Office 2010 の信頼できる場所の設定を計画する

 

適用先: Office 2010

トピックの最終更新日: 2016-11-29

安全なファイルと問題を起こす可能性のあるファイルを区別するには、Microsoft Office 2010 の信頼できる場所機能を使用します。信頼できる場所機能を使用すると、ユーザーのコンピューターのハード ディスク上またはネットワーク共有上の信頼できるファイル ソースを指定できます。フォルダーを信頼できるファイル ソースとして指定すると、そのフォルダーに保存したファイルはすべて信頼できるファイルと見なされます。信頼できるファイルを開くと、そのファイル内のすべてのコンテンツが有効でアクティブな状態になります。そのファイル内に署名されていないアドインや Visual Basic for Applications (VBA) マクロ、インターネット上のコンテンツへのリンク、データベース接続など、問題を起こす可能性のあるコンテンツが含まれていてもユーザーにそのことは通知されません。

この記事の内容 :

• 信頼できる場所の設定の計画

• 信頼できる場所を実装する

• 信頼できる場所を無効にする

信頼できる場所の設定の計画

Office 2010 には、信頼できる場所機能の動作を制御するいくつかの設定が用意されています。これらの設定を構成すると、以下の操作を行うことができます。

• 信頼できる場所をグローバルに、またはアプリケーション単位で指定する。

• 信頼できる場所をリモート共有上に配置できるようにする。

• 信頼できる場所をユーザーが指定できないようにする。

• 信頼できる場所機能を無効にする。

信頼できる場所機能は、Microsoft Access 2010、Microsoft Excel 2010、Microsoft InfoPath 2010、Microsoft PowerPoint 2010、Microsoft Visio 2010、Microsoft Word 2010 の各アプリケーションで使用できます。

信頼できる場所機能の既定の構成は次のとおりです。

• 信頼できる場所を有効にする。

• ユーザーは、ネットワーク共有を信頼できる場所として指定できない。ただし、この設定をセキュリティ センターで変更できる。

• ユーザーは、信頼できる場所の一覧にフォルダーを追加できる。

• ユーザー定義の信頼できる場所とポリシー定義の信頼できる場所の両方を使用できる。

また、Office 2010 の既定のインストールでは、複数のフォルダーが信頼できる場所として指定されます。各アプリケーションの既定のフォルダーを以下の表に示します (InfoPath 2013 と Visio 2013 には、既定の信頼できる場所はありません)。

Access 2010 の信頼できる場所

次の表に、Access 2010 の既定の信頼できる場所を示します。

既定の信頼できる場所	フォルダーの説明	信頼できるサブフォルダー
Program Files\Microsoft Office\Office14\ACCWIZ	ウィザード データベース	使用不可

Excel 2010 の信頼できる場所

次の表に、Excel 2013 の既定の信頼できる場所を示します。

既定の信頼できる場所	フォルダーの説明	信頼できるサブフォルダー
Program Files\Microsoft Office\Templates	アプリケーション テンプレート	使用可能
Users\ユーザー名\Appdata\Roaming\Microsoft\Templates	ユーザー テンプレート	使用不可
Program Files\Microsoft Office\Office14\XLSTART	Excel スタートアップ	Allowed
Users\ユーザー名\Appdata\Roaming\Microsoft\Excel\XLSTART	ユーザー スタートアップ	使用不可
Program Files\Microsoft Office\Office14\STARTUP	Office スタートアップ	使用可能
Program Files\Microsoft Office\Office14\Library	アドイン	使用可能

PowerPoint 2010 の信頼できる場所

次の表に、PowerPoint 2013 の既定の信頼できる場所を示します。

既定の信頼できる場所	フォルダーの説明	信頼できるサブフォルダー
Program Files\Microsoft Office\Templates	アプリケーション テンプレート	使用可能
Users\ユーザー名\Appdata\Roaming\Microsoft\Templates	ユーザー テンプレート	使用可能
Users\ユーザー名\Appdata\Roaming\Microsoft\Addins	アドイン	使用不可
Program Files\Microsoft Office\Document Themes 14	アプリケーション テーマ	使用可能

Word 2010 の信頼できる場所

次の表に、Word 2010 の既定の信頼できる場所を示します。

既定の信頼できる場所	フォルダーの説明	信頼できるサブフォルダー
Program Files\Microsoft Office\Templates	アプリケーション テンプレート	使用可能
Users\ユーザー名\Appdata\Roaming\Microsoft\Templates	ユーザー テンプレート	使用不可
Users\ユーザー名\Appdata\Roaming\Microsoft\Word\Startup	ユーザー スタートアップ	使用不可

注意

Office カスタマイズ ツール (OCT) と Office 2010 の管理テンプレートでセキュリティ設定を構成する方法については、「Office 2010 のセキュリティを構成する」を参照してください。

信頼できる場所を実装する

信頼できる場所を実装するには、以下の項目を決定する必要があります。

• 信頼できる場所の構成対象となるアプリケーション。

• 信頼できる場所として指定するフォルダー。

• 信頼できる場所に適用するフォルダーの共有とフォルダーのセキュリティの設定。

• 信頼できる場所に適用する制限。

構成対象となるアプリケーションを決定する

信頼できる場所の構成対象となるアプリケーションを決定するには、以下のガイドラインを参考にしてください。

• 信頼できる場所は、アドイン、ActiveX コントロール、ハイパーリンク、データ ソースやメディアへのリンク、VBA マクロなど、ファイル内のすべてのアクティブ コンテンツに影響します。さらに、信頼できる場所から開いたファイルは、ファイル制限機能によるファイル検証の対象にならず、保護されたビューでは開かれません。

• 各アプリケーションに、信頼できる場所の構成に関する同じ設定が用意されています。これは、それぞれのアプリケーションで、信頼できる場所を個別にカスタマイズできることを意味します。

• アプリケーションごとに、信頼できる場所を無効にしたり、信頼できる場所を実装したりできます。

信頼できる場所として指定するフォルダーを決定する

信頼できる場所として指定するフォルダーを決定するには、以下のガイドラインを参考にしてください。

• 信頼できる場所は、アプリケーション単位で、またはグローバルに指定できます。

• 1 つ以上のアプリケーションで、信頼できる場所を共有できます。

• 悪意のあるユーザーが、信頼できる場所にファイルを追加したり信頼できる場所に保存されているファイルを変更するのを防止するために、信頼できる場所として指定するすべてのフォルダーにオペレーティング システムのセキュリティの設定を適用する必要があります。

• 既定では、ユーザーのハード ディスクに対してのみ信頼できる場所を指定できます。ネットワーク共有上の信頼できる場所を有効にするには、[コンピューター上にない信頼できる場所を許可する] の設定を有効にする必要があります。

• C ドライブのようなルート フォルダーや [ドキュメント] フォルダーまたは [マイ ドキュメント] フォルダー全体を信頼できる場所として指定することはお勧めしません。代わりに、これらのフォルダー内にサブフォルダーを作成し、そのサブフォルダーのみを信頼できる場所と指定します。

また、必要に応じ、以下に示すガイドラインに従ってください。

• 環境変数を使用して信頼できる場所を指定する。

• Web フォルダー (http:// 形式のパス) を信頼できる場所として指定する。

環境変数を使用して信頼できる場所を指定する

グループ ポリシーと OCT を使用すると、環境変数で信頼できる場所を指定できます。ただし、OCT で環境変数を使用するときは、環境変数が正しく機能するように、信頼できる場所の格納に使用するレジストリの値の種類を変更する必要があります。環境変数を使用して信頼できる場所を指定してもレジストリに対して必要な変更を加えないと、セキュリティ センターに信頼できる場所は表示されますが、環境変数を含む相対パスとして表示されるので、それは使用できません。レジストリの値の種類を変更すれば、信頼できる場所がセキュリティ センターに絶対パスとして表示され、それを使用できます。

環境変数を使用して信頼できる場所を指定するには

1. レジストリ エディターを使用して、環境変数で表されている信頼できる場所を見つけます。

   レジストリ エディターを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「regedit」と入力して、[OK] をクリックします。

   OCT を使用して構成された信頼できる場所は、次の場所に格納されます。

   HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/アプリケーション名/Security/Trusted Locations

   ここで、アプリケーション名には、Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Visio、Microsoft Word のいずれかを指定できます。

   信頼できる場所は Path という名前のレジストリ エントリに格納され、値の種類は文字列値 (REG_SZ) に設定されます。環境変数を使用して信頼できる場所を指定している各 Path エントリを見つけてください。

2. Path の値の種類を変更します。

   Office 2010 のアプリケーションは、値の種類が文字列値 (REG_SZ) として格納されている環境変数を認識できません。アプリケーションが環境変数を認識するには、Path エントリの値の種類を展開可能な文字列値 (REG_EXPAND_SZ) に変更する必要があります。このように設定するには、以下の手順を実行します。

   1. Path エントリの値をメモするかコピーします。このパスは、1 つ以上の環境変数が含まれた相対パスである必要があります。

   2. Path エントリを削除します。

   3. 種類が展開可能な文字列値 (REG_EXPAND_SZ) の新しいPathエントリを作成します。

   4. 最初の手順でメモするかコピーしたものと同じ値になるように、新しい Path エントリを変更します。

   環境変数を使用して信頼できる場所を指定している各 Path エントリに対してこの変更を実行してください。

Web フォルダーを信頼できる場所として指定する

Web フォルダー (http:// 形式のパス) を信頼できる場所として指定できます。ただし、Web Distributed Authoring and Versioning (WebDAV) プロトコルまたは FrontPage Server Extensions Remote Procedure Call (FPRPC) プロトコルをサポートする Web フォルダーだけが信頼できる場所として認識されます。Web フォルダーが WebDAV プロトコルまたは FPRPC プロトコルをサポートしているかどうかが不明の場合は、以下のガイドラインに従ってください。

• アプリケーションが Internet Explorer で開かれる場合、最近使用したファイルの一覧を確認します。最近使用したファイルの一覧に、インターネット一時ファイルのフォルダーではなくリモート サーバー上にあるファイルが表示される場合、Web フォルダーはいずれかの形式の WebDAV をサポートしている可能性があります。たとえば、Internet Explorer で参照しているときにドキュメントをクリックすると、Word 2010 の文書が開く場合、その文書がローカルのインターネット一時ファイルのフォルダーではなくリモート サーバー上にあることが、最近使用したファイルの一覧に表示されます。

• [ファイルを開く] ダイアログ ボックスを使用して Web フォルダーを参照してみます。そのパスが WebDAV をサポートしている場合は、Web フォルダーを参照できるか、資格情報の確認画面が表示されます。Web フォルダーが WebDAV をサポートしていない場合は、そのフォルダーの参照に失敗してダイアログ ボックスが閉じます。

注意

Windows SharePoint Services および Microsoft SharePoint Server を使用して作成したサイトは、信頼できる場所として指定できます。

フォルダーの共有とフォルダーのセキュリティの設定を決定する

信頼できる場所として指定するすべてのフォルダーをセキュリティ保護する必要があります。以下のガイドラインに従って、それぞれの信頼できる場所に適用する必要のある共有の設定とセキュリティの設定を決定します。

• フォルダーを共有する場合は、権限のあるユーザーだけが共有フォルダーにアクセスできるように共有アクセス権を構成します。最小限の権限の原則を使用して、ユーザーに適したアクセス権を与えるようにします。つまり、信頼できるファイルを変更する必要のないユーザーには読み取り権限を与え、信頼できるファイルを変更する必要のあるユーザーにはフル コントロール権限を与えます。

• 権限のあるユーザーだけが信頼できる場所にあるファイルを読み取りまたは変更できるようにするには、フォルダーのセキュリティのアクセス権を適用します。最小限の権限の原則を使用して、ユーザーに適したアクセス権を与えるようにしてください。つまり、ファイルを変更する必要のあるユーザーにのみフル コントロール権限を与え、ファイルの読み取りのみが必要なユーザーにはより制限の多いアクセス権を与えます。

信頼できる場所に対する制限を決定する

Office 2010 には、信頼できる場所の動作を制限または制御するいくつかの設定が用意されています。以下のガイドラインに従って、設定の構成方法を決定してください。

設定名: ポリシー定義とユーザー定義の場所を混在させる

• 
  説明: この設定は、信頼できる場所をユーザー、OCT、およびグループ ポリシーから定義することを許可するか、それともグループ ポリシーだけで定義しなければならないかを制御します。既定では、ユーザーが任意の場所を信頼できる場所として指定でき、コンピューターにユーザー定義、OCT 定義、およびグループ ポリシー定義の信頼できる場所を混在させることができます。

• 
  影響: この設定を無効にした場合、グループ ポリシー以外で作成されたすべての信頼できる場所が無効になり、ユーザーはセキュリティ センターで信頼できる場所を新たに作成できなくなります。この設定を無効にすると、ユーザーがセキュリティ センターで信頼できる場所を独自に定義している場合に、混乱を招くことがあります。アプリケーションは、このような場所を他の信頼できない場所と同様に扱うので、ユーザーがファイルを開くとき、メッセージ バーに ActiveX コントロールや VBA マクロに関する警告が表示され、ユーザーはコントロールやマクロを有効にするか、それともそれらを無効なままにしておくかを選択する必要があります。これは信頼できる場所の構成対象となるすべてのアプリケーションに適用されるグローバルな設定です。

• 
  ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を無効にします。デスクトップの構成をグループ ポリシーで管理しているような組織では、通常、この設定を無効にします。

設定名: コンピューター上にない信頼できる場所を許可する

• 
  説明: この設定は、ネットワーク上の信頼できる場所の使用を許可するかどうかを制御します。ネットワーク共有上の信頼できる場所は既定で無効になっています。しかし、ユーザーはセキュリティ センターで [プライベート ネットワーク上にある信頼できる場所を許可する] チェック ボックスをオンにすれば、ネットワーク共有を信頼できる場所として指定できます。これはグローバルな設定ではありません。この設定は、Access 2010、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2010 に関して、アプリケーション単位で構成する必要があります。

• 
  影響: この設定を無効にすると、ネットワーク共有上のすべての信頼できる場所が無効になり、セキュリティ センターでユーザーが [プライベート ネットワーク上にある信頼できる場所を許可する] チェック ボックスをオンにできなくなります。この設定を無効にすると、ユーザーがセキュリティ センターで信頼できる場所を独自に定義している場合に、混乱を招くことがあります。この設定を無効にした場合は、ユーザーがネットワーク共有を信頼できる場所として指定しようとすると、現在のセキュリティ設定ではリモート パスまたはネットワーク パスを使用した信頼できる場所の作成は許可されていないという警告が表示されます。管理者がネットワーク共有をグループ ポリシーまたは OCT で信頼できる場所として指定した場合、この設定を無効にすると、その信頼できる場所は無効になります。アプリケーションは、このような場所を他の信頼できない場所と同様に扱うので、ユーザーがファイルを開くとき、メッセージ バーに ActiveX コントロールや VBA マクロに関する警告が表示され、ユーザーはコントロールやマクロを有効にするか、それともそれらを無効なままにしておくかを選択する必要があります。

• 
  ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を有効にします。

注意

[Office カスタマイズ ツールによって書き込まれた信頼できる場所を、インストール中にすべて削除する] の設定を使用して、OCT で構成して作成したすべての信頼できる場所を削除することもできます。

信頼できる場所を無効にする

Office 2010 には、信頼できる場所機能を無効にする設定があります。この設定は、Access 2010、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2010 に関して、アプリケーション単位で構成する必要があります。この設定を使用するかどうかは、以下のガイドラインに従って判断してください。

設定名: すべての信頼できる場所を無効にする

• 
  説明: この設定は、管理者が信頼できる場所機能をアプリケーション単位で無効にできるようにします。信頼できる場所機能は既定で無効になっており、ユーザーが信頼できる場所を作成できます。

• 
  影響: この設定を有効にすると、次のような信頼できる場所がすべて無効になります。

  • セットアップ時に既定で作成された場所。

  • OCT を使用して作成された場所。

  • ユーザーがセキュリティ センターで作成した場所。

  • グループ ポリシーを使用して作成された場所。

  この設定を有効にすると、ユーザーは、セキュリティ センターで信頼できる場所の設定を構成することもできなくなります。この設定を有効にする場合は、信頼できる場所機能が使用できなくなることをユーザーに通知してください。ユーザーが信頼できる場所からファイルを開いているときに、この設定を有効にすると、ユーザーのメッセージ バーに警告が表示され、ユーザーはその警告に応答して ActiveX コントロール、アドイン、VBA マクロなどのコンテンツを有効にする操作が必要になることがあります。

• 
  ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を有効にします。

注意

ポリシー設定に関する最新情報は、Microsoft Excel 2010 ブック Office2010GroupPolicyAndOCTSettings_Reference.xls を参照してください。このブックは、「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x411) (英語) ダウンロード ページの [Files in this Download] セクションから入手できます。

See Also

Concepts

Office 2010 のセキュリティの概要
Office 2010 のセキュリティを構成する

Other Resources

TechNet の Office 2010 セキュリティ リソース センター (英語)