2007 Office system に対するセキュリティおよびプライバシーの脅威を評価する
更新日: 2009年2月
適用対象: Office Resource Kit
トピックの最終更新日: 2009-02-05
この記事の内容 :
セキュリティの脅威の概要
コードとアプリケーションの脅威
ドキュメントの脅威
外部の脅威
Internet Explorer の脅威
プライバシーの脅威
セキュリティの脆弱性
セキュリティ保護されたデスクトップ構成は、あらゆる組織の多層防御戦略の重要な部分です。2007 Microsoft Office system を含むセキュリティ保護されたデスクトップ構成を計画するには、その前に、2007 Office system に関係するセキュリティの脅威を理解し、組織のビジネス資産やビジネス プロセスにとってリスクになる脅威を特定する必要があります。また、ユーザーの個人情報や秘密情報にとってリスクになるプライバシーの脅威を特定する必要もあります。
セキュリティの脅威の概要
2007 Office system のセキュリティ モデルは、6 種類のセキュリティの脅威を軽減するのに役立ちます。これらのセキュリティの脅威のそれぞれに、広範囲のセキュリティ攻撃で悪用される可能性がある複数の脅威因子が含まれています。以下の図に、さまざまなセキュリティの脅威および一般的な脅威因子の例を示します。
ほとんどの組織は、6 種類あるセキュリティの脅威のそれぞれによって生じる潜在的なリスクに直面しています。ただし、すべての組織が直面する脅威因子が同じとは限らず、また、組織が直面するセキュリティにかかわる攻撃や悪用も組織ごとに異なります。2007 Office system を含むセキュリティ保護されたデスクトップ構成を計画する最初の手順として、以下のセクションに示されているガイダンスに従って、以下のことを判断します。
6 種類のセキュリティの脅威のうち、関係する脅威はどれか。
潜在的なリスクになる脅威因子はどれか。
攻撃者がそれらの脅威因子をどのように悪用する可能性があるか。
通常、組織には、脅威モデル、セキュリティ計画、運用計画など、組織内の脅威を明確にするために役立つドキュメントが複数存在します。セキュリティの脅威を評価する場合は、これらのドキュメントを利用することに加えて、必ず以下についても検討してください。
ネットワークのセキュリティ アーキテクチャ (例 : 境界領域ネットワーク設計、エクストラネット設計、ファイアウォール設計、プロキシ サーバー設計)
物理的なセキュリティのポリシー (例 : アクセス制限の構築、ドキュメント保持ポリシー、ラップトップのセキュリティ ポリシー)
プライバシー ポリシー (例 : 個人情報および秘密情報の定義)
認証と許可のインフラストラクチャ (例 : 顧客、ベンダ、パートナーにネットワークへのアクセス権がどのように付与されるか)
緊急のセキュリティの脅威に対処するための対応準備計画
電子メールおよびインターネット アクセスに関する個人使用ポリシー
さらに、新しい脅威や脅威因子が特定された場合は、必ず組織の既存の脅威モデルまたはセキュリティ計画を更新してください。
コードとアプリケーションの脅威
コードとアプリケーションの脅威は、一般的なデスクトップ セキュリティの脅威です。典型的な脅威因子として、ActiveX コントロール、アドイン、Visual Basic for Applications (VBA) マクロがあります。これらの脅威因子は、悪意のあるコードやプログラムを作成し、それをユーザーのコンピュータで実行しようとするプログラマによって悪用される可能性があります。コードとアプリケーションの脅威は、あらゆる規模の組織にとって潜在的なリスクになります。特に、ユーザーが以下の操作を許可されている組織では、コードとアプリケーションの脅威が潜在的なリスクになります。
マクロ、ActiveX コントロール、またはアドインを実行する。
電子メールの添付ファイルを受信する。
インターネットなどの公衆ネットワークを経由してドキュメントを共有する。
クライアント、ベンダ、パートナーなどの組織の外部にあるソースからドキュメントを開く。
コードとアプリケーションの脅威が組織にとってリスクになる場合は、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」を参照して、コードとアプリケーションの脅威を軽減するために既定のセキュリティ設定を変更する必要があるかどうかを判断してください。
ドキュメントの脅威
ドキュメントの脅威は、許可のないユーザーが組織のドキュメントへのアクセス、または組織のドキュメントに含まれている情報へのアクセスを試みたときに発生します。許可のない攻撃者や侵入者がドキュメントにアクセスした場合、以下のような結果が引き起こされます。
機密性の消失 (ドキュメントのデータは機密情報でなくなります)
完全性の消失 (ドキュメントのデータが変更または破壊されます)
内容の消失 (ドキュメントのデータが欠落します)
ほとんどの組織はドキュメントの脅威に直面しています。それにもかかわらず、多くの組織は、ドキュメントの脅威はごく小さいという認識から、またはドキュメントの脅威を軽減するための管理コストが高いという考えから、ドキュメントの脅威を軽減することを選択していません。ですが、以下のいずれかの場合は、ドキュメントの脅威が組織にとってリスクになります。
組織のネットワークのセキュリティ アーキテクチャが侵入者や攻撃者による内部ネットワークへのアクセスを阻止できない場合。この場合、侵入者や攻撃者が組織のドキュメントにアクセスする可能性が高まります。
機密情報ドキュメント (財務データ、プロジェクトの計画、プレゼンテーション、図面など) をインターネット経由で送信、受信、または共有することを組織がユーザーに許可している場合。
ラップトップ コンピュータを公衆ネットワークに接続することを組織がユーザーに許可している場合。この場合、特定できない攻撃者が、ユーザーのラップトップ コンピュータに保存されているドキュメントにアクセスするリスクが高まります。
機密情報を含むドキュメントをオフィス外に持ち出すことを組織がユーザーに許可している場合。
許可のない攻撃者や侵入者が機密情報を含むドキュメントにアクセスできる機会があると考えられる場合。
ドキュメントの脅威が組織にとってリスクになる場合は、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」を参照して、ドキュメントの脅威を軽減するために既定のセキュリティ設定を変更する必要があるかどうかを判断してください。
外部の脅威
外部の脅威には、イントラネットまたはインターネットなどの公衆ネットワークを経由してドキュメントを別のドキュメント、データベース、または Web サイトにリンクするあらゆる脅威因子が含まれます。外部の脅威を悪用する脅威因子は以下のとおりです。
ハイパーリンク 一般的に、攻撃者がこの脅威因子を悪用する場合、悪意のあるコードや内容を含む信頼されていないドキュメントまたは Web サイトへのハイパーリンクを作成します。
データ接続 一般的に、攻撃者がこの脅威因子を悪用する場合、データ ソースまたはデータベースへのデータ接続を作成し、そのデータ接続を使用して、悪意を持ってデータを操作したりデータを抽出したりします。
Web ビーコン 一般的に、攻撃者がこの脅威因子を悪用する場合、電子メール メッセージの中にリモート イメージへの非表示リンクを埋め込みます。ユーザーが電子メール メッセージを開くと、リンクがアクティブになり、リモート イメージをダウンロードします。その際、ユーザーの電子メール アドレスやユーザーのコンピュータの IP アドレスなどのユーザー情報がリモート コンピュータに送信される可能性があります。
パッケージャ オブジェクト 攻撃者がこの脅威因子を悪用する場合、埋め込みオブジェクトを使用して悪意のあるコードを実行します。
以下の場合、組織にとって外部の脅威がリスクになります。
インターネットなどの公衆ネットワークへの無制限のアクセスをユーザーに許可している場合。
埋め込みイメージおよび HTML を含む電子メール メッセージをユーザーが受信できる場合。
スプレッドシートまたはその他のドキュメント内のデータ接続をユーザーが使用できる場合。
外部の脅威が組織にとってリスクになる場合は、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」を参照して、外部の脅威を軽減するために既定のセキュリティ設定を変更する必要があるかどうかを判断してください。
Internet Explorer の脅威
Internet Explorer の脅威は、アプリケーションまたはドキュメントが、プログラムによって Internet Explorer の機能を使用する場合に発生します。Internet Explorer に存在するあらゆる脅威は、Internet Explorer をホストしているアプリケーションまたはドキュメントにも存在するため、Internet Explorer の脅威はアプリケーションとドキュメントにとってリスクになります。Internet Explorer の脅威は多数の脅威因子を含み、さまざまな種類のセキュリティ攻撃で悪用される可能性があります。このような脅威因子の例として、ActiveX コントロールのインストール、ファイルのダウンロード、Multipurpose Internet Mail Extensions (MIME) スニッフィング、ゾーン昇格、アドオンのインストールがあります。
以下の場合、組織にとって Internet Explorer の脅威がリスクになります。
Internet Explorer の機能を使用する ActiveX コントロール、アドイン、またはマクロをユーザーが実行できる場合。
Internet Explorer の機能を呼び出す Office ソリューションを開発し、配布する場合。
組織に Internet Explorer の脅威がある場合は、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」を参照して、Internet Explorer の脅威を軽減するために既定のセキュリティ設定を変更する必要があるかどうかを判断してください。
プライバシーの脅威
プライバシーの脅威には、個人情報または秘密情報を開示または公開するあらゆる脅威因子が含まれます。プライバシーの脅威は複数の脅威因子によって悪用される可能性がありますが、最も一般的な脅威因子は、メタデータと呼ばれる非表示のドキュメント データです。メタデータによって、ユーザーは作成者の名前、会社名、ドキュメントの編集時間、ドキュメントのバージョン番号などのドキュメントのプロパティを記録または追跡できます。ドキュメントからメタデータを削除することはできますが、メタデータが削除されていない場合は、ドキュメントを開いたすべてのユーザーがメタデータにアクセスできます。
また、コメント、変更履歴、注釈、カスタム XML データ、隠し文字、透かし、ヘッダーおよびフッター情報など、機密または固有の情報と見なされる追加のコンテンツがドキュメントに含まれている場合も、プライバシーの脅威が悪用される可能性があります。このコンテンツをドキュメントから削除しない限り、ドキュメントにアクセスできるすべてのユーザーが、追加コンテンツにもアクセスできます。
プライバシーの脅威に加えて、さまざまなアプリケーションの機能を有効にするか使用することによって、個人情報が開示または公開される可能性が生じる場合があります。これらの機能は脅威因子とは見なされませんが、組織が機密または固有の情報と考える個人情報や秘密情報が、これらの機能によって開示または公開される可能性があります。
プライバシーの詳細については、「2007 Microsoft Office system のプライバシーに関する声明」を参照してください。この声明には、セキュリティ センターから [プライバシー オプション] をクリックし、[プライバシーに関する声明を読む] をクリックしてアクセスできます。
ほとんどの組織は、プライバシーの脅威に直面しているか、秘密情報または個人情報の開示をアクティブに管理することを望んでいます。プライバシーの脅威を軽減するために、既定のプライバシー オプションを変更する必要があるかどうか、または既定のセキュリティ設定を変更する必要があるかどうかを判断するには、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」を参照してください。
セキュリティの脆弱性
セキュリティの脆弱性は、マイクロソフト セキュリティ情報やサービス パックなどのソフトウェア更新プログラムによって対処される、特殊な種類のセキュリティの脅威です。セキュリティの脆弱性には、以下のような広範囲の脅威因子が含まれます。
リモート コード実行
権限の昇格
情報公開
悪意のあるプログラマや悪意のあるユーザーが、さまざまなセキュリティ攻撃でセキュリティの脆弱性を悪用する可能性があります。セキュリティの脆弱性に対処するセキュリティ情報またはサービス パックがリリースされるまで、脆弱性は組織にとって潜在的な脅威になり得ます。セキュリティの脆弱性が組織にとって潜在的な脅威になる場合は、「2007 Office system の既定のセキュリティ設定およびプライバシー オプションを評価する」の「セキュリティの脆弱性に対する既定のセキュリティ設定を評価する」を参照して、セキュリティの脆弱性について既定のセキュリティ設定を変更する必要があるかどうかを判断してください。
このブックをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なブックに収められています。
入手できるすべてのブックの一覧については、「2007 Office リソース キットのダウンロード可能なブック」を参照してください。