セキュリティの脅威と Office 2013 のセキュリティ対策を理解する

  • [アーティクル]

 

適用先: Office client

トピックの最終更新日: 2016-12-16

概要: Office 2013 のセキュリティ機能により、組織の Office 資産、ドキュメント、プロセスに対するリスクおよび脅威を軽減する方法を説明します。

対象ユーザー: IT 担当者

安全なデスクトップ構成は、組織の防御戦略の重要な部分です。この記事では、まず組織のビジネス文書や資産に対する一般的なセキュリティ リスクと脆弱性に関する簡単な概要を示します。その後、Office 2010 や Office 2013 で使用可能な、これらの脅威を軽減できるセキュリティ機能の概要について説明します。これらの設定を確認して、組織で使用する既定の機能と省略可能な Office のセキュリティ機能を決定します。

Office セキュリティに導くロードマップの矢印。

この記事は、Office 2013 のセキュリティのガイドに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。

個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。

この記事の内容

  • 情報セキュリティのリスク

  • デスクトップ生産性向上アプリケーションに対する脅威

  • Office 2013 の既定のセキュリティ対策

情報セキュリティのリスク

多くの IT 担当者および IT セキュリティ スペシャリストは、情報セキュリティのリスクを大きく以下の 3 つに分類しています。

  • 機密性のリスク   このリスクは、組織の知的所有権への脅威を表します。これは組織内で話されたり、書かれたり、作成されたりする情報が、無許可のユーザーや悪意のあるコードによってアクセスされることによるものです。

  • 完全性のリスク   このリスクは、ビジネス リソースへの脅威を表します。これは組織の重要なビジネス データの損傷を試みる無許可のユーザーや悪意のあるコードによるものです。完全性のリスクでは、データベース サーバー、データ ファイル、電子メール サーバーなど、組織の重要な情報が含まれるビジネス資産を損失する可能性があります。

  • 可用性のリスク   このリスクは、ビジネス プロセスが受ける脅威を表します。これは業務やユーザーの作業の妨害を試みる無許可のユーザーや悪意のあるコードによるものです。可用性のリスクによって、ビジネス インテリジェンス プロセス、アプリケーションの機能や能力、およびドキュメント ワークフロー プロセスはすべて、被害を受ける可能性があります。

この 3 種類すべてのリスクから組織を保護するには、多層防御セキュリティ戦略を採用することをお勧めします。このセキュリティ戦略には、無許可のユーザーや悪意のあるコードから保護する多重層の防御が含まれます。通常、これには以下の層があります。

  • 境界ネットワークの保護 (ファイアウォール、プロキシ サーバーなど)

  • 物理的なセキュリティ対策 (物理的に保護されたデータ センター、サーバー ルームなど)

  • デスクトップ セキュリティ ツール (パーソナル ファイアウォール、ウイルス検索プログラム、スパイウェア検出プログラムなど)

Office 2013 の既定のセキュリティ モデルは、組織における 3 種類すべてのリスクの軽減に役立ちます。ただし、組織のインフラストラクチャの能力、生産性の要求度、デスクトップ セキュリティ要件は、組織ごとに異なります。それぞれの組織におけるビジネス リスクをどのように軽減できるかを明確に判断するには、そのリスクを悪用する脅威と脆弱性を評価する必要があります。

デスクトップ生産性向上アプリケーションに対する脅威

Office 2013 のセキュリティ モデルは Office 2010 と同様、生産性向上ソフトウェアに対する 5 種類のセキュリティの脅威を軽減するのに役立ちます。これらの脅威のそれぞれに、さまざまなセキュリティ攻撃で悪用される可能性がある複数の脆弱性が含まれています。以下の図に、このようなセキュリティの脅威および一般的な脅威因子の例を示します。

セキュリティの脅威の種類

多くの組織が、これらのセキュリティ脅威による潜在的なリスクのいくつかに直面しています。しかしほとんどの組織では、対処しなければいけない脆弱性と潜在的なセキュリティ攻撃および悪用の種類は、組織特有のものです。したがって、リスクを理解し、自分の組織に適した対策計画を立てることが重要になります。

Office 2013 の既定のセキュリティ対策

Office 2013 では、ビジネス資産とビジネス プロセスに対する脅威の軽減に役立つ多くのセキュリティ対策が用意されています。各セキュリティ対策は、セキュリティの脅威を軽減するセキュリティ機能またはセキュリティ コントロールを指します。通常、セキュリティ対策の動作は、Office カスタマイズ ツール (OCT) を使用して設定を構成する方法、またはOffice 2013管理用テンプレートを使用してグループ ポリシーを介する方法によって変更できます。

Office 2013 のセキュリティ対策の多くは、特定のアプリケーションの特定の種類の脅威を軽減します。たとえば、InfoPath 2013 には、フォームに Web ビーコンが含まれている可能性があるときにユーザーに警告するセキュリティ対策があります。このセキュリティ対策の動作を変更するには、OCT で [InfoPath でフォームを開く場合のビーコン UI] 設定を構成するか、グループ ポリシーを使用します。

より広範な種類の脅威を軽減する、各種アプリケーション共通のセキュリティ対策もあります。たとえば、保護されたビューの機能を使用すると、ユーザーは、信頼されていないドキュメント、プレゼンテーション、ワークブックを開くとき、安全でないコンテンツや悪意のあるコードによる悪影響をコンピューターに受けることなく、内容を表示できます。このセキュリティ対策は、Excel 2013、PowerPoint 2013、Word 2013 、Outlook 2013 で、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2013 の添付ファイルをプレビューするときに使用されます。この機能の動作は、OCT で設定を構成するか、グループ ポリシーを使用して変更できます。詳細については、「Office 2013 で保護されたビューの設定を計画する」の記事を参照してください。

以下の各セクションでは、最もよく使用される Office 2013 のセキュリティ対策について説明します。

Office 2013 での ActiveX コントロールの設定

ActiveX コントロールの設定を使用すると、ActiveX コントロールを無効にしたり、Office 2013 アプリケーションに ActiveX コントロールを読み込む動作を変更したりできます。既定では、信頼できる ActiveX コントロールは、保持された値を使用してセーフ モードで読み込まれ、ActiveX コントロールが読み込まれたことはユーザーに通知されません。信頼できない ActiveX コントロールの読み込みは、そのコントロールがどのようにマークされているか、およびそのコントロールに付随するファイルに VBA プロジェクトが存在するかどうかによって動作が異なります。信頼できない ActiveX コントロールの既定の動作は、次のとおりです。

  • ActiveX コントロールが、安全な初期化 (SFI) としてマークされていて、VBA プロジェクトが含まれないドキュメントに含まれている場合、その ActiveX コントロールは、保持された値を使用してセーフ モードで読み込まれます。メッセージ バーは表示されず、その ActiveX コントロールの存在はユーザーに通知されません。このような動作になるには、ドキュメント内のすべての ActiveX コントロールが SFI としてマークされている必要があります。

  • ActiveX コントロールが、安全でない初期化 (UFI) としてマークされていて、VBA プロジェクトが含まれないドキュメントに含まれている場合、ActiveX コントロールが無効になっていることがメッセージ バーで通知されます。ただし、ユーザーはメッセージ バーから ActiveX コントロールを有効にすることもできます。ユーザーが ActiveX コントロールを有効にすると、すべての ActiveX コントロール (UFI と SFI の両方) が、保持された値を使用してセーフ モードで読み込まれます。

  • UFI または SFI としてマークされている ActiveX コントロールが、VBA プロジェクトも含まれるドキュメントに含まれている場合、ActiveX コントロールが無効になっていることがメッセージ バーで通知されます。ただし、ユーザーはメッセージ バーから ActiveX コントロールを有効にすることもできます。ユーザーが ActiveX コントロールを有効にすると、すべての ActiveX コントロール (SFI と UFI の両方) が、保持された値を使用してセーフ モードで読み込まれます。

重要

ActiveX コントロールに対してレジストリで Kill Bit が設定されている場合、コントロールは読み込まれず、どのような状況でも読み込めません。メッセージ バーは表示されず、ActiveX コントロールの存在はユーザーに通知されません。Kill Bit についてさらに学習したい場合は、3 部構成の TechNet ブログ「The Kill-Bit FAQ」(英語) を参照してください。

ActiveX コントロールの既定の動作を変更するには、「Office 2013 で ActiveX コントロールのセキュリティ設定を計画する」を参照してください。

Office 2013 アドイン設定

アドインの設定を使用すると、アドインを無効にしたり、信頼できる発行元によるアドインへの署名を必須としたり、アドインに関する通知を無効にしたりできます。既定では、インストールされ登録されているアドインは、ユーザー操作を必要としたり警告を表示したりすることなく実行できます。この既定の動作を変更するには、「Office 2013 のアドインのセキュリティ設定を計画する」を参照してください。

Office 2013 でのアプリへのユーザー アクセスの制御

グループ ポリシーまたはセキュリティ センターを使用して、組織内のユーザーによる Office ストアまたは Office 用アプリ の社内用カタログからアプリへのアクセスを制限または拒否します。これらの Office 用アプリ は、Office クライアント アプリケーションを強化する Web 拡張機能であり、Office コンテンツを拡張し、新しいインタラクティブなコンテンツの種類と機能を提供します。

パスワードを紛失または忘れた場合の Office 2013 ドキュメントの回復

ドキュメントまたはスプレッドシートのパスワード保護など、セキュリティ上の予防措置は効果的ですが、所有者がパスワードを忘れた場合や退職した場合は例外です。IT 管理者は、これらの Office パスワードで保護されたドキュメントに証明書のメタデータが含まれるように、組織のクライアント コンピューターを設定することができます。後にパスワードを紛失または忘れた場合、DocRecrypt ツールを使用してドキュメントのパスワードを削除したり、変更したりできます。詳細については、Office 2013 のファイルのパスワードを削除あるいはリセットします。 の記事を参照してください。

Office 2013 のデジタル署名設定

OCT でデジタル署名の設定を使用して、XML Advanced Electronic Signature (XAdES) の署名レベルを構成することができます。既定では、Office 2013 によって XAdES-Explicit Policy Electronic Signature (EPES) の署名が作成されます。IT 管理者は、証明書の署名を発行者の名前で制限することもできます。IT 管理者は、有効なデジタル署名で使用できるハッシュ アルゴリズムと公開キーのサイズも構成することができます。これらの設定は OCT ツールで構成します。詳細については、Office 2013 のデジタル署名設定を計画する の記事を参照してください。

Office 2013 の外部コンテンツの設定

外部コンテンツの設定を使用すると、Office 2013 アプリケーションから外部コンテンツにアクセスする動作を変更できます。外部コンテンツとは、リモートでアクセスされるあらゆる種類のコンテンツであり、データ接続、ワークブックのリンク、Web サイトや Web ドキュメントへのハイパーリンク、画像やメディアへのリンクなどがあります。既定では、外部コンテンツへのリンクが含まれるファイルをユーザーが開くと、そのリンクが無効になっていることがメッセージ バーで通知されます。ユーザーは、メッセージ バーをクリックまたはタップしてリンクを有効にすることもできます。この既定の設定を変更しないことをお勧めします。Office のドキュメントでの外部コンテンツの制限または制限解除について詳しくは、「Office ドキュメントで外部コンテンツをブロックまたはブロック解除する」を参照してください。

Office 2013 でのファイル制限機能の設定

ファイル制限機能の設定を使用すると、特定の種類のファイルを開いたり保存したりすることを防止できます。この設定を使用して、特定の種類のファイルを、保護されたビューで開くまたは開かないようにすることもできます。既定では、Excel 2013、PowerPoint 2013、および Word 2013 では、一部の種類のファイルは強制的に、保護されたビューのみで開かれます。ユーザーは、このような種類のファイルを編集用に開くことはできません。詳細については、「Office 2013 のファイル制限機能の設定を計画する」を参照してください。

Office 2013 での Office ファイル検証機能設定

Office ファイル検証の設定を使用すると、Office ファイル検証機能を無効にしたり、Office ファイル検証で失敗したファイルの処理方法を変更したりできます。この設定を使用すると、検証情報を Microsoft に送信するかどうかを確認するダイアログ ボックスが、Office ファイル検証機能によって表示されないようにすることもできます。既定では、Office ファイル検証機能は有効になっています。検証で失敗したファイルは保護されたビューで開かれ、それ以降ユーザーはそのファイルを編集することができます。Office ファイル検証の設定の詳細については、「Office 2013 の Office ファイル検証機能設定を計画する」を参照してください。

Office 2013 のパスワードの複雑さの設定

パスワードの複雑さの設定を使用すると、[パスワードを使用して暗号化] 機能で使用されるパスワードに、パスワードの長さと複雑さを適用できます。パスワードの複雑さの設定によって適用されるパスワードの長さと複雑さは、組織においてパスワードの複雑さのルールがドメインベースのグループ ポリシーによって適用されている場合には、ドメイン レベルで適用できます。組織においてパスワードの複雑さのドメインベースのグループ ポリシーが実装されていない場合には、ローカル レベルで適用できます。既定では、ユーザーが Office 2013 アプリケーションの [パスワードを使用して暗号化] 機能を使用してファイルを暗号化するときに、パスワードの長さや複雑さは検査されません。詳細については、Office 2013 のパスワードの複雑さの設定を計画する の記事を参照してください。

Office 2013 のプライバシー オプション

プライバシー オプションを使用すると、ユーザーが Office 2013 を初めて起動したときに表示される [Microsoft Office 2013 へようこそ] ダイアログ ボックスが表示されないようにすることができます。このダイアログ ボックスを使用すると、ユーザーは、Office 2013 アプリケーションの保護および向上に役立つさまざまなインターネットベース サービスに登録できます。プライバシー オプションを使用して、[Microsoft Office 2013 へようこそ] ダイアログ ボックスに表示されるインターネットベース サービスを有効にすることもできます。既定では、ユーザーが Office 2013 を初めて起動したときに [Microsoft Office 2013 へようこそ] ダイアログ ボックスが表示され、ユーザーは、推奨インターネットベース サービスを有効にしたり、それらのサービスの一部を有効にしたり、構成を変更しないままにしたりできます。ユーザーが構成を変更しなかった場合は、以下の既定の設定が有効になります。

  • Office 2013 アプリケーションでは、問題の診断に役立つ小規模なプログラムのダウンロードは行われず、エラー メッセージ情報は Microsoft に送信されません。

  • ユーザーはカスタマー エクスペリエンス向上プログラムに登録されません。

この既定の動作を変更する場合、または[Microsoft Office 2013 へようこそ] ダイアログ ボックスが表示されないようにする場合は、「Office 2013 のプライバシー オプションの計画」を参照してください。

Office 2013 の保護ビューの設定

保護されたビューの設定を使用すると、保護されたビューでファイルを開かないようにしたり、常に、保護されたビューでファイルを開くようにしたりできます。また、セッション 0 で実行されるスクリプトおよびプログラムを、保護されたビューで開くように指定することもできます。既定では、保護されたビューは有効になっており、信頼されていないファイルはすべて、保護されたビューで開かれます。セッション 0 で実行されるスクリプトおよびプログラムは、保護されたビューでは開かれません。

また、Office 2013 がオペレーティング システムとして Windows 8 を使用している場合、保護されたビューの改良には、新しい「サンド ボックス」の技術も含まれています。これらの機能強化の一環として、Windows 8 で保護されたビューは RunAs または remoteApp シナリオで機能します。

保護されたビューの詳細については、「Office 2013 で保護されたビューの設定を計画する」を参照してください。

注意

ファイル制限機能の設定を使用して、特定の種類のファイルを、保護されたビューで開くまたは開かないようにすることもできます。

Office 2013 での信頼できるドキュメントの設定

信頼済みドキュメントの設定を使用すると、[信頼済みドキュメント] 機能を無効にして、ネットワーク共有に格納されているドキュメントをユーザーが信頼しないようにすることができます。信頼済みドキュメントを開くときは、ほとんどのセキュリティ チェックが省略され、すべてのアクティブ コンテンツが有効になります (ウイルス検査と ActiveX キルビット検査は省略できません)。既定では、[信頼済みドキュメント] 機能は有効になっており、ユーザーは安全なファイルを信頼済みドキュメントとして指定できます。また、ネットワーク共有にあるファイルをユーザーが信頼済みドキュメントとして指定することもできます。これらの既定の設定を変更しないことをお勧めします。

Office 2013 での信頼できる場所の設定

信頼できる場所の設定を使用すると、ファイルのための安全な場所を指定できます。信頼できる場所に格納されているファイルを開くときは、ほとんどのセキュリティ検査が省略され、そのファイル内のすべてのコンテンツが有効になります (ウイルス検査と ActiveX Kill Bit 検査は省略できません)。既定では、いくつかの場所が、信頼できる場所に指定されています。また、共有フォルダーなど、ネットワーク上の信頼できる場所は無効になっています。この既定の動作を変更したり、信頼できる場所として既定で指定されている場所を確認したりするには、「Office 2013 の信頼できる場所の設定の計画および構成」を参照してください。

Office 2013 での信頼できる発行元の設定

信頼できる発行元の設定を使用すると、ActiveX コントロール、アドイン、VBA マクロなど、特定の種類のアクティブ コンテンツを安全なものとして指定できます。アクティブ コンテンツが発行元によってデジタル証明書で署名されている場合、その発行元のデジタル証明書を、信頼できる発行元の一覧に追加すると、そのアクティブ コンテンツは信頼できるものと見なされます。既定では、信頼できる発行元の一覧にどの発行元も追加されていません。このセキュリティ機能を実装するには、信頼できる発行元の一覧に発行元を追加する必要があります。信頼できる発行元の機能を実装するには、「Office 2013 の信頼された発行元設定の計画と構成」を参照してください。

Office 2013 の VBA マクロ設定

VBA マクロの設定を使用すると、VBA マクロの動作を変更したり、VBA を無効にしたり、プログラムによって起動されたアプリケーションにおける VBA マクロの動作を変更したりできます。既定では、VBA は有効になっており、信頼できる VBA マクロは、ユーザーに通知することなく実行できます。信頼できる VBA マクロとは、信頼できる発行元によって署名された VBA マクロ、信頼済みドキュメント内にある VBA マクロ、信頼できる場所にあるドキュメント内の VBA マクロです。信頼できない VBA マクロは無効になりますが、ユーザーはメッセージ バーによる通知を使用して、信頼できない VBA マクロを有効にできます。また、プログラムによって起動されたアプリケーション内の VBA マクロは実行できます。

この既定の動作を変更するには、「Office 2013 の VBA マクロのセキュリティ設定の計画」を参照してください。

関連項目

Office 2013 のセキュリティのガイド
Office 2013 のセキュリティの概要
Office 2013 のファイル制限機能の設定を計画する
Office 2013 のプライバシー オプションの計画
Office 2013 の Office ファイル検証機能設定を計画する
Office 2013 で保護されたビューの設定を計画する
Office 2013 のアドインのセキュリティ設定を計画する
Office 2013 で ActiveX コントロールのセキュリティ設定を計画する
Office 2013 の VBA マクロのセキュリティ設定の計画
Office 2013 の信頼できる場所の設定の計画および構成
Office 2013 の信頼された発行元設定の計画と構成
Outlook 2013 のセキュリティと保護の設定の概要
Outlook 2013 で迷惑メールの設定を構成する