Office 2013 のセキュリティの概要

  • [アーティクル]

 

適用先: Office 2013, Office 365 ProPlus

トピックの最終更新日: 2016-12-16

概要: Office 2013 の新しいセキュリティ機能 (認証、ID、Web アプリ カタログと Web 拡張、エスクロー キーなど) について説明します。

対象ユーザー: IT 担当者

Office 2013には、新しい認証機能が導入されています。ユーザーは、プロファイルを作成し、1 回サインインするだけで、再び認証を受ける必要なくローカルおよびクラウドの Office ファイルにシームレスにアクセスして作業を実行できます。複数のサービス (組織の OneDrive for Business またはユーザー個人の OneDrive のアカウントなど) を自分の Office プロファイルに接続することにより、すべてのファイルと関連ストレージにすばやくアクセスできます。ユーザーは、OneDrive を含むすべての Office アプリに対して 1 回だけ認証を行います。これは ID プロバイダー (プロフェッショナルおよび小規模企業向け Office 365 へのアクセスに Microsoft アカウントまたはユーザー ID を使用するかどうか) や、アプリで使用する認証プロトコル (OAuth、フォーム ベース、要求ベース、Windows 統合認証など) に関係なく同じです。ユーザーの観点からは 1 回の操作ですべてを実行でき、IT 担当者の観点からは接続されたサービスを簡単に管理できます。

Office セキュリティに導くロードマップの矢印。

この記事は、Office 2013 のセキュリティのガイドに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。

個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。

Office 2013 での認証と ID

保護は認証と ID から始まります。このリリースでは、Office はコンピューター中心の ID および認証から、ユーザー中心の ID および認証へと基本的に変わりました。この転換によって、ユーザーがデスクトップからタブレット、スマートフォン、または共有/公共のコンピューターに移動した際にコンテンツ、リソース、最近使用した一覧、設定、コミュニティへのリンク、および個人用設定をシームレスにローミングすることが可能になります。IT 管理者にとっても、ユーザーの監査証跡とコンプライアンスを ID で区別できます。

この新しい環境で、Office 365 にサインインするには、以下のいずれかの ID を使用します。

  • **Microsoft が管理する、職場または学校のアカウント ID:**Office 365 のビジネス ユーザー向けです。Microsoft によってホストされたエンタープライズおよび小規模企業用のユーザー ID がクラウドに格納されます。このシナリオでは、リンクされた複数のユーザー ID とシングル サインオンもサポートされます。

    または

    **組織が所有するフェデレーション ユーザー ID:**Office 365 のビジネス ユーザー向けです。エンタープライズ ユーザーの ID が社内に格納されます。

  • ユーザーの Microsoft アカウント: 通常、ユーザーはビジネス以外の目的でこの ID を使用して Office 365 にサインインします。ユーザーはリンクされた複数の Windows Live ID を持つことができ、1 回サインインして認証を受けた後は、再び認証を受ける必要なく同じセッション内で別の Microsoft アカウントに切り替えることができます。

IT 管理者は、ユーザーが Office 365 の多要素認証を使用するように設定することもできます。多要素認証を使用すると、パスワードのみを使用する場合よりもユーザーのセキュリティが向上します。Office 365 の多要素認証では、パスワードを正しく入力した後に、電話での通話や、テキスト メッセージ送信、アプリの通知によって認証を行う必要があります。この第 2 の認証要素が満たされた場合のみサービスにサインインできます。設定の手順については、「Office 365 の多要素認証」を参照してください。

IT 管理者の観点から見ると、Active Directory がこの新しいパラダイムの中核となっています。IT 管理者は次のことを実行できます。

  • 複数のデバイスおよびサービス全体でユーザーのパスワード ポリシーを制御する

  • グループ ポリシーを使用してオペレーティング環境を構成する

  • Forefront Identity Manager (FIM) または Active Directory フェデレーション サービス (AD FS) による管理を行う

クラウドを使用すると、以下のすべてが可能になります。

  • Web ポータルを使用してユーザー アカウントをクラウドで管理する: セットアップは簡単です。より詳細な管理を行う場合は、手動でユーザーのプロビジョニングを実行できます。サーバーは必要ありません。すべてが Microsoft によって管理されます。

  • 任意の社内ディレクトリを Web ポータルに同期された Active Directory にする: プロビジョニングを自動化でき、クラウドで管理されるアカウントとの共存が可能です。

  • AD FS を使用してシングル サインオン機能をユーザーに提供する: プロビジョニングを自動化でき、多要素認証がサポートされます。

次の図に示すように、IT 担当の管理者として、ID と認証を管理できます。小規模企業の場合は、Microsoft Azure の ID サービスを使ってユーザーを設定、管理、認証できます。Microsoft クラウドの Web ポータルと Azure Active Directory を使って、ユーザー アカウントをクラウドで管理します。サーバーは必要ではありません。このすべてが Microsoft によって管理されます。ID と認証が社内の Active Directory ストアと連携せずに完全にクラウド内で処理される場合でも、IT 管理者はポータルや PowerShell コマンドレットを使って ID とサービスへのユーザー アクセスをプロビジョニングまたはプロビジョニング解除できます。

ステップ 1 で、IT 担当者は Microsoft クラウドの Web アクセス Office 365 管理センターに接続し、組織の ID の新規作成または既存 ID の管理を要求します。

ステップ 2 で、これらの要求が Azure AD に渡されます。

ステップ 3 では、変更を要求した場合は、変更が行われて Office 365 管理センターにその変更が反映されます。新規 ID を要求した場合は、ID プロビジョニング プラットフォームに新しい ID の要求が発行されます。

ステップ 4 で、Office 365 管理センターに新しい ID と既存 ID の変更が反映されます。

ローカルの Active Directory とやり取りせずにクラウド内で完全に管理される Office 365 の ID と認証

クラウドで管理される ID と認証

次の図では、Microsoft クラウドの Office 365 管理センターでユーザーの設定が完了すると、ユーザーは任意のデバイスでサインインできます。Office 365 ProPlus を、最大で 5 個のユーザー デバイスにインストールできます。

ステップ 1 のユーザーのプロビジョニングが完了すると (前の図を参照してください)、ユーザーは以下のいずれかの ID を使って Office にサインインします。

  • 職場または学校のアカウント (例: mike@contoso.onmicrosoft.com、mike@contoso.com など)

  • 個人の Microsoft アカウント (例: mike@outlook.com など)

ステップ 2 では、ユーザーが選択した ID に応じて、ユーザーがどこで認証したいか、どのファイルや Office の設定を使用したいかを Microsoft が判断します。この ID は Azure AD に関連付けられ、ユーザーの電子メール ID とそのパスワードが適切な Azure AD サーバーに渡されて認証が行われます。

ステップ 3 では、ユーザーの要求がテストされた後、許可されると、Office アプリケーションがユーザーのデバイスにストリーミングされ、いつでも使用できる状態になります。この ID に関連付けられた、OneDrive for Business に保存されたドキュメントは、デバイスでローカルに参照および編集して保存するか、OneDrive for Business に再び送ることもできます。

Azure のディレクトリ同期を使用して実装された ID プロビジョニング。認証はクラウドで管理されます。

クラウドにサインインする際のユーザー エクスペリエンス。

次の図は、社内設置型とクラウドのハイブリッド展開のシナリオです。Microsoft クラウドの Azure AD 同期ツールによって、社内とクラウド内の組織のユーザー ID の同期が維持されます。

ステップ 1 で、Azure AD 同期ツールをインストールします。このツールを使用すると、社内ディレクトリに対する変更に合わせて、Azure AD を常に最新の状態に維持できます。

ステップ 2 と 3 では、社内 Active Directory に新しいユーザーを作成します。Azure AD 同期ツールは、社内 Active Directory サーバーに新しい ID が作成されているかどうかを定期的にチェックします。新しい ID を見つけると、それらを Azure AD にプロビジョニングし、社内の ID とクラウドの ID を相互にリンクし、それを Office 365 管理センターを通じてユーザーが確認できるようにします。

ステップ 4 と 5 では、社内 Active Directory の ID が変更されると、それらの変更が Azure AD に同期されます。ユーザーは Office 365 管理センターで変更内容を確認できます。

ステップ 6 と 7 では、組織にフェデレーション ユーザーが含まれる場合、それらのユーザーは AD FS でログインします。AD FS によってセキュリティ トークンが生成され、Azure AD に渡されます。トークンが検証され、有効であることが確認されると、Office 365 に対してユーザーを許可します。

Azure ディレクトリ同期サービスを使用して実装された ID プロビジョニング。認証は Active Directory Federation Server 2.0 とクラウドで管理されます。

AD FS 2.0 による ID プロビジョニング

ユーザー エクスペリエンスでは、ユーザーがサインインする際に ID が提示されます。

クライアントのユーザー インターフェイス: ユーザーは、各セッションの開始時に、Office 365 などのサービスや各自のドキュメント、画像、その他のデータを利用するために自分の Microsoft アカウントで個人用クラウドに接続するか、社内の企業サーバーか、Microsoft によって管理されたクラウドに接続するかを選択できます。

自分の Microsoft ID を使用して接続する場合、ユーザーは自分の Microsoft アカウント (以前はパスポートまたは Windows Live ID と呼ばれていました) でサインインするか、Office 365 へのアクセスに使用するユーザー ID で接続するかを選択できます。

サインイン後も、ユーザーは任意の Office アプリの Backstage からいつでも ID を切り替えることができます。

クライアントのインフラストラクチャ: 背後では、クライアント認証 API がユーザーのサインイン/アウトとアクティブなユーザー ID の切り替えを行っています。さらに他の API が、ローミング設定 (基本設定および最近使ったドキュメント) と各 ID が利用できるサービスを管理しています。

その他のクラウド ID サービス: 次のネイティブ サービスへのサインインが自動的に行われます。

  • OneDrive (Microsoft アカウントによるサインオンの場合) または SharePoint Online (企業 ID の場合)

  • 最近使ったファイルと設定のローミング

  • 個人用設定

  • Microsoft アカウント アクティビティ

ユーザーは、Microsoft アカウントでサインインした後にサード パーティのクラウド サービスにログインすることもできます。たとえば Facebook にサインインした場合、その ID で接続がローミングされます。

グループ ポリシー設定の使用によるデスクトップ構成の制御

4,000 を超えるグループ ポリシー制御オブジェクトが用意されており、グループ ポリシーを使用して Office のユーザー設定を強制的に適用できます。つまり、管理が緩やかなデスクトップ構成から厳しく制限されたデスクトップ構成まで、幅広い構成をユーザー用に作成できます。グループ ポリシー設定は常に Office カスタマイズ ツール (OCT) 設定よりも優先されます。グループ ポリシー設定は、安全でないファイル形式をネットワーク上で無効にするためにも使用できます。詳細については、「OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成」を参照してください。

Microsoft データ センターについて

Microsoft データ センターのセキュリティ プログラムはリスク ベースの多次元アプローチを採用し、ユーザー、プロセス、およびテクノロジを考慮します。このプライバシー プログラムにより、データ処理とデータ転送に関して、一貫したグローバル標準の "レベルの高い" プライバシー慣行に従うことができます。Microsoft データ センターは物理的にも安全です。700,000 平方フィートを超える施設と数万台のサーバーはすべて年中無休で監視され、停電が発生した場合は何日にもわたって補助電源を使用できます。これらのデータ センターは地理的に冗長化され、北米、ヨーロッパ、およびアジアに置かれています。

Office 365 では、分析、データ マイニング、宣伝、サービス向上を目的としてユーザーの電子メール メッセージやドキュメントをスキャンすることはありません。ユーザーのデータは常にユーザー自身またはその会社に完全に属し、ユーザーは自分のデータをいつでもデータ センターのサーバーから削除できます。

Office 365 は、ビジネスに不可欠な、次の重要な業界標準に準拠しています。

  • **ISO 27001 認定取得:**Office 365 は、ISO/TEC 27001:2005 で定義された一連の厳格な物理的管理、論理的管理、プロセス管理、および経営管理の基準を満たすかそれを上回っています。

  • **EU モデル条項:**Office 365 は EU モデル条項および EU Safe Harbor フレームワークに関連する標準契約条項に準拠しており、これらの条項に署名できます。

  • **HIPAA (ビジネス アソシエイト契約):**Office 365 は、すべてのお客様に対して HIPAA の要件を順守できます。HIPAA は、保護された健康情報の使用、開示、および保護について定めています。

カタログと Web 拡張

Office 2013 には、Web 開発者による Office 用アプリ (Web の機能を利用して Office クライアントを拡張する Web 拡張) の作成を可能にする、Office クライアント向けの新しい機能拡張モデルが含まれています。Office 用アプリはドキュメントとやり取りしてコンテンツを強化できる Office アプリケーション内の Web ページを含んだ領域で、新しいコンテンツ タイプと機能を提供します。Office 用アプリは、新しい Office ストア、スタンドアロン アプリまたはドキュメント テンプレート ソリューションという形式のプライベート カタログ、または SharePoint アプリケーションから入手できます。

セキュリティ センターの [信頼できるアプリ カタログ] で、次のような Office 用アプリ の制御ができます。

  • すべてのアプリケーションを無効化

  • Office ストアからのみアプリケーションを無効化

  • 信頼できるカタログを信頼できるカタログ表に追加、または信頼できるカタログ表から削除

エスクロー キーおよび新しい DocRecrypt ツールを使用したドキュメントのパスワードのリセット

Office 2013 には、新しいエスクロー キー機能が導入されています。この機能により、組織の IT 管理者はパスワードで保護されたドキュメントをプライベート エスクロー キーを使用して暗号化解除できます。たとえば、ドキュメントが Word、Excel、または PowerPoint を使用して暗号化されており、ドキュメントの元の所有者がパスワードを忘れたり組織を離れたりした場合に、IT 管理者がプライベート エスクロー キーを使用してデータを取得できます。

エスクロー キー機能は、次世代の暗号化処理を使用して保存および暗号化されたファイルでのみ利用できます。これは Office 2010 および Office 2013 で使用される既定の暗号化です。互換性の理由により従来の形式を使用するように動作が変更されている場合は、エスクロー キー機能を利用できません。この新機能の詳細については、「Office 2013 のファイルのパスワードを削除あるいはリセットします。」を参照してください。

デジタル署名

Office 2013 では、デジタル署名が次のように改善されています。

  • Open Document 形式 (ODF v1.2) ファイル形式のサポート

  • XAdES (XML Advanced Electronic Signatures) の機能強化

ODF v1.2 ファイル形式のサポートにより、非表示のデジタル署名を使用して Office 2013の ODF ドキュメントにデジタル署名できるようになりました。この方法でデジタル署名されるドキュメントでは、署名行またはスタンプはサポートされません。また、Office 2013では、他のアプリケーション内で署名されて Office 2013で開かれた ODF ドキュメントのデジタル署名の検証機能も提供されています。

Office 2013 での XAdES の機能強化には、XAdES デジタル署名作成時のユーザー エクスペリエンスの向上が含まれます。ユーザーは署名に関してさらに詳細な情報を得ることができます。

Information Rights Management (IRM)

Office 2013には、ID の選択を容易にする新しい UI を備えた新しい IRM クライアントが付属しています。Rights Management サービス (RMS) サーバーの自動検出サービスもサポートされています。また Office 2013では、Microsoft Office Web Application Companions (WAC) の読み取り専用の IRM サポートも提供されます。WAC を使用すると、SharePoint ライブラリの IRM で保護されたドキュメントや Outlook Web Access (OWA) のメッセージに添付されている IRM で保護されたドキュメントを表示できます。

保護ビュー

Office 2013 を Windows 2012 オペレーティング システムで使用する場合、機能強化され保護されたビュー ("サンドボックス" テクノロジ) を Office 2013 で利用できます。Office 2013 は Windows 2012 の AppContainer 機能を使用します。この機能は、より強力なプロセス分離を実現し、サンドボックスからのネットワーク アクセスもブロックします。保護されたビューは Office 2010 で導入され、ローボックスと呼ばれる制限された環境でファイルを開くことによってファイルの悪用を防ぎ、ファイルが Excel、PowerPoint、または Word で開かれて編集される前に検査できるようにします。

最初からセキュリティを最重視して設計された Office 2013

Microsoft では、ソフトウェア ライフサイクルの全段階でセキュリティを考慮しています。業界と脅威は進化するため、Office の機能または製品に関与するすべての従業員はセキュリティのトレーニングを受け、情報を入手し続ける必要があります。機能または製品の設計において、チームは最初からユーザー データのセキュリティとプライバシーを考慮し、それに対する脅威を暗号化、認証、またはその他の方法でどのように軽減できるかを検討する必要があります。チームの意思決定は、環境、データの露出の可能性、およびデータの機密性に基づいて行われます。Office 製品がリリースされる前に、チームは攻撃にさらされやすい部分の検討を何度も行い、インシデント対応計画を作成します。

Microsoft では、ユーザー データの安全を守るために、人の手だけでなく各種のツールと自動化された品質保証テストも使用しています。これらは次の 3 つのカテゴリに大きく分けられます。

  • 機能テスト: ユーザー インターフェイスのすべての部分を検査して、ユーザーの入出力とアクションが意図および宣伝されたとおりに機能することを確認します。

  • ファジー テスト: 大量のランダムなデータや予測外のデータをソフトウェアに挿入することでセキュリティの問題を洗い出します。ファジー テストは Office 2007 リリースの非常に重要な部分であり、今回の最新リリースでも引き続き採用されています。

  • Web アプリケーション向け: 動的スキャン ツールまたは Web スキャン ツールを使用して、クロスサイト スクリプト (XSS) や SQL インジェクションなどの潜在的なセキュリティ バグがないかどうかをテストします。

テストに終わりはありません。製品がリリースされた後は、Microsoft セキュリティ レスポンス センター (MSRC) が未解決のセキュリティの問題に対応します。このチームは機動性に優れており、迅速な解決策をお客様に提供します。

最近の Office リリースにおけるセキュリティ向上の簡単な要約

Office XP、Office 2003、Office 2007、および Office 2010 で導入されたセキュリティ制御機能により、攻撃が軽減され、ユーザー エクスペリエンスが向上し、攻撃にさらされやすい部分が強化され、危険が軽減されています。また、IT 管理者はユーザーの生産性を維持しつつ、脅威に対する堅牢な防御策を容易に構築できるようになりました。以下にその方法を示します。

次の機能の導入により、Office に対する攻撃が軽減されています。

  • 保護ビュー

  • ドキュメントのフローの保護

  • パッチ管理

  • 暗号化方式の指定

次の機能により、ユーザー エクスペリエンスが向上しています。

  • セキュリティ センターとメッセージ バー、信頼できる場所、信頼できる発行元、および場所が固定された信頼性に関する判断

  • 対処可能なセキュリティ プロンプト

  • "パスワードを使用して暗号化" 機能の強化

  • ドキュメント検査

  • XML ファイル形式のサポート

次の機能により、Office の攻撃にさらされやすい部分が堅牢化されています。

  • データ実行防止 (DEP) のサポート

  • グループ ポリシーの適用

  • デジタル署名での信頼できるタイム スタンプのサポート

  • ドメイン ベースのパスワード複雑性のチェックと適用

  • 暗号強度の向上

  • CryptoAPI のサポート

次の機能により、Office の攻撃にさらされやすい部分の危険が軽減されています。

  • Office ファイルの検証

  • ファイル制限機能の設定の拡張

  • ActiveX コントロールのセキュリティ

  • ActiveX の "Kill Bit"

  • 暗号化ファイルの整合性チェック

  • マクロ セキュリティ レベル

ファイル ファジングに関する補足

ファイル ファジングは、さまざまなファイル形式の未知の脆弱性を特定するために使用されます。Office チームは数百万のファイルに対して数千万回のファジングを行い、数百の脆弱性を発見して修正しました。

データ実行防止に関する補足

Windows に組み込まれ、Office 2010 からはすべての Office アプリケーションに拡大されたこのハードウェア/ソフトウェア機能は、予約されたメモリでコードを実行しようとしたファイルを識別します。この保護は 64 ビット バージョンでは常に有効で、32 ビット バージョンではグループ ポリシーを使用して構成できます。不正なコードが検出されると、影響を受けるアプリケーションが自動的にシャットダウンされます。

保護ビューに関する補足

疑わしいファイルを安全に表示できる保護されたビューは、Office 2010 で導入されました。現在では、ネットワークからのアクセスを制限された Windows 2012 AppContainer により、プロセスの分離がさらに強化されています。

関連項目

Office 2013 のセキュリティのガイド
Office 2013 における ID、認証、および承認の概要
Office 365 SKU と Office 2013 SKU のセキュリティ機能の比較
Office 2013 で Information Rights Management を計画する
Office 2013 のデジタル署名設定を計画する