Outlook オブジェクト モデルのセキュリティ動作
Outlook オブジェクト モデルには、Outlook データへのアクセス、指定した場所へのデータの保存、電子メールの送信を行うエントリ ポイントが含まれています。 これらのエントリ ポイントは、合法的なアプリケーションの開発者にも悪意のあるアプリケーションの開発者にも利用できるようになっています。 Outlook Email セキュリティ更新プログラムに適用された Outlook 98 および Outlook 2000 のバージョンと、Outlook 2000 SP2 以降のすべてのバージョンでは、オブジェクト モデル ガードを使用してユーザーを保護します。
オブジェクト モデル ガードは、信頼されていないアプリケーションがオブジェクト モデルを使用してメール アドレス情報を取得し、Outlook の外部にデータを格納し、特定のアクションを実行し、電子メール メッセージを送信しようとしたときに、ユーザーに警告を表示し、ユーザーに確認を求めます。 オブジェクト モデル ガードは、これらのエントリ ポイントを識別して保護することには成功しましたが、2 つの大きな問題がオブジェクト モデルを非実用的なものにしています。
Outlook の以前のバージョンでアプリケーションがオブジェクト モデル ガードを呼び出す際の既定の状況によっては、合法的なアプリケーションに対して過剰なセキュリティの確認を求めてしまいます。
オブジェクト モデル ガードを呼び出すような特定のアプリケーションの識別において、COM および Windows の制限のために、ユーザーが確信をもってセキュリティの確認に応答することが難しくなっています。
オブジェクト モデル ガードのさまざまなセキュリティ確認の詳細については、「Outlook Object Model Security Warnings」を参照してください。 保護されたオブジェクト モデル エントリ ポイントの詳細については、「Protected Properties and Methods」を参照してください。
既定のセキュリティの動作
Outlook 2007 より前のバージョンの Outlook は、Outlook アドレス帳データを保護し、信頼されていないアプリケーションが電子メールを送信しないように、オブジェクト モデル ガードに依存していました。 Outlook は引き続きオブジェクト モデル ガードを使用して同様の保護を提供しますが、オブジェクト モデル ガードが警告を生成する場合には新しい既定の状況を定義し、Outlook クライアントに対して適度なセキュリティ レベルを維持しつつ、適切な条件下における過度のセキュリティ警告を低減させます。
インプロセス アドイン
インプロセス Outlook アドインは、ホストの Outlook プログラムのプロセス内で実行されます。 Outlook のインプロセス COM アドインは既定で信頼されています。 これらの COM アドインは、クライアント コンピューターの管理者によって信頼されたアプリケーションの一覧に登録され、アドインの OnConnection イベントに渡される Application オブジェクトを使用する必要があります。 CreateObject メソッドを使用して新しい Application オブジェクトを作成した場合、そのオブジェクトとその下位オブジェクト、プロパティ、およびメソッドは信頼されないことに注意してください。
OnConnection イベントの詳細については、MSDN の文書「IDTExtensibility2」を参照してください。
プロセス間アドイン
既定では、Outlook はクライアント コンピューター上の適切なウイルス対策ソフトウェアの存在と状態に依存して、クロスプロセス アプリケーションを信頼します。Outlook が許容可能な状態でウイルス対策ソフトウェアが実行されていることを検出した場合、Outlook はエンド ユーザーのセキュリティ警告を無効にします。
次のすべての条件が満たされている場合、すべてのクロスプロセス COM 呼び出し元とアドインはセキュリティ警告なしで実行されます。
Windows XP Service Pack 2 (SP2)、Windows Vista、またはそれ以降のバージョンの Windows を実行しているクライアント コンピューターで、コンピューター上のウイルス対策ソフトウェアが「正常」 であることを Windows セキュリティ センター (WSC) が示していること。
クライアント コンピューターにインストールされているウイルス対策ソフトウェアが Windows XP SP2、Windows Vista、またはそれ以降用に設計されていること。
Outlook はクライアント コンピューターに次の方法のいずれかで構成されています。
既定の Outlook セキュリティ設定を使用する (つまり、グループ ポリシーを設定しない)
グループ ポリシーで定義されたセキュリティ設定を使用しますが、プログラムによるアクセス ポリシーは適用されていません
ウイルス対策ソフトウェアが無効であるか最新の状態でない場合に、警告するよう設定されたグループ ポリシーで定義されたセキュリティ設定を使用します
詳細については、MSDN の記事「Outlook 2007 でのコード セキュリティの変更点」を参照してください。
セキュリティ オプション
Windows グループ ポリシー
管理者は Outlook のセキュリティ センターを使用して既定の動作を変更できます。 セキュリティ センターにアクセスするには、[ツール]、[セキュリティ センター] の順に選択します。 セキュリティ センターで [プログラムによるアクセス] をクリックします。 [プログラムによるアクセスのセキュリティ] ダイアログで既定の動作以外のオプションを選択できます。
[プログラムによるアクセスのセキュリティ] ダイアログの 3 つの設定は次のとおりです。
ウイルス対策ソフトウェアが非アクティブまたは古い場合に疑わしいアクティビティについて警告する (推奨) この設定は既定値であり、上記の動作を実装します。 これは、すべてのユーザーに推奨される設定です。
不審なアクティビティについて常に警告する この設定により、Outlook は Outlook 2003 のように動作し、クロスプロセス COM 呼び出し元と信頼されていないアドインによってセキュリティ警告が呼び出されます。
不審なアクティビティについて警告しない (推奨されません) この設定では、セキュリティ警告は表示されません。オブジェクト モデル ガードは無効になります。 この設定は、コンピューター上で悪意のあるコードが実行される危険性の低い、制御された環境でのみ使用してください。
これらの設定は、現在のユーザーがコンピューターの管理者の場合にのみ利用できます。 管理者以外のユーザーは現在の設定を表示できますが、変更はできません。 プログラムによるアクセスの設定は、グループ ポリシーからも制御できます。 Outlook をグループ ポリシーで構成する方法の詳細は Office リソース キットの Web サイトを参照してください。
Exchange パブリック フォルダーのセキュリティ フォーム
管理者は、Outlook がパブリック フォルダー内に Outlook セキュリティ フォームを検索するように構成できます。 この場合、Outlook はウイルス対策ソフトウェアの状態を利用せずに、既定でセキュリティ フォームに記載された信頼済みのアドインのみを利用します。 プロンプトの動作は、ユーザーの入力を求める、プロンプトを表示せずに自動的に許可する、プロンプトを表示せずに自動的に拒否する、の 3 種類だけです。
ウイルス対策ソフトウェアの状態に基づく、新しいコード セキュリティの動作を利用するには、管理者は既定の Outlook セキュリティ設定を使用するか、またはこの動作をオーバーライドするグループ ポリシー設定を使用するように Outlook を構成する必要があります。
サポートとフィードバック
Office VBA またはこの説明書に関するご質問やフィードバックがありますか? サポートの受け方およびフィードバックをお寄せいただく方法のガイダンスについては、Office VBA のサポートおよびフィードバックを参照してください。