2007 Office system の信頼できる場所および信頼できる発行元の設定を計画する
更新日: 2009年12月
適用対象: Office Resource Kit
トピックの最終更新日: 2015-03-09
この記事の内容 :
信頼できる場所を計画する
信頼できる発行元を計画する
2007 Microsoft Office system の信頼できる場所機能を使用すると、ユーザーのコンピュータのハード ディスク上またはネットワーク共有上のフォルダを信頼できるファイル ソースとして指定できます。フォルダを信頼できるファイル ソースとして指定すると、そのフォルダに保存するファイルはすべて信頼できるファイルと見なされます。信頼できるファイルを開くと、そのファイル内のすべてのコンテンツが有効でアクティブな状態になり、署名されていないマクロ、ActiveX コントロール、インターネット上のコンテンツへのリンクなど、危険を伴うコンテンツがファイルに含まれている可能性があることはユーザーに通知されません。
信頼できる場所に加え、信頼できる発行元の一覧を使用して、信頼している発行元のコンテンツを指定できます。発行元は、ActiveX コントロール、アドイン、またはマクロを作成および配布した、開発者、ソフトウェア開発会社、あるいは組織です。信頼できる発行元とは、信頼できる発行元の一覧に登録されている発行元であることを表します。ファイルを開いたときに、そのファイルに信頼された発行元が作成したコンテンツが含まれている場合、すべてのコンテンツが有効でアクティブな状態になり、危険を伴うコンテンツがファイルに含まれている可能性があることはユーザーに通知されません。
信頼された場所と信頼された発行元を設定するには、以下に説明するベスト プラクティスおよび推奨されるガイドラインに従ってください。
信頼できる場所を計画する
2007 Office system には、信頼できる場所の動作を制御できるいくつかの設定が用意されています。これらの設定を構成すると、以下の操作を行うことができます。
すべての信頼できる場所を無効にする。
信頼できる場所をグローバル単位またはアプリケーション単位で指定する。
信頼できる場所をリモート共有上に配置できるようにする。
ユーザーが信頼できる場所を作成できないようにする。
信頼できる場所の各設定の詳細については、「2007 Office system のセキュリティ ポリシーおよび設定」を参照してください。
さまざまな状況に合わせて信頼できる場所を構成できますが、信頼できる場所に関する最も一般的な方法は次のとおりです。
信頼できる場所の機能を無効にして、ユーザーが信頼できる場所を作成できないようにしたり、アプリケーションが信頼できる場所を認識できないようにする。
カスタムの信頼できる場所を設定する信頼できる場所機能を実装する。
信頼できる場所を無効にする
信頼できる場所を無効にするには、信頼できる場所の設定を、次の表に示す推奨される状態に構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[すべての信頼できる場所を無効にする] |
選択するオプション : 無効 |
既定では、信頼できる場所は有効になっています。このオプションを選択すると、以下の既存の信頼できる場所を含めて、すべての信頼できる場所が有効になります。
このオプションを有効にすると、ユーザーはセキュリティ センターの信頼できる場所の設定を構成できなくなります。これはグローバル設定ではありません。Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、Microsoft Office Visio 2007、および Microsoft Office Word 2007 の各アプリケーションについて個別にこのオプションを選択する必要があります。 |
信頼できる場所を無効にする場合は、以下の作業を実行してください。
信頼できる場所機能を使用できないことをユーザーに通知します。ユーザーが信頼できる場所からファイルを開いているときに信頼できる場所を無効にすると、ユーザーのメッセージ バーに警告が表示され、ユーザーはその警告に応答して ActiveX コントロールまたは Visual Basic for Applications (VBA) マクロなどのアクティブ コンテンツを有効にする操作が必要になることがあります。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに設定を記録します。
信頼できる場所を実装する
信頼できる場所を実装するには、次の項目を決定する必要があります。
信頼できる場所の構成対象となるアプリケーション。
信頼できる場所として使用するフォルダ。
信頼できる場所に適用するフォルダの共有とフォルダのセキュリティの設定。
信頼できる場所に適用する制限。
信頼できる場所の構成対象となるアプリケーションを決定する
Office Access 2007、Office Excel 2007、Office PowerPoint 2007、Office Visio 2007、および Office Word 2007 に対して信頼できる場所を構成できます。信頼できる場所の構成対象となるアプリケーションを決定するときに、以下の点を考慮してください。
信頼できる場所は、ActiveX コントロール、ハイパーリンク、データ ソースおよびメディアへのリンク、VBA マクロなど、ファイル内のすべてのアクティブ コンテンツに対して有効になります。
各アプリケーションに、信頼できる場所の構成に関する同じ設定が用意されています。これは、それぞれのアプリケーションで、信頼できる場所を個別にカスタマイズできることを示します。
1 つ以上のアプリケーションの信頼できる場所を無効にして、その他のアプリケーションには信頼できる場所を実装できます。
信頼できる場所として使用するフォルダを決定する
信頼できる場所の既定のフォルダが組織に適していない場合、独自のフォルダを作成し、信頼できる場所として指定できます。既定の信頼できる場所の詳細については、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」を参照してください。
信頼できる場所として指定するフォルダを決定するときに、以下の点を考慮してください。
信頼できる場所は、アプリケーション単位またはグローバル単位で指定できます。
1 つ以上のアプリケーションで、信頼できる場所を共有できます。
悪意のあるユーザーが、信頼できる場所にファイルを追加したり信頼できる場所に保存されているファイルを変更するのを防止するために、信頼できる場所として指定するすべてのフォルダをセキュリティ保護する必要があります。
ネットワーク共有を信頼できる場所として指定することはお勧めしません。既定では、ユーザーのハード ディスクに対してのみ信頼できる場所を指定できます。ネットワーク共有上で信頼できる場所を有効にするには、[コンピュータ上にない信頼できる場所を許可する] の設定を有効にする必要があります。
[ドキュメント] フォルダ全体または [マイ ドキュメント] フォルダ全体を信頼できる場所として指定することはお勧めしません。代わりに、これらのフォルダ内にサブフォルダを作成し、そのサブフォルダのみを信頼できる場所と指定します。
また、必要に応じ、以下に示すガイドラインに従ってください。
環境変数を使用して信頼できる場所を指定する。
Web フォルダ (つまり、http:// のパス) を信頼できる場所として指定する。
環境変数を使用して信頼できる場所を指定する
環境変数を使用して信頼できる場所を指定できますが、環境変数が正しく機能するように、信頼できる場所の格納に使用するレジストリの値の種類を変更する必要があります。環境変数を使用して信頼できる場所を指定しても、レジストリに対して必要な変更を加えないと、セキュリティ センターに信頼できる場所は表示されますが、環境変数が含まれた相対パスとして表示されるため使用できません。レジストリの値の種類を変更すると、信頼できる場所がセキュリティ センターに絶対パスとして表示され、使用できるようになります。
.gif "Important") 重要 |
|---|
| グループ ポリシーを使用して信頼できる場所を指定する場合は、環境変数を使用できません。Office カスタマイズ ツール (OCT) を使用する場合にのみ、環境変数を使用して信頼できる場所を指定できます。 |
環境変数を使用して信頼できる場所を指定するには、以下の操作を行います。
レジストリ エディタを使用して、環境変数で表されている信頼できる場所を見つけます。
OCT を使用して構成された信頼できる場所は、次の場所に格納されます。
HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/アプリケーション名/Security/Trusted Locations
アプリケーション名は、Access、Excel、PowerPoint、Visio、Word のいずれかです。
信頼できる場所は Path という名前のレジストリ エントリに格納され、値の種類は文字列値 (REG_SZ) に設定されます。環境変数を使用して信頼できる場所を指定している各 Path エントリを見つけてください。
Path の値の種類を変更します。
2007 Office system のアプリケーションは、値の種類が文字列値 (REG_SZ) として格納されている環境変数を認識できません。アプリケーションが環境変数を認識するには、Path エントリの値の種類を展開可能な文字列値 (REG_EXPAND_SZ) に変更する必要があります。種類を変更するには、以下の手順を実行します。
[!メモ] レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピューター上の重要なデータのバックアップを作成する必要があります。
Path エントリの値をメモするかコピーします。このパスは、1 つ以上の環境変数が含まれた相対パスである必要があります。
Path エントリを削除します。
種類が展開可能な文字列値 (REG_EXPAND_SZ) の新しいPathエントリを作成します。
最初の手順でメモするかコピーしたものと同じ値になるように、新しい Path エントリを変更します。
環境変数を使用して信頼できる場所を指定している各 Path エントリに対してこの変更を実行してください。
Web フォルダを信頼できる場所として指定する
Web フォルダ (つまり、http:// パス) を信頼できる場所として指定できますが、WebDAV (Web Distributed Authoring and Versioning) プロトコルまたは FPRPC (FrontPage Server Extensions Remote Procedure Call) プロトコルをサポートしている Web フォルダのみが信頼できる場所として認識されます。Web フォルダが WebDAV プロトコルまたは FPRPC プロトコルをサポートしているかどうかが不明の場合は、以下のガイドラインに従ってください。
アプリケーションが Internet Explorer で開かれる場合、最近使用したファイルの一覧を確認します。最近使用したファイルの一覧に、インターネット一時ファイルのフォルダではなくリモート サーバー上にあるファイルが表示される場合、Web フォルダはいずれかの形式の WebDAV をサポートしている可能性があります。たとえば、Internet Explorer で参照しているときにドキュメントをクリックすると、Office Word 2007 の文書が開く場合、その文書がローカルのインターネット一時ファイルのフォルダではなくリモート サーバー上にあることが、最近使用したファイルの一覧に表示されます。
[ファイルを開く] ダイアログ ボックスを使用して Web フォルダを参照してみます。パスが WebDAV をサポートしている場合、Web フォルダを参照できるか、資格情報の確認画面が表示されます。Web フォルダが WebDAV をサポートしていない場合は、そのフォルダの参照に失敗してダイアログ ボックスが閉じます。
[!メモ] Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007 を使用して作成したサイトは、信頼できる場所として指定できます。
フォルダの共有とフォルダのセキュリティの設定を決定する
信頼できる場所として指定するすべてのフォルダを共有してセキュリティ保護する必要があります。以下のガイドラインに従って、それぞれの信頼できる場所に適用する必要のある共有の設定とセキュリティの設定を決定します。
信頼できる場所に保存したファイルにユーザーがアクセスできるようにするには、信頼できる場所として指定する各フォルダを共有します。
権限のあるユーザーだけが共有フォルダにアクセスできるようにするには、共有アクセス権を構成します。最小限の権限の原則を使用して、ユーザーに適したアクセス権を与えるようにします。つまり、信頼できるファイルを変更する必要ないユーザーには読み取り権限を与え、信頼できるファイルを変更する必要のあるユーザーにはフル コントロール権限を与えます。
権限のあるユーザーだけが信頼できる場所にあるファイルを読み取りまたは変更できるようにするには、フォルダのセキュリティのアクセス権を適用します。最小限の権限の原則を使用して、ユーザーに適したアクセス権を与えるようにします。つまり、ファイルを変更する必要のあるユーザーにのみフル コントロール権限を与え、ファイルの読み取りのみが必要なユーザーにはより制限の多いアクセス権を与えます。
信頼できる場所に対する制限を決定する
信頼できる場所の動作を制限または制御するために使用できるいくつかの設定があります。次の表に示す推奨事項に従って、これらの設定の構成方法を決定してください。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[ポリシーによって設定された場所とユーザー指定の場所を併用できるようにする] |
選択するオプション : 無効 |
既定では、ユーザー、OCT、およびグループ ポリシーで作成する信頼できる場所を組み合わせてコンピュータに配置できます。このオプションを選択すると、グループ ポリシー以外で作成されるすべての信頼できる場所が無効になり、ユーザーはセキュリティ センターのグラフィカル ユーザー インターフェイスを使用して新しい信頼できる場所を作成できなくなります。このオプションは、信頼できる場所を構成するすべてのアプリケーションに適用されるグローバル設定です。 |
[コンピュータ上にない信頼できる場所を許可する] |
選択するオプション : 無効 |
既定では、信頼できる場所がネットワーク共有である場合は無効になりますが、ユーザーはセキュリティ センターのグラフィカル ユーザー インターフェイスで [プライベート ネットワーク上にある信頼できる場所を許可する] チェック ボックスをオンにすることができます。このオプションを選択すると、ネットワーク共有にある信頼できる場所が無効になり、ユーザーはセキュリティ センターのグラフィカル ユーザー インターフェイスの [プライベート ネットワーク上にある信頼できる場所を許可する] チェック ボックスをオンにできなくなります。[無効] を指定したときに、ユーザーがネットワーク共有を信頼できる場所として指定しようとすると、現在のセキュリティ設定ではリモート パスまたはネットワーク パスを使用した信頼できる場所の作成は許可されていないことを示す警告が、ユーザーに表示されます。管理者がグループ ポリシーを介して、または OCT を使用してネットワーク共有を信頼できる場所として指定し、この設定を [無効] にすると、信頼できる場所が無効になり、アプリケーションで認識できなくなります。これはグローバル設定ではありません。Office Access 2007、Office Excel 2007、Office PowerPoint 2007、Office Visio 2007、および Office Word 2007 の各アプリケーションについて個別にこのオプションを構成する必要があります。 |
[!メモ] [Office カスタマイズ ツールによって書き込まれた信頼できる場所を、インストール中にすべて削除する] の設定を使用して、OCT で構成して作成したすべての信頼できる場所を削除することもできます。この設定の詳細については、「2007 Office system のセキュリティ ポリシーおよび設定」を参照してください。
信頼できる発行元を計画する
2007 Office system では、Internet Explorer の信頼された発行元ストアに信頼できる発行元の証明書が格納されます。以前のバージョンの Office では、信頼できる発行元の証明書の情報 (特に、証明書の拇印) は、Office 専用の信頼された発行元ストアに格納されました。2007 Office system では、引き続き Office の信頼された発行元ストアから信頼できる発行元の証明書の情報が読み取られますが、そのストアに証明書の情報は書き込まれません。そのため、以前のバージョンの Office で信頼できる発行元の一覧を作成し、2007 Office system にアップグレードした場合、その信頼できる発行元の一覧は認識されます。ただし、一覧に追加する信頼できる発行元の証明書はすべて、Internet Explorer の信頼された発行元ストアに格納されます。この動作は、信頼できる発行元の一覧を使用する以下のすべてのアプリケーションで同じです。
Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2007
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007
Office Visio 2007
Office Word 2007
Office 2007 管理用テンプレートを使用しても信頼できる発行元の一覧に証明書を追加できませんが、OCT を使用すると追加できます。追加するには、信頼できる発行元から発行されたデジタル証明書 (.cer ファイル) が必要です。証明書を発行元から直接取得できない場合は、発行元が署名したダイナミック リンク ライブラリ (.dll) ファイルまたは実行可能 (.exe) ファイルなどのファイルから証明書をエクスポートできます。以下の手順は、証明書をエクスポートする方法を示しています。
.dll ファイルから証明書をエクスポートする
発行元が署名した .dll ファイルを右クリックし、[プロパティ] をクリックします。
[デジタル署名] タブをクリックします。
[署名の一覧] で、証明書をクリックし、[詳細] をクリックします。
[デジタル署名の詳細] ダイアログ ボックスで、[証明書の表示] をクリックします。
[詳細] タブをクリックし、[ファイルへコピー] をクリックします。
証明書のエクスポート ウィザードのウェルカム ページで、[次へ] をクリックします。
[エクスポート ファイルの形式] ページで、[DER encoded binary X.509 (.CER)] をクリックし、[次へ] をクリックします。
[エクスポートするファイル] ページで, .cer ファイルのパスと名前を入力し、[次へ] をクリックして、[完了] をクリックします。
この手順を使用して必要な証明書を判断してから、Microsoft Office Word 2007 内で証明書を作成することもできます。
必要な証明書を判断する
組織の標準構成 (ユーザーが必要とするすべてのアドインを含む) が実行されているテスト用コンピュータまたはクライアント コンピュータ上で、[アプリケーション アドインに対し、信頼できる発行元の署名を必須にする] オプションを有効にします。
- [Microsoft Office ボタン] をクリックし [Word のオプション] をクリックします。次に、[セキュリティ センター] をクリックし、[セキュリティ センターの設定] をクリックします。さらに、[アドイン] をクリックし、[アプリケーション アドインに対し、信頼できる発行元の署名を必須にする] をオンにしてから [OK] をクリックします。
Word を終了し再起動します。アドインがインストールされている場合、[セキュリティの警告] バーに [アプリケーション アドインが無効にされました。] とメッセージが表示されます。
スマートタグを一時的に無効にします。
[Microsoft Office ボタン] をクリックし、[Word のオプション] をクリックしてから [OK] をクリックします。[セキュリティの警告] バーに [一部のアクティブ コンテンツが無効にされました。] とメッセージが表示されます。
[!メモ] Word を終了して再起動すると、スマートタグは再び有効になります。
[セキュリティの警告] バーで、[オプション] をクリックします。
[セキュリティの警告 - 複数の問題] ウィンドウで、有効なデジタル証明書が表示される各アドインに対して次の手順を行うことで、各証明書を信頼できる発行元の一覧にインストールします。
[!メモ] 前の手順でスマートタグを無効にしていない場合、別のウィンドウが表示され、証明書をインストールできません。
[署名の詳細を表示] をクリックします。
[デジタル署名の詳細] ウィンドウで、[証明書の表示] をクリックします。
[証明書] ウィンドウで、[証明書のインストール] をクリックします。
証明書のインポート ウィザードで、[次へ] をクリックし、[証明書をすべて次のストアに配置する] をクリックします。次に、[参照] をクリックし、[信頼された発行元] をクリックしてから [OK] をクリックします。さらに [次へ] をクリックし、[完了] をクリックします。
証明書ファイルを配布する準備を行います。
[信頼できる発行元] ボックスの一覧 ([Microsoft Office ボタン]、[Word のオプション]、[セキュリティ センター]、[セキュリティ センターの設定]、[信頼できる発行元] の順にクリック) で、インストールした証明書を確認します。
各証明書について、証明書をダブルクリックしてから次の手順を実行します。
[証明書] ウィンドウの [詳細] タブで、[ファイルにコピー] をクリックします。
証明書のエクスポート ウィザードで、[次へ] をクリックし、さらに [次へ] をクリックして既定のファイル形式を受け入れ、ファイル名を入力してファイルの保存場所を選択してから、[完了] をクリックします。
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「2007 Office リソース キットのダウンロード可能なコンテンツ」を参照してください。