリズムを構成できます。 既定の設定は AES です。 |
| [ CNG 暗号チェーン モードを構成する] |
使用する暗号チェーン モードを構成できます。 既定の設定は [ 暗号ブロック チェーン (CBC)] です。 |
| [ CNG 暗号キーの長さを設定する] |
暗号キーの作成に使用するビット数を構成できます。 既定の設定は 256 ビットです。 |
| [ 暗号化の互換性を指定する] |
互換性の形式を指定できます。 既定の設定は [ 次世代の形式を使用する] です。 |
| [ CNG コンテキストにパラメーターを設定する] |
CNG コンテキストに使用する暗号化パラメーターを指定できます。 この設定を使用するには、CNG (CryptoAPI: Next Generation) を使用して CNG コンテキストを事前に作成しておく必要があります。 詳細については、CNG Cryptographic Configuration Functions を参照してください。 |
| [ CNG ハッシュ アルゴリズムを指定する] |
使用するハッシュ アルゴリズムを指定できます。 既定の設定は SHA1 です。 |
| [ CNG パスワードのスピン数を設定する] |
パスワード検証をスピンする (リハッシュする) 回数を指定できます。 既定の設定は 100000 回です。 |
| [ CNG 乱数ジェネレーター アルゴリズムを指定する] |
使用する CNG 乱数ジェネレーターを構成できます。 既定の設定は RNG (Random Number Generator) です。 |
| [ CNG ソルト長を指定する] |
使用するソルトのバイト数を指定できます。 ソルトとは、パスワードとハッシュに付加されるデータのことです。 既定の設定は 16 です。 |
次の表に、Excel 2016、PowerPoint 2016、Word 2016 で構成できる CNG 設定を示します。
Excel 2016、PowerPoint 2016、Word 2016 固有の CHG 設定
| 設定 | 説明 |
|---|---|
| [ パスワードの変更時に新しいキーを使用する] |
パスワードを変更するときに新しい暗号キーの使用を指定できます。 既定では、パスワードの変更時に新しいキーは使用しません。 |
次の表に示した設定を使用して、ユーザーがドキュメントにパスワードを追加しないように指定できます。 これにより、ユーザーがドキュメントを暗号化するのを防ぎます。
ユーザーがドキュメントをパスワードで保護するのを防ぐ設定
| 設定 | 説明 |
|---|---|
| [ 読み取りパスワードの UI を無効にする] |
ドキュメントにパスワードを追加することを Office 2016 のユーザーに許可するかどうかを指定できます。 既定では、ユーザーはパスワードを追加できます。 |
以前のバージョンの Office との互換性
Office ドキュメントを暗号化する必要がある場合は、Office 97-2003 形式 (.doc, .xls, .ppt など) ではなく Open XML 形式ファイル (.docx, .xlsx, .pptx など) でドキュメントを保存することをお勧めします。 バイナリ ドキュメント (.doc, .xls, .ppt) の暗号化では RC4 が使用されます。 ただし、これは、Office Document Cryptography Structure Specification の「Security Considerations」セクションの 4.3.2 および 4.3.3 に書かれているとおり推奨されません。 以前の Office バイナリ形式で保存されたドキュメントは、以前のバージョンの Office との互換性を保つため、暗号化に使用できるのは RC4 のみとなります。 Open XML 形式ファイルの暗号化には、既定であり、推奨暗号化アルゴリズムである AES が使用されます。
Office 2016、Office 2013、Office 2010、2007 Office system では、ドキュメントを Open XML 形式ファイルとして保存できます。 また、Office 2003 では、互換機能パックを使用してドキュメントを Open XML 形式ファイルとして保存できます。
Open XML 形式ファイルとして保存され、Office 2016 を使用して暗号化されたドキュメントを読むことができるのは、Office 2016、Office 2007 SP2、および Office 2007 SP2 互換機能パックを使用する Office 2003 のみです。 以前のすべてのバージョンの Office との互換性を確保するために、CompatMode という HKCU\Software\Microsoft\Office\16.0<\application>\Security\Crypto\ の下にレジストリ キー (まだ存在しない場合) を作成し、0 に設定して無効にすることができます。 アプリケーション>に入力<できる値は、このレジストリ キーを構成する特定の Office アプリケーションを表します。 たとえば、Access、Excel、PowerPoint、または Word を入力できます。 CompatMode を 0 に設定すると、Office 2016 を使用して Open XML 形式ファイルを暗号化するときに、Office 2016 は、既定で提供される強化されたセキュリティの代わりに Office 2007 互換の暗号化形式を使用することに注意してください。 互換性の理由でこの設定を構成する必要がある場合、AES 暗号化など、セキュリティを強化できるサードパーティ製の暗号化モジュールも使用することをお勧めします。
Open XML 形式ファイルの暗号化に Word、Excel、PowerPoint のファイル形式用 Microsoft Office 互換機能パックを使用するには、次の点に注意してください。
既定では、互換機能パックは、Windows Server 2003 および Windows Vista のオペレーティング システムで、 [Microsoft Enhanced RSA and AES Cryptographic Provider、AES 128、128] の設定を使用して Open XML 形式ファイルを暗号化します。
ユーザーには、互換機能パックでこれらの暗号設定が使用されることは通知されません。
互換機能パックをインストールした場合、Office の以前のバージョンのグラフィカル ユーザー インターフェイスでは、Open XML 形式ファイルの暗号化設定が正しく表示できません。
Office の以前のバージョンでは、グラフィカル ユーザー インターフェイスを使用して Open XML 形式ファイルの暗号化設定を変更できません。