2007 Office system で Internet Explorer 機能の制御設定を計画する
更新日: 2009年2月
適用対象: Office Resource Kit
トピックの最終更新日: 2015-03-09
Internet Explorer の機能の制御設定によって、アプリケーションでプログラム的に Internet Explorer の機能を使用する場合に発生する可能性がある脅威を軽減できます。Internet Explorer に対する脅威は Internet Explorer をホストしているアプリケーションに対する脅威にもなるため、Internet Explorer に対する脅威を軽減することが重要です。
2007 Office system では、Internet Explorer の 15 の機能制御設定を構成できます。Internet Explorer 機能の制御設定の詳細については、「2007 Office system のセキュリティ ポリシーおよび設定」を参照してください。それぞれの設定で、Internet Explorer の特定の種類の動作または機能を制限します。特定の設定の動作または機能に対する制限を有効にするには、アプリケーションの "加入" (オプト イン) を行います。アプリケーションを特定の Internet Explorer 機能の制御設定に加入させると、アプリケーションが Internet Explorer をホストしているときは、常に、その設定で指定されている制限の多い動作が適用されます。逆に、アプリケーションを特定の設定から "脱退" (オプト アウト) させると、アプリケーションが Internet Explorer をホストしているときに、その設定で指定されている制限の多い動作は適用されません。
Internet Explorer 機能の制御設定を設計するには、次の作業を行う必要があります。
Internet Explorer をホストするアプリケーションを特定する。
実装する Internet Explorer 機能の制御設定を決定する。
以前のバージョンの Office system と競合する可能性があるかどうかを調べる。
Internet Explorer をホストするアプリケーションを特定する
アプリケーションは、ActiveX コントロール、アドイン、Visual Basic for Applications (VBA) マクロなどの任意の種類のアクティブ コンテンツで Internet Explorer の機能をプログラム的に使用するときに、Internet Explorer をホストします。この一般的な例には、ActiveX コントロールが含まれている Microsoft Office Word 2007 文書を開き、ActiveX コントロールでプログラム的に Internet Explorer を起動して HTML を表示する場合などが挙げられます。この場合は、Office Word 2007 が Internet Explorer をホストします。
既定では、Office Groove 2007、Office Outlook 2007、および Office SharePoint Designer 2007 が、Internet Explorer の 15 の機能制御設定のすべてに対して加入されます。Microsoft Office InfoPath 2007 では、これらの Internet Explorer 機能の制御設定に加え、ドキュメント情報パネル、ワークフロー フォーム、サードパーティ ホストの 3 つの Office InfoPath 2007 コンポーネントも加入されます。これらのアプリケーションは、Internet Explorer をホストしているため、または Internet Explorer をホストする可能性が高いため、加入されます。
以下のガイドラインを利用して、Internet Explorer をホストしているか、またはホストする可能性のある、その他のアプリケーションを特定できます。
信頼されていない ActiveX コントロール、アドイン、またはマクロを実行できるアプリケーションは、Internet Explorer をホストする可能性があります。
HTML の表示またはブラウザ機能の提供を行う ActiveX コントロール、アドイン、またはマクロを実行できるアプリケーションは、通常、Internet Explorer をホストします。
HTML の表示またはブラウザ機能の提供を行うように構成したアプリケーションは、通常、Internet Explorer をホストします。
ユーザーが、VBA プロジェクトにアクセスするアプリケーションまたは VBA マクロを作成できるアプリケーションは、Internet Explorer をホストする可能性があります。
外部のドキュメントやデータにアクセスできるアプリケーションは、Internet Explorer をホストする可能性があります。
Internet Explorer をホストしているアプリケーションまたは Internet Explorer をホストする可能性のあるアプリケーションはすべて加入することをお勧めします。セキュリティ計画のドキュメントに、該当するアプリケーションの名前および対応する実行可能ファイルの名前を記録してください。実行可能ファイルの名前は、Office カスタマイズ ツール (OCT) またはグループ ポリシーを使用して Internet Explorer 機能の制御設定を構成するときに指定する必要があります。
次の表は、2007 Office system の Internet Explorer 機能の制御設定に対して加入できるアプリケーションの実行可能ファイル名の一覧です。
| アプリケーション | 実行可能ファイル名 |
|---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007 (既定でオプトイン) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007 (既定でオプトイン) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007 |
Visio.exe |
Office SharePoint Designer 2007 (既定でオプトイン) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Microsoft Office PowerPoint Viewer |
Pptview.exe |
Microsoft Script Editor |
Mse7.exe |
実装する Internet Explorer 機能の制御設定を決定する
Internet Explorer の 15 の機能制御設定の一部またはすべてに対してアプリケーションの加入を行うと、広範囲の Internet Explorer の機能を制限できます。ほとんどの場合、アプリケーションが Internet Explorer をホストしているかホストする可能性があるときは、Internet Explorer の 15 の機能制御設定のすべてに対してアプリケーションを加入させる必要があります。15 の設定のすべてに対してアプリケーションを加入させると、アプリケーションが Internet Explorer をホストするときは、常に、最も制限の多い Internet Explorer セキュリティ モデルが実装されます。
Internet Explorer の 15 の機能制御設定のすべてに対してアプリケーションを加入させることをお勧めしますが、特定の設定に対しては脱退が必要になることがあります。設定の脱退が必要になる例を次に示します。
特定の設定を制限すると、アプリケーションが想定どおりの動作を実行できなくなる。たとえば、ユーザーが操作しなくてもアプリケーションが Internet Explorer を使用して自動的にファイルをダウンロードすることがわかっている場合、[ファイルのダウンロードを制限する] 設定からの脱退が必要になることがあります。
設定によって軽減される脅威では組織が危険にさらされる可能性がほとんどないかまったくないため、その設定による制限は必要ない。たとえば、ユーザーがインターネットなどの公開ネットワークにアクセスできない場合は、[ポップアップをブロックする] 設定に対する加入は不要になることがあります。
特定の設定によって制限すると、パフォーマンスが低下する。たとえば、[URL からの保存] 設定によってパフォーマンスが低下する可能性があります。パフォーマンスが大幅に低下する場合は、その設定からの脱退が必要になることがあります。
セキュリティ計画ドキュメントに、Internet Explorer の 15 の機能制御設定のすべてに対して加入させるアプリケーションを記録してください。また、脱退する必要のある Internet Explorer 機能の制御設定も記録してください。
[!メモ] 個々の Internet Explorer 機能の制御設定に対して加入または脱退できない特別な場合として、Office InfoPath 2007 があります。Office InfoPath 2007 コンポーネントは、Internet Explorer 機能の制御設定のグループ全体に対してのみ加入または脱退を構成できます。脱退するすべての Office InfoPath 2007 コンポーネントをセキュリティ計画ドキュメントに記録してください。既定の設定のままにして、すべての Office InfoPath 2007 コンポーネントを加入させることをお勧めします。Office InfoPath 2007 設定の詳細については、「Office system のセキュリティ ポリシーおよび設定」を参照してください。
以前のバージョンの Office との競合を調べる
Internet Explorer をホストしているかホストする可能性のあるすべてのアプリケーションを加入させることをお勧めしますが、加入させると以前のバージョンの Office system で予期しない動作が発生する場合があります。この予期しない動作が発生する原因は、Internet Explorer 機能の制御設定がレジストリに格納される方法にあり、2007 Office system と以前の Office リリースを並行インストールしている場合にのみ発生する可能性があります。
Internet Explorer 機能の制御設定に対してアプリケーションの加入または脱退を行うと、アプリケーションの実行可能ファイルの名前がレジストリに格納され、値が 1 (加入) または 0 (脱退) に設定されます。たとえば、Internet Explorer 機能の制御設定の [ActiveX のインストールを制限する] に対して Office Word 2007 を加入させると、Winword.exe という名前のレジストリ キー エントリが FEATURE_RESTRICT_ACTIVEXINSTALL レジストリ キーに追加され、Winword.exe エントリの値が 1 に設定されます。
Internet Explorer は、プログラムによって起動されると、プロセス、ダイナミック リンク ライブラリ (DLL)、または実行可能ファイルで Internet Explorer アプリケーションがホストされているかどうかを確認します。また、Internet Explorer はレジストリを調べ、それぞれの Internet Explorer 機能の制御設定に対して加入または脱退するプロセス、DLL、または実行可能ファイルを確認します。Internet Explorer がプロセス、DLL、または実行可能ファイルでホストされ、Internet Explorer 機能の制御設定に対してそのプロセス、DLL、または実行可能ファイルを加入させるようにレジストリが設定されている場合、制限の多い Internet Explorer 機能の制御設定が有効になります。たとえば、Winword.exe で Internet Explorer がホストされ、FEATURE_RESTRICT_ACTIVEXINSTALL レジストリ キーの下の Winword.exe エントリの値が 1 に設定されている場合、Internet Explorer 機能の制御設定の [ActiveX のインストールを制限する] で指定されている、制限の多い動作が Internet Explorer で使用されます。
ただし、Winword.exe は、Office Word 2007 および Microsoft Office Word 2003 の実行可能ファイルの名前です。そのため、Office Word 2007 と Office Word 2003 を並行インストールし、Internet Explorer 機能の制限設定に対して Office Word 2007 を加入させると、Internet Explorer は Office Word 2007 と Office Word 2003 のどちらに Internet Explorer 機能の制限設定を適用するか判断できません。この問題は、Office system の一連のバージョンが同じ名前の実行可能ファイルを使用するアプリケーションで発生します。次の表は、2007 Office system と以前のバージョンの Office system で同じ名前が使用されている実行可能ファイルの一覧です。
| 実行可能ファイル名 | アプリケーション |
|---|---|
Excel.exe |
Office Excel 2007、Office Excel 2003 |
Msaccess.exe |
Office Access 2007、Office Access 2003 |
Mspub.exe |
Office Publisher 2007、Publisher 2003 |
Outlook.exe |
Office Outlook 2007、Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007、Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007、Office Visio 2003 |
Winproj.exe |
Office Project 2007、Office Project 2003 |
Winword.exe |
Office Word 2007、Office Word 2003 |
並行インストールで問題が発生する可能性があるかどうかを調べるために、この表に示した以前のバージョンのアプリケーションを使用して、Internet Explorer 機能の制御設定をそれぞれテストすることをお勧めします。Internet Explorer 機能の制御設定は、2007 Office system でのみサポートされます。Internet Explorer 機能の制御設定は以前の Office リリースではサポートされないため、以前の Office リリースのアプリケーションで予期しない動作が発生する可能性があります。
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「2007 Office リソース キットのダウンロード可能なブック」を参照してください。