2007 Office system でセキュリティ設定およびプライバシー オプションの展開ツールを選択する
更新日: 2009年2月
適用対象: Office Resource Kit
トピックの最終更新日: 2015-03-09
2007 Microsoft Office system の効果的なセキュリティ計画を作成するには、最初に、組織でセキュリティ設定を構成、展開、および管理するために使用するツールを決める必要があります。設定の構成、展開、管理を 1 つのツールで行うのがよい場合もあります。または、構成および初期構成の展開にはあるツールを使用し、継続的な設定の管理には別のツールを使用するというように、ツールを組み合わせて使用することが必要になる場合もあります。正しいツールを使用すると、計画したセキュリティ設定が実際に展開され、組織全体への適用が促進されるので、正しいツールの選択はセキュリティ計画プロセスの非常に重要な手順です。また、初期展開の後でセキュリティ設定を変更できることも保証されるので、突然のセキュリティ脅威に対応できます。
さまざまなツールと技法を使用して企業環境内のデスクトップ アプリケーションを展開および管理できますが、お勧めするのは、Office カスタマイズ ツール (OCT) と 2007 Office system グループ ポリシー管理用テンプレート (.adm ファイル) のみを使用して、2007 Office system 内のセキュリティ設定を構成、展開、および管理する方法です。ツールごとに、要件と制限事項が異なり、提供される機能も異なります。適切なツールを選択するには、組織の既存の展開および管理インフラストラクチャ、組織のセキュリティ アーキテクチャ、および組織のセキュリティ ニーズを、慎重に評価する必要があります。組織に適したツールを判断するには、以下のセクションで説明するベスト プラクティスと推奨事項を使用して、各ツールを評価してください。
Office カスタマイズ ツール
OCT は、構成 (.msp) ファイルの作成を支援する新しいグラフィカル ユーザー インターフェイス ツールです。構成ファイルには、インストールの指示、ライセンス情報、およびセキュリティ設定、プライバシー オプションなどのアプリケーション設定など、多様な情報を格納できます。構成ファイルは、以下の 2 つの方法で使用できます。
セットアップ プログラムと組み合わせて、大規模な展開の間のインストール プロセスをカスタマイズする。
Windows インストーラ 3.1 と組み合わせて、ソフトウェア ライフサイクルの運用フェーズの間に、構成の設定を更新または保守する。
構成ファイルを使用してインストール プロセスをカスタマイズするには、以下のタスクを実行します。
OCT グラフィカル ユーザー インターフェイスを使用して、セットアップ オプションとアプリケーションの設定を構成します。
設定とオプションを .msp ファイルに保存します。
クライアント コンピュータでセットアップ プログラムを実行し、コマンド ライン パラメータを使用して、セットアップ プログラムが使用する .msp ファイルを指定します。
構成ファイルを使用して既存のインストールを更新または保守するには、以下のタスクを実行します。
OCT グラフィカル ユーザー インターフェイスを使用して、既存または新規の .msp ファイルのアプリケーション設定を構成します。
新しいアプリケーション設定を .msp ファイルに保存します。
クライアント コンピュータで Windows インストーラを実行し、コマンド ライン パラメータを使用して、Windows インストーラが使用する .msp ファイルを指定します。
OCT を使用する方法の詳細については、「2007 Office system の Office カスタマイズ ツール」または「2007 Office system をカスタマイズする」を参照してください。
要件と制限事項
OCT は新しい機能ですが、インフラストラクチャの特別な拡張は必要ありません。たとえば、既存のハードウェア、ソフトウェア、ネットワーク トポロジ、またはセキュリティ アーキテクチャを変更しなくても、OCT を使用できます。ただし、OCT には次のような要件があります。
OCT は、Office セットアップ プログラムと組み合わせて使用する必要があります。OCT が生成するのは .msp ファイルだけです。OCT がコンピュータにセキュリティ設定を適用することはありません。セットアップ プログラムを使用して 2007 Office system をインストールし, .msp ファイルに保存されたセキュリティ設定を適用する必要があります。
2007 Office system に含まれるセットアップ プログラムを使用する必要があります。OCT が生成した .msp ファイルのデータを読み取ってセキュリティ設定 (および他の設定) をレジストリに追加できるインストール プログラムとしてサポートされているのはこれだけです。
セットアップと OCT は、Windows インストーラ 3.1 がインストールされているコンピュータで実行する必要があります。
OCT および Office セットアップ プログラムを実行するには、ローカル コンピュータの Administrators グループのメンバである必要があります。
セキュリティ設定の構成と管理に OCT を使用するかどうかを判断するときは、OCT には次の 2 つの制限事項があることを考慮する必要があります。
OCT でのセキュリティ設定をロックする、つまり強制的に適用することはできません。OCT は、パブリックにアクセスできるレジストリの部分 (HKEY_CURRENT_USER/Software/Microsoft/Office/12.0 など) に、アプリケーションの設定を構成します。OCT を使用して 2007 Office system のセキュリティ設定を構成または管理した場合は、展開したセキュリティ設定をユーザーが変更できます。これらの設定は、ユーザーが変更できるので、管理されている設定ではなくユーザー設定と見なされます。セキュリティ設定を適用するには、グループ ポリシーを使用してください。
OCT で構成できるファイル形式のブロックの設定は 1 つだけです。ファイル形式のブロックの設定を使用すると、特定のファイルの種類またはファイル形式をユーザーが開いたり保存したりできないようにすることができます。ユーザーが古いファイル形式を使用できないようにしたい場合、またはゼロデイ攻撃を緩和したい場合は、これらの設定が役に立ちます。
一般的なシナリオ
OCT とセットアップ プログラムを使用すると、さまざまな IT 環境のセキュリティ設定を構成、展開、および管理できます。以下では、OCT とセットアップ プログラムが特に有効なシナリオについて説明します。
管理されていない環境
OCT は、一般に、デスクトップ アプリケーションを一元的に管理していない組織、またはデスクトップ環境をリモート管理していない組織で使用されます。このような場合は、Microsoft Systems Management Server 2003 のようなリモート管理ツール、またはグループ ポリシーのようなポリシーベースのツールを使用せずに、OCT とセットアップ プログラムを使用してセキュリティ設定の構成、展開、および管理を行うことができます。
最初のセキュリティ構成
グループ ポリシーを使用してセキュリティ設定をロックまたは強制する場合であっても、最初のセキュリティ構成の作成には、OCT が一般に使用されます。これにより、最初のポリシー更新が発生する前の初期展開の間に、セキュリティ設定を確実に構成できます。OCT を使用して初期セキュリティ構成を作成すると、初期構成ファイルを再適用することで、コンピュータのセキュリティ設定をリセットすることもできます。
部分的にロックされた環境
OCT は、部分的にロックされた環境でも役に立ちます。このような環境では、セキュリティ設定の中の重要なサブセットはグループ ポリシーを使用してロックされますが、他のセキュリティ設定はロックされず、ユーザーが構成できます。このシナリオでは、大部分のセキュリティ設定は、OCT が生成する構成ファイル (.msp ファイル) を使用して初期セットアップの間に構成し、重要なセキュリティ設定は、初期セットアップが完了した後でグループ ポリシーを使用して展開および管理します。
グループ ポリシー管理用テンプレート
2007 Office system には 15 種類の管理用テンプレートが用意されており、これらを使用すると、ローカルまたはドメインベースのグループ ポリシーを使用してセキュリティ設定を管理できます。管理用テンプレートは Unicode のテキスト ファイルであり、グループ ポリシーはこれを使用して、レジストリベースのポリシー設定を格納するレジストリ内の場所を記述します。レジストリベースのすべてのポリシー設定は、グループ ポリシー オブジェクト エディタの [管理用テンプレート] ノードに表示されて、ここで構成されます。管理用テンプレートはポリシー設定を適用するものではなく、グループ ポリシー オブジェクト エディタにポリシー設定を表示できるようにするものです。その後、管理者は、使用する必要のあるポリシー設定を含むグループ ポリシー オブジェクト (GPO) を作成できます。たとえば、ActiveX コントロール、アドイン、およびマクロを管理するための各種ポリシー設定を含む GPO を作成できます。
グループ ポリシー設定に使用されるレジストリ値は、グループ ポリシーの承認済みレジストリ キーの下に格納されます。ユーザーは、これらの設定を変更したり無効にしたりできません。管理者が完全に管理できるグループ ポリシー設定のことを "真のポリシー" と呼びます。真のグループ ポリシー設定には、ユーザーによる設定の変更を防ぐための ACL 制限があります。グループ ポリシーの承認済みレジストリ キーは次のとおりです。
コンピュータ ポリシーの設定の場合 :
HKEY_LOCAL_MACHINE\Software\Policies (推奨される場所)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
ユーザー ポリシーの設定の場合 :
HKEY_CURRENT_USER\Software\Policies (推奨される場所)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
管理用テンプレート、およびグループ ポリシーと OCT の詳細については、「管理用テンプレート拡張機能」、および「グループ ポリシーの概要 (2007 Office system)」の「Office カスタマイズ ツールとグループ ポリシー」を参照してください。管理用テンプレートを使用してセキュリティ設定を構成、展開、および管理する方法の詳細については、「2007 Office system でグループ ポリシーを使用して設定を適用する」を参照してください。
要件と制限事項
Microsoft Windows XP、Microsoft Windows Server 2003、Windows Vista のいずれかのオペレーティング システムを実行するコンピュータに 2007 Office system をインストールしている場合、管理用テンプレートを使用するには、次の要件が満たされている必要があります。
ドメインベースのグループ ポリシー設定を使用してセキュリティ設定を構成、展開、および管理するには、Active Directory ディレクトリ サービスが組織に展開されている必要があります。
ローカルなグループ ポリシー設定を使用してセキュリティ設定を構成、展開、および管理するには、ローカル コンピュータの Administrators グループのメンバである必要があります。
セキュリティ設定の構成と管理に管理用テンプレートを使用するかどうかを判断するときは、管理用テンプレートには次の制限事項があることを考慮する必要があります。
グループ ポリシーには、設定を初期構成にロールバックするメカニズムはありません。グループ ポリシーで初期構成の設定を展開し、その後でグループ ポリシーの設定を変更した場合、初期構成に戻すには、後で行った各変更を再構成する必要があります。設定を含むグループ ポリシー オブジェクトを無効化または削除すると、すべての設定が未構成に変わります。
グループ ポリシーでは、信頼できる配布元の設定を構成することはできません。信頼できる配布元リストへのデジタル証明書の追加は、OCT でのみ行うことができます。
組織が小さく、Active Directory をまだ使用していない場合は、グループ ポリシーについて理解し、Active Directory 環境にそれを実装するために必要な管理オーバーヘッドのため、ドメインベースのグループ ポリシーを実装できない可能性があります。
一般的なシナリオ
グループ ポリシーを使用すると、さまざまな IT 環境のセキュリティ設定を構成、展開、および管理できます。以下では、管理用テンプレートが特に有効なシナリオについて説明します。
管理された環境
管理用テンプレートは、グループ ポリシーを使用してデスクトップ環境を管理する組織で有効です。これは、Active Directory を展開し、デスクトップ環境をドメインベースのグループ ポリシーで管理する場合でも、Active Directory をインストールせずにローカルなグループ ポリシーでデスクトップ環境を管理する場合でも、同じように当てはまります。
ロックされた環境
管理用テンプレートは、ユーザーが自分のデスクトップ構成を制御できる余地の小さいロックされた環境で有効です。このようなシナリオでは、すべてのセキュリティ設定がグループ ポリシーを通して展開および管理されます。初期セットアップの間に構成されたすべてのセキュリティ設定は、グループ ポリシーの設定によって上書きされます。
ファイル形式のブロックの設定を実装する
ファイル形式のブロックの設定を効率よく実装できるのは、管理用テンプレートを使用した場合だけです。ファイル形式のブロックの設定を使用すると、特定のファイル形式またはファイルの種類をユーザーが開けないようにすることができます。この設定は、特定のファイルの種類またはファイル形式が組織のリスクとなることがわかっている場合に、ゼロデイ攻撃を緩和するために有効です。また、ユーザーが古いファイル形式を使用するのを防ぐため、またはユーザーに同じファイル形式を使用させるためにも有効です。
ツールを選択する
次の表は、2007 Office system でセキュリティ設定の構成に使用できる 2 つの推奨ツールの機能と能力を比較したものです。各ツールを評価し、自分の組織に最適なツールを決定する際に、参考にしてください。
| 機能と能力 | 管理用テンプレート | OCT とセットアップ |
|---|---|---|
Active Directory が必要である。 |
はい (ドメインベースのグループ ポリシーの場合) いいえ (ローカルなグループ ポリシーの場合) |
いいえ |
Windows インストーラ 3.1 が必要である。 |
いいえ |
はい |
クライアント コンピュータで管理用の資格情報が必要である。 |
はい (ローカルなグループ ポリシーの場合) いいえ (ドメインベースのグループ ポリシーの場合) |
はい |
セキュリティ設定のロックに使用できる。 |
はい |
いいえ |
初期インストール後のセキュリティ設定の管理に使用できる。 |
はい |
はい |
初期セキュリティ構成の作成に使用できる。 |
はい (ただし理想的ではない) |
はい |
ファイル形式のブロックの設定の構成に使用できる。 |
はい (すべての設定) |
はい (ただし、設定できるのは 1 つだけ) |
信頼できる配布元リストへの配布元の追加に使用できる。 |
いいえ |
はい |
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「2007 Office リソース キットのダウンロード可能なコンテンツ」を参照してください。