2007 Office system で ActiveX コントロール、アドイン、およびマクロのセキュリティ設定を計画する
更新日: 2009年2月
適用対象: Office Resource Kit
トピックの最終更新日: 2015-03-09
2007 Microsoft Office system には、ActiveX コントロール、アドイン、および Visual Basic for Applications (VBA) マクロの動作を変更できる、さまざまな設定が用意されています。ActiveX コントロール、アドイン、およびマクロを計画するには、以下のベスト プラクティスおよび推奨ガイドラインを使用します。
ActiveX コントロールのセキュリティ設定を計画する
アドインのセキュリティ設定を計画する
マクロのセキュリティ設定を計画する
ActiveX コントロールのセキュリティ設定を計画する
2007 Office system には、ActiveX コントロールの動作や、危険性のある ActiveX コントロールについてユーザーに通知する方法を制御できる、さまざまなセキュリティ設定が用意されています。これらの設定は、通常は、以下の場合に使用します。
すべてのドキュメントで ActiveX コントロールを無効にする。
すべての ActiveX コントロールを通知せずに初期化して実行することを許可する。
安全な初期化 (SFI) および危険を伴う初期化 (UFI) のパラメータに基づいて、ActiveX コントロールを初期化する方法を変更する。
ActiveX コントロールのセキュリティ設定を計画するには、以下のベスト プラクティスおよび推奨ガイドラインを使用します。これらのガイドラインは、セキュリティ特化 - 機能制限 (SSLF) 環境ではなくエンタープライズ クライアント (EC) 環境に基づくものです。EC 環境は、一般的なセキュリティ ニーズのある組織の環境です。この環境は、セキュリティと機能のバランスをとる必要がある中規模および大規模な組織に適しています。SSLF 環境は、セキュリティが最も重要視される、それほど一般的ではない組織の環境です。この環境は、厳格なセキュリティの基準があり、アプリケーションの機能よりもセキュリティが重視される中規模および大規模な組織にのみ適しています。
すべてのドキュメントで ActiveX コントロールを無効にする
セキュリティ アーキテクチャの制限が多い場合、ActiveX コントロールによる潜在的な危険性を最小限に抑えるには、ActiveX コントロールを無効にします。ActiveX コントロールを無効にすると、ファイルを開いたときに、ファイル内のすべての ActiveX コントロールの初期化 (読み込み) が行われません。無効にされた ActiveX コントロールがファイル内に赤い X 印やその他の記号で表示される場合がありますが、コントロールは無効にされており、ユーザーがその記号をクリックしても何の処理も行われません。また、ActiveX コントロールを無効にしても、ActiveX コントロールが無効にされていることはユーザーに対して通知されません。
ActiveX コントロールを無効にするには、以下の表のどちらかの設定を推奨に従って構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[すべての ActiveX を無効にする] |
構成なし |
既定では、ActiveX コントロールを有効にするように求めるメッセージがユーザーに対して表示されます。この設定を有効にすると、すべての ActiveX コントロールが無効になり、ActiveX コントロールが含まれるファイルをユーザーが開いても、ActiveX コントロールは初期化されません。また、この設定を有効にした場合、ActiveX コントロールが無効になっていることはユーザーに通知されません。この設定は、Office カスタマイズ ツール (OCT) および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。この設定は 2007 Office system のアプリケーションにのみ適用されます。この設定では、以前のバージョンの Office で開いたファイル内の ActiveX コントロールは無効になりません。 |
[安全でない ActiveX の初期化] |
選択する構成 : [メッセージを表示せずにすべてのコントロールを無効にする] |
既定では、[安全でない ActiveX の初期化] の設定は [持続データの使用を指示するメッセージをユーザーに対して表示する] です。[メッセージを表示せずにすべてのコントロールを無効にする] を選択すると、すべての ActiveX コントロールが無効になり、ActiveX コントロールが含まれるファイルをユーザーが開いても、ActiveX コントロールは初期化されません。また、ActiveX コントロールが無効にされていることはユーザーに対して通知されません。この設定は OCT のみにあります。この設定は 2007 Office system のアプリケーションにのみ適用されます。この設定では、以前のバージョンの Office で開いたファイル内の ActiveX コントロールは無効になりません。 |
[!メモ] 信頼できる場所に保存されたファイル内では、ActiveX コントロールを無効にすることはできません。信頼できる場所からファイルを開くと、ファイル内のすべてのアクティブ コンテンツが初期化され、ActiveX コントロールを無効にした場合も、通知せずに実行できます。
ActiveX コントロールを無効にする場合は、以下の点に注意してください。
ActiveX コントロールが無効にされることと、無効にされた ActiveX コントロールが含まれるファイルを開いても通知が表示されないことをユーザーに通知します。
ActiveX コントロールの無効化が組織に与える可能性がある影響をテストします。多くの Office ソリューションは ActiveX コントロールを使用して構築されているため、ActiveX コントロールを無効にすると、予期しない動作が発生し、アプリケーションが適切に動作しないことがあります。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに設定を記録します。
すべての ActiveX コントロールを通知せずに初期化して実行することを許可する
すべての ActiveX コントロールを通知せずに初期化して実行できるように 2007 Office system を構成できます。これは、一部のテストおよび開発環境や、悪意のあるコンテンツがファイルに含まれていないことを追加のセキュリティ機構 (ファイアウォール、ウイルス検出プログラム、侵入検出プログラムなど) によって確認されている隔離された環境で便利です。
.gif "Important") 重要 |
|---|
| 稼働環境では、ActiveX コントロールを警告せずに初期化して実行することを許可することはお勧めしません。ActiveX コントロールを警告せずに初期化して実行することを許可すると、攻撃の危険性が高くなり、組織のセキュリティが弱くなる可能性があります。 |
ActiveX コントロールを通知せずに初期化して実行することを許可するには、以下の表のどちらかの設定を推奨に従って構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[安全でない ActiveX の初期化] |
選択する構成 : [メッセージを表示しない] |
既定では、[安全でない ActiveX の初期化] の設定は [持続データの使用を指示するメッセージをユーザーに対して表示する] です。[メッセージを表示しない] を選択すると、すべての ActiveX コントロールが有効になり、ActiveX コントロールが含まれるファイルをユーザーが開くと、ActiveX コントロールは最小限の制限 (つまり、保持された値) で初期化されます。また、ActiveX コントロールが有効にされていることと、SFI である ActiveX コントロールはセーフ モードでは無効にされることは、ユーザーに対して通知されません。この設定は OCT のみにあります。この設定は、2007 Office system および旧バージョンの Office に適用されます。 |
[ActiveX コントロールの初期化] |
選択する構成 : 2 |
既定では、この設定は 6 という値になっています。これを 2 に変更すると、SFI コントロールおよび UFI コントロールが最小限の制限 (つまり、保持された値) で初期化されます。保持された値を使用できない場合、コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化され、ActiveX コントロールが有効にされていることはユーザーに対して通知されません。この設定は、2007 Office system の管理用テンプレート (.adm ファイル) でのみ構成できます。この設定は、2007 Office system および旧バージョンの Office に適用されます。 |
この設定を変更すると、SFI コントロールおよび UFI コントロールが最小限の制限 (つまり、保持された値) で初期化されます。持続値を使用できない場合は、コントロールは InitNew メソッドによって既定値を使用して初期化されます。SFI コントロールはセーフ モードで初期化され、ActiveX コントロールが有効にされていることはユーザーに対して通知されません。この設定は、2007 Office system の管理用テンプレート (.adm ファイル) でのみ構成できます。この設定は、2007 Office system および旧バージョンの Office に適用されます。
すべての構成の一覧については、「2007 Microsoft Office Security Guide (Threats and Countermeasures: Security Settings in the 2007 Office system) (英語)」(https://technet.microsoft.com/ja-jp/library/cc500475.aspx) を参照してください。
すべての ActiveX コントロールを通知せずに初期化して実行することを許可する場合は、以下の点に注意してください。
ActiveX コントロールが無効にされることと、ActiveX コントロールが含まれるファイルを開いても通知が表示されないことをユーザーに通知します。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに設定を記録します。
SFI および UFI のパラメータに基づいて ActiveX コントロールが初期化される方法を変更する
2007 Office system には、SFI、UFI、およびセーフ モードのパラメータに基づいて ActiveX コントロールを初期化する方法を制御できる、さまざまな設定が用意されています。SFI、UFI、およびセーフ モードは、開発者が ActiveX コントロールを作成するときに構成できるパラメータです。SFI としてマークされた ActiveX コントロールは、セーフ データ ソースを使用して初期化します。セーフ データ ソースとは、信頼できる既知の、セキュリティ違反の原因とならないデータ ソースです。SFI としてマークされていないコントロールは UFI であると見なされます。
セーフ モードは、ActiveX コントロールの安全性を確実にするために開発者が使用できるもう 1 つのセキュリティ機構です。開発者がセーフ モードを実装する ActiveX コントロールを作成すると、そのコントロールはセーフ モードと非セーフ モードの 2 つの方法で初期化できます。ActiveX コントロールがセーフ モードで初期化された場合は、機能を制限する特定の制限がコントロールに適用されます。逆に、ActiveX コントロールが非セーフ モードで初期化された場合は、その機能は制限されません。たとえば、ファイルの読み取り/書き込みを行う ActiveX コントロールでは、セーフ モードで初期化された場合はファイルの読み取りのみを許可し、非セーフ モードで初期化された場合は読み取りと書き込みを許可します。セーフ モードでは、SFI である ActiveX コントロールのみを初期化できます。UFI である ActiveX コントロールは、常に非セーフ モードで初期化されます。
既定では、2007 Office system では ActiveX コントロールは以下のように初期化されます。
ファイルに VBA プロジェクトが含まれている場合は、ファイルに含まれる ActiveX コントロールを有効にするか無効するかを確認するメッセージがユーザーに対して表示されます。ユーザーが ActiveX コントロールの有効化を選択すると、すべての SFI および UFI コントロールが最小限の制限 (つまり、保持された値) で初期化されます。保持された値を使用できない場合は、コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化されます。
ファイルに VBA プロジェクトが含まれておらず、ファイルに SFI コントロールのみが含まれている場合は、SFI コントロールが最小限の制限 (つまり、保持された値) で初期化されます。保持された値を使用できない場合は、コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化されます。
ファイルに VBA プロジェクトが含まれておらず、ファイルに SFI と UFI の両方のコントロールが含まれている場合は、ファイルに含まれる ActiveX コントロールを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。ユーザーが ActiveX コントロールの有効化を選択すると、SFI コントロールは最小限の制限 (つまり、保持された値) で初期化され、UFI コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化されます。
この既定の動作が組織に適していなくても ActiveX コントロールを無効にしない場合は、ファイルに VBA プロジェクトが含まれるときに、UFI コントロールが最小限の制限の代わりに既定値を使用して初期化されるようにして、ActiveX コントロールの初期化方法を強化できます。それには、以下の表のどちらかの設定を推奨に従って構成します。
| 設定名 | 推奨される構成 | VBA プロジェクトが存在する場合の初期化の動作 | VBA プロジェクトが存在しない場合の初期化の動作 |
|---|---|---|---|
[安全でない ActiveX の初期化] |
選択する構成 : [コントロールの既定値の使用を指示するメッセージをユーザーに対して表示する] |
コントロールを有効にするか、無効にするかをユーザーに確認します。ユーザーがコントロールを有効にすると、SFI コントロールは最小限の制限 (つまり、保持された値) で初期化され、UFI コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化されます。この設定は OCT のみにあります。この設定は、2007 Office system および旧バージョンの Office に適用されます。 |
ファイルに SFI コントロールのみが含まれる場合、SFI コントロールは最小限の制限 (つまり、保持された値) で初期化されます。保持された値を使用できない場合は、SFI コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化されます。コントロールを有効にするように求めるメッセージは、ユーザーに対して表示されません。 ファイルに UFI コントロールが含まれる場合は、コントロールを有効にするか無効するかを確認するメッセージがユーザーに対して表示されます。ユーザーがコントロールを有効にすると、SFI コントロールは最小限の制限で初期化され、UFI コントロールは InitNew メソッドを使用して既定値で初期化されます。SFI コントロールはセーフ モードで初期化されます。 |
[ActiveX コントロールの初期化] |
選択する構成 : 4 |
[安全でない ActiveX の初期化] 設定の動作と同じです。 |
[安全でない ActiveX の初期化] 設定の動作と同じです。 |
さらに多数のセキュリティ シナリオに合わせて ActiveX コントロールの設定を構成することができます。すべての設定の説明と OCT、グループ ポリシー、セキュリティ センターの設定の比較など、2007 Office system での ActeveX コントロールの設定の詳細については、「Office system のセキュリティ ポリシーおよび設定」を参照してください。ActiveX コントロールの構成の詳細については、「Office system の ActiveX コントロール、アドイン、およびマクロのセキュリティ設定を構成する」を参照してください。
アドインのセキュリティ設定を計画する
2007 Office system には、アドインの動作を変更できるさまざまな設定が用意されています。アドインとは、アプリケーション拡張とも呼ばれる、アプリケーションの機能を拡張する追加のプログラムまたはコンポーネントです。アドインはインストールして登録する必要があります。以下のものがあります。
コンポーネント オブジェクト モデル (COM) アドイン。
スマート タグ。
自動化アドイン。
RealTimeData (RTD) サーバー。
アプリケーション アドイン (.wll, .xll, .xlam ファイルなど)。
XML 拡張パック。
XML スタイル シート。
既定では、インストールして登録済みのアドインは通知せずに実行できます。ただし、アドインのセキュリティ設定を使用して、この動作を変更できます。特に、以下の操作を行うことができます。
アプリケーションごとにアドインを無効にする。
信頼できる発行元によるアドインへの署名を必須にする。
署名されていないアドインについての通知を無効にする。
アプリケーションごとにアドインを無効にする
セキュリティ アーキテクチャの制限が多い場合、アドインによる潜在的な危険性を最小限に抑えるには、アドインを無効できます。アドインを無効にすると、アドインは実行されず、アドインが無効にされていることはユーザーに対して通知されません。
アドインをグローバルに無効にすることはできません。アドインは、以下のアプリケーションに対して、アプリケーションごとに無効にできます。
Microsoft Office Access 2007
Microsoft Office Excel 2007
Microsoft Office PowerPoint 2007
Microsoft Office Publisher 2007
Microsoft Office Visio 2007
Microsoft Office Word 2007
アドインを無効にするには、以下の表のどちらかの設定を推奨に従って構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[すべてのアプリケーション アドインを無効にする] |
構成なし |
既定ではアドインは有効です。このオプションを選択すると、アドインは無効になり、アドインが無効にされていることはユーザーに対して通知されません。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。この設定は、アプリケーションごとに構成する必要があります。 |
[アプリケーション アドインの警告オプション] |
選択する構成 : [すべてのアプリケーション拡張を無効にする] |
既定では、[アプリケーション アドインの警告オプション] の設定は [組み込み済みのすべてのアプリケーション アドインを有効にする] です。[すべてのアプリケーション拡張を無効にする] を選択すると、すべてのアドインが無効になり、アドインが無効にされていることはユーザーに対して通知されません。この設定は OCT のみにあります。この設定は、アプリケーションごとに構成する必要があります。 |
アドインを無効にする場合は、以下の点に注意してください。
アドインが無効にされることをユーザーに通知します。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに設定を記録します。
信頼できる発行元によるアドインへの署名を必須にする
アドインを無効にせずに、アドインのセキュリティを強化したい場合は、信頼できる発行元によるアドインへの署名を必須にすることができます。こうすると、以下のような動作が実行されます。
信頼できるアドインは通知せずに実行されます。信頼できるアドインとは、信頼できる場所に保存されているアドイン、または信頼できる発行元の一覧に含まれている発行元によって署名されているアドインです。
署名されていないアドインは無効にされますが、アドインを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。
信頼できる発行元の一覧に含まれていない発行元によって署名されたアドインは無効にされますが、アドインを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。
信頼できる発行元によるアドインへの署名を必須にする設定をグローバルに構成することはできません。この設定はアプリケーションごとに構成する必要があります。以下のアプリケーションに対してのみ構成できます。
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
信頼できる発行元によるアドインへの署名を必須にするには、以下の表のどちらかの設定を推奨に従って構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[アプリケーション アドインには信頼できる発行元による署名が必要] |
構成なし |
既定ではアドインは有効です。このオプションを選択すると、信頼できる発行元の一覧に含まれている発行元によって署名されたアドインは、通知せずに実行されます。署名されていないアドインと、信頼できる発行元の一覧に含まれていない発行元によって署名されたアドインは無効にされますが、アドインを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。この設定は、アプリケーションごとに構成する必要があります。 |
[アプリケーション アドインの警告オプション] |
選択する構成 : [アプリケーション拡張に対し、信頼できる発行元の署名を必須にする] |
既定では、[アプリケーション アドインの警告オプション] の設定は [組み込み済みのすべてのアプリケーション アドインを有効にする] です。[アプリケーション拡張に対し、信頼できる発行元の署名を必須にする] を選択すると、信頼できる発行元の一覧に含まれている発行元によって署名されたアドインは、通知せずに実行されます。署名されていないアドインと、信頼できる発行元の一覧に含まれていない発行元によって署名されたアドインは無効にされますが、アドインを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。この設定は OCT のみにあります。この設定は、アプリケーションごとに構成する必要があります。 |
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントにこれらの設定を記録してください。
署名されていないアドインについての通知を無効にする
信頼できる発行元によるアドインへの署名を必須にした場合も、ユーザーはメッセージ バーを使用して署名されていないアドインを有効にできます。署名されていないアドインをユーザーが有効にできないようにする場合は、署名されていないアドインについての通知を無効にします。これはアプリケーションごとに設定できます。以下のアプリケーションに対してのみ構成できます。
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
これを実行するには、以下の表のどちらかの設定を推奨に従って構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[署名されていないアプリケーション アドインに関するセキュリティ バーの通知を無効にする] |
構成なし |
既定ではアドインは有効です。このオプションを選択すると、信頼できない署名されているアドインは無効にされますが、アドインを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。署名されていないアドインも無効になりますが、ユーザーには通知されず、署名されていないアドインを有効にするか、無効にするかを確認するメッセージも表示されません。この設定は、[アプリケーション アドインには信頼できる発行元による署名が必要] 設定と組み合わせて使用する必要があります。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。この設定は、アプリケーションごとに構成する必要があります。 |
[アプリケーション アドインの警告オプション] |
[アプリケーション拡張の署名を必須にし、署名されていない拡張は通知せずに無効にする] |
既定では、[アプリケーション アドインの警告オプション] の設定は [組み込み済みのすべてのアプリケーション アドインを有効にする] です。 [アプリケーション拡張の署名を必須にし、署名されていない拡張は通知せずに無効にする] を選択すると、信頼できない署名されているアドインは無効にされますが、アドインを有効にするか無効にするかを確認するメッセージがユーザーに対して表示されます。署名されていないアドインも無効になりますが、ユーザーには通知されず、署名されていないアドインを有効にするか、無効にするかを確認するメッセージも表示されません。この設定は OCT のみにあります。この設定は、アプリケーションごとに構成する必要があります。 |
署名されていないアドインに対する通知を無効にする場合は、以下の点に注意してください。
署名されていないアドインが通知されずに無効にされることをユーザーに通知します。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに設定を記録します。
設定の説明と OCT、グループ ポリシー、セキュリティ センターの設定の比較など、2007 Office system でのアドインの設定の詳細については、「Office system のセキュリティ ポリシーおよび設定」を参照してください。アドインの設定の構成の詳細については、「Office system の ActiveX コントロール、アドイン、およびマクロのセキュリティ設定を構成する」を参照してください。
マクロのセキュリティ設定を計画する
2007 Office system には、マクロおよび VBA の動作を制御できるさまざまな設定が用意されています。これらの設定を使用すると、以下の処理を実行できます。
マクロの既定のセキュリティ設定を変更する。これには、マクロの無効化、マクロの有効化、およびマクロについてユーザーに通知する方法の変更が含まれます。
VBA の動作を変更する。これには、VBA の無効化、オートメーション クライアントがプログラムから VBA プロジェクトにアクセスできるようにすることが含まれます。
オートメーションによってプログラムから起動されるアプリケーションにおけるマクロの動作を変更する。
暗号化されたマクロがウイルス スキャンで検出されないようにする。
マクロのセキュリティ設定を計画するには、以下のベスト プラクティスおよび推奨ガイドラインを使用します。
マクロの既定のセキュリティ設定を変更する
2007 Office system には、マクロの既定の動作を変更できるさまざまな設定が用意されています。既定では、信頼できるマクロは通知せずに実行できます。これには、信頼できる場所に保存されているドキュメント内のマクロと、以下の条件を満たすマクロが含まれます。
マクロが開発者によってデジタル署名で署名されている。
デジタル署名が有効である。
このデジタル署名が最新である (有効期限切れでない)。
デジタル署名に関連付けられている証明書が、信頼できる証明機関 (CA) によって発行されたものである。
マクロに署名した開発者が信頼できる発行元である。
信頼できないマクロは、ユーザーがメッセージ バーをクリックしてマクロを有効にするまで、実行を許可されません (一部のアプリケーションにはメッセージ バーがありません。このような場合は、ダイアログ ボックスに通知が表示されます)。
[!メモ] マクロの既定のセキュリティ設定は、Microsoft Office Outlook 2007 では異なります。詳細については、Office Outlook 2007 のセキュリティのドキュメントを参照してください。
マクロの既定のセキュリティ設定が組織のニーズに合わない場合は、以下のどちらかを実行できます。
信頼できないマクロを通知せずに無効にする。
署名されていないマクロの通知は無効にし、署名されているマクロの通知は有効にする。
信頼できないマクロを通知せずに無効にする
信頼できないマクロを通知せずに無効にすると、信頼できないマクロは読み込まれず、信頼できないマクロが無効にされたことはユーザーに対して通知されません。信頼できるマクロは通知せずに実行できます。この設定は、組織のセキュリティ モデルが制限されており、信頼できないマクロをユーザーに実行させたくない場合に便利です。
信頼できないマクロを通知せずに無効にするには、以下のどちらかの設定を以下の表に説明するように構成します。これらの設定はアプリケーションごとに構成する必要があります。以下のアプリケーションに対してのみ構成できます。
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[VBA マクロの警告設定] |
選択するオプション : 有効 選択する構成 : [警告を表示せずにすべてのマクロを無効にする] |
既定では、信頼できないマクロがファイル内に存在することはユーザーに対して通知されず、ユーザーは信頼できないマクロを有効または無効にできます。[すべての VBA マクロを無効にする] および [警告を表示せずにすべてのマクロを無効にする] を選択すると、信頼できないマクロが無効にされ、信頼できないマクロが無効にされることがユーザーに対して通知されず、ユーザーは信頼できないマクロを有効にできません。信頼できるマクロは通知せずに実行できます。この設定は、2007 Office system の管理用テンプレート (.adm ファイル) でのみ構成できます。 |
署名されていないマクロに関する通知を無効にする
署名されていないマクロに関する通知を無効にすると、署名されていないマクロは通知せずに無効にされますが、署名されているマクロに関する通知は表示され、ユーザーは署名されているマクロを有効または無効にできます。信頼できるマクロは通知せずに実行できます。 この設定は、署名されていないマクロから環境を保護する必要がある場合に便利です。
信頼できないマクロに関する通知を無効にするには、以下のどちらかの設定を以下の表に説明するように構成します。これらの設定はアプリケーションごとに構成する必要があります。以下のアプリケーションに対してのみ構成できます。
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[VBA マクロの警告設定] |
選択するオプション : 有効 選択する構成 : [デジタル署名付きのマクロについてのみ、セキュリティ バーで警告を表示する (署名のないマクロは無効にされます)] |
既定では、ファイル内の信頼できないマクロに関する通知はユーザーに対して表示されず、ユーザーは信頼できないマクロを有効または無効にできます。[デジタル署名付きのマクロについてのみ、セキュリティ バーで警告を表示する (署名のないマクロは無効にされます)] を選択すると、以下のような動作が実行されます。
この設定は、2007 Office system の管理用テンプレート (.adm ファイル) でのみ構成できます。 [署名されていない VBA マクロに関するセキュリティ バーの警告を無効にする (署名されていないコードは無効になります)] を選択すると、以下のような動作が実行されます。
この設定は、OCT でのみ構成できます。 |
VBA の動作を制御する
2007 Office system には、VBA の動作を制御する 2 つの方法が用意されています。既定では、VBA は有効で (VBA がインストールされている場合)、オートメーション クライアントはプログラムから VBA プロジェクトにアクセスできません。この動作は、以下の方法で変更できます。
オートメーション クライアントがプログラムから VBA プロジェクトにアクセスできるようにする。
VBA を無効にする。
2007 Office system のこれらのセキュリティ設定のほかに、Office Visio 2007 には Office Visio 2007 での VBA の動作を制御するさまざまな設定が用意されています。詳細については、「Office system のセキュリティ ポリシーおよび設定」を参照してください。
オートメーション クライアントが VBA プロジェクトにプログラムでアクセスできるようにする
オートメーション クライアントがプログラムから VBA プロジェクトにアクセスできるようにすると、オートメーション クライアントは VBA オブジェクト モデルを使用できるようになります。
オートメーション クライアントがプログラムから VBA プロジェクトにアクセスできるようにするには、以下の表に説明する設定を構成します。この設定はアプリケーションごとに構成する必要があります。以下のアプリケーションに対してのみ構成できます。
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[Visual Basic プロジェクトへのアクセスを信頼する] |
選択するオプション : 無効 |
既定では、オートメーション クライアントは VBA プロジェクトにプログラムによるアクセスを行いません。このオプションを選択すると、オートメーション クライアントはプログラムから VBA オブジェクト モデルにアクセスできます。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。 |
| 重要 |
|---|
| オートメーション クライアントがプログラムから VBA プロジェクトにアクセスできるようにすると、自己複製コードを作成する許可されていないプログラムにより攻撃を受ける危険性が高まる可能性があります。 |
VBA を無効にする
VBA を無効にすると、マクロおよびその他のプログラムによるコンテンツは実行されません。これは、セキュリティ モデルが制限されていて、ユーザーにマクロを実行させたくない場合や、組織がセキュリティ攻撃を受けていて、一時的にマクロの実行を防ぎたい場合に便利です。
VBA を無効にするには、以下の表に説明する設定を構成します。これはグローバルな設定であり、以下のアプリケーションに適用されます。
Office Excel 2007
Office Outlook 2007
Office PowerPoint 2007
Office Publisher 2007
Microsoft Office SharePoint Designer 2007
Office Word 2007
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[Office アプリケーションの VBA を無効にする] |
構成なし |
既定では、VBA がインストールされている場合、VBA は有効です。このオプションを選択すると、VBA は機能せず、ユーザーはマクロおよびその他のプログラムによるコンテンツを実行できません。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。 |
VBA を無効にすると、マクロおよびその他のコンテンツが実行されません。VBA を無効にした結果の詳細については、マクロソフト サポート技術情報の記事「Considerations for disabling VBA in Office (英語)」(https://go.microsoft.com/fwlink/?linkid=85867\&clcid=0x411) を参照してください。
VBA を無効にする場合は、以下の点に注意してください。
VBA が無効にされることをユーザーに対して通知します。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに設定を記録します。
2007 Office system のこれらのセキュリティ設定のほかに、Office Visio 2007 には Office Visio 2007 での VBA の動作を変更するさまざまな設定が用意されています。詳細については、「Office system のセキュリティ ポリシーおよび設定」を参照してください。
オートメーションによってプログラムから起動されたアプリケーションにおけるマクロの動作を変更する
2007 Office system には、オートメーションによってプログラムから起動されたアプリケーションでマクロを実行したときの動作を制御する設定が 1 つ用意されています。 オートメーションとは、開発者があるアプリケーションから別のアプリケーションの機能にアクセスできるようにするプログラミング ツールです。たとえば、開発者は、Office Outlook 2007 の電子メール機能およびスケジュール機能を使用するプロジェクト管理アプリケーションを作成することができます。既定では、アプリケーションがオートメーションを使用して 2007 Office system 内でアプリケーションを起動すると、マクロが有効にされ、セキュリティ チェックを行わずに実行できます。この動作は、以下の 2 つの方法で変更できます。
プログラムから起動したアプリケーション内でマクロを無効にできます。こうすると、マクロが無効にされることはユーザーに対して通知されず、マクロを有効にするか無効にするかを確認するメッセージはユーザーに対して表示されません。この設定は、組織のセキュリティ モデルが制限されており、マクロをユーザーが実行できないようにする場合に便利です。
プログラムから起動されたアプリケーションで構成されているセキュリティ設定に従って、マクロを実行できます。この場合、プログラムから起動されたアプリケーションに構成されているセキュリティ設定によって、マクロの動作が決まります。たとえば、すべてのマクロが Office Excel 2007 でデジタル署名されていることを必須とし、アプリケーションでオートメーションを使用して Office Excel 2007 を起動する場合、マクロはデジタル署名されていなければ実行されません。この設定は、組織におけるマクロのセキュリティ設定を、オートメーションによって起動されるアプリケーションに拡張する場合に便利です。
オートメーションによってプログラムから起動されるアプリケーションにおけるマクロの既定の動作を変更するには、以下の表で推奨されるどちらかの設定を使用します。 これらの設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。これらの設定はグローバルであり、以下のアプリケーションに適用されます。
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[自動セキュリティ] |
選択するオプション : 有効 選択する構成 : [アプリケーションのマクロのセキュリティ レベルを適用する] |
既定では、[自動セキュリティ] の設定は [マクロを有効にする] です。[アプリケーションのマクロのセキュリティ レベルを適用する] を選択すると、オートメーションによってプログラムから起動されるアプリケーションのセキュリティ設定に従って、マクロが実行されます。 [マクロを既定で無効にする] を選択すると、オートメーションによって起動される 2007 Office system アプリケーションでは、マクロは無効にされます。マクロが無効であることはユーザーに通知されず、マクロを有効にするかどうかは確認されません。 |
自動セキュリティ設定を変更する場合は、以下の点に注意してください。
アプリケーション全体を十分にテストして、変更内容によって、予期しない動作が生じたり、アプリケーションの機能が制限されることがないことを確認します。一部のアプリケーションでは、オートメーションを使用して 2007 Office system 内で通知せずにアプリケーションが起動されます。
セキュリティ計画ドキュメントおよびセキュリティ操作ドキュメントに構成の設定を記録します。
2007 Office system のこれらのセキュリティ設定のほかに、Office Publisher 2007 には Office Publisher 2007 でのマクロの自動セキュリティを構成するさまざまな設定が用意されています。詳細については、「Office system のセキュリティ ポリシーおよび設定」を参照してください。
暗号化されたマクロがウイルス スキャンで検出されないようにする
2007 Office system には、暗号化されたマクロをウイルス検索の対象から除外するさまざまな設定が用意されています。これは、お使いのウイルス検索プログラムで Microsoft Antivirus のアプリケーション プログラミング インターフェイス (API) がサポートされていない場合に便利です。
既定では、ファイルを Office オープン XML 形式のファイル形式で暗号化して保存すると、マクロが暗号化されます。お使いのウイルス検索プログラムで Microsoft Antivirus API がサポートされていない場合は、そのウイルス検索プログラムでは暗号化されたマクロをウイルス検索できません。その結果、暗号化されたマクロは無効にされます。暗号化されたマクロをウイルス対策プログラムのウイルス検索対象から除外するには、以下の表で推奨されるように設定を構成します。
| 設定名 | 推奨される構成 | 説明 |
|---|---|---|
[Microsoft Excel オープン XML ブックに含まれている暗号化されたマクロに対してウイルス検索を実行するかどうかを指定する] |
選択するオプション : 無効 |
既定では、暗号化されたマクロは、マクロが含まれている暗号化されたブックを開いたときに、お使いのウイルス検索プログラムによってウイルス検索されます。このオプションを有効にすると、暗号化されたマクロはお使いのウイルス検索プログラムによってウイルス検索されません。つまり、暗号化されたマクロは、構成したマクロのセキュリティ設定に従って実行されます。この設定は Office Excel 2007 にのみ適用されます。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。 |
[Microsoft PowerPoint オープン XML プレゼンテーションに含まれている暗号化されたマクロに対してウイルス検索を実行するかどうかを指定する] |
選択するオプション : 有効 |
既定では、暗号化されたマクロは、マクロが含まれている暗号化されたプレゼンテーションを開いたときに、お使いのウイルス検索プログラムによってウイルス検索されます。このオプションを選択すると、暗号化されたマクロはお使いのウイルス検索プログラムによってウイルス検索されません。つまり、暗号化されたマクロは、構成したマクロのセキュリティ設定に従って実行されます。この設定は Office PowerPoint 2007 にのみ適用されます。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。 |
[Microsoft Word オープン XML 文書に含まれている暗号化されたマクロに対してウイルス検索を実行するかどうかを指定する] |
選択するオプション : 有効 |
既定では、暗号化されたマクロは、マクロが含まれている暗号化された文書を開いたときに、お使いのウイルス検索プログラムによってウイルス検索されます。このオプションを選択すると、暗号化されたマクロはお使いのウイルス検索プログラムによってウイルス検索されません。つまり、暗号化されたマクロは、構成したマクロのセキュリティ設定に従って実行されます。この設定は Office Word 2007 にのみ適用されます。この設定は、OCT および 2007 Office system の管理用テンプレート (.adm ファイル) で構成できます。 |
暗号化されたマクロのウイルス検索に関する既定の設定を変更する場合は、以下の点に注意してください。
セキュリティ計画ドキュメントに設定を記録します。
セキュリティ操作ドキュメントに設定を記録します。
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なブックの一覧については、「2007 Office リソース キットのダウンロード可能なブック」を参照してください。