• [アーティクル]

セキュリティの脅威と Office 2010 のセキュリティ対策を理解する

 

適用先: Office 2010

トピックの最終更新日: 2016-11-29

セキュリティ保護されたデスクトップ構成は、すべての組織の多層防御戦略において重要です。ただし、Microsoft Office 2010 を含むセキュリティ保護されたデスクトップ構成を計画するには、その前に、Office 2010 に関連するセキュリティのリスクと脅威を理解し、そのようなリスクと脅威のうち、組織のビジネス資産やビジネス プロセスにとってリスクとなるものを特定する必要があります。また、ユーザーの個人情報や秘密情報にとってリスクとなるプライバシーのリスクと脅威も特定する必要があります。

この記事の内容

  • 情報セキュリティのリスク

  • デスクトップ生産性向上アプリケーションに対する脅威

  • Office 2010 の既定のセキュリティ対策

情報セキュリティのリスク

多くの IT 担当者および IT セキュリティ スペシャリストは、情報セキュリティのリスクを大きく以下の 3 つに分類しています。

  • 機密性のリスク   このリスクは、組織内で話されたり、書かれたり、作成されたりする情報が、無許可のユーザーや悪意のあるコードからアクセスされることによって、組織の知的所有権が受ける脅威です。

  • 完全性のリスク   このリスクは、組織の重要なビジネス データの損傷を試みる無許可のユーザーや悪意のあるコードによって、ビジネス リソースが受ける脅威です。完全性のリスクでは、データベース サーバー、データ ファイル、電子メール サーバーなど、組織の重要な情報が含まれるビジネス資産を損失する可能性があります。

  • 可用性のリスク   このリスクは、業務やインフォメーション ワーカーの作業の妨害を試みる無許可のユーザーや悪意のあるコードによって、ビジネス プロセスが受ける脅威です。可用性のリスクによって、ビジネス インテリジェンス プロセス、アプリケーションの機能や能力、およびドキュメント ワークフロー プロセスはすべて、被害を受ける可能性があります。

この 3 種類すべてのリスクから組織を保護するには、多層防御セキュリティ戦略を採用することをお勧めします。このセキュリティ戦略には、無許可のユーザーや悪意のあるコードから保護する多重層の防御が含まれます。これには以下の層があります。

  • 境界ネットワークの保護 (ファイアウォール、プロキシ サーバーなど)

  • 物理的なセキュリティ対策 (物理的に保護されたデータ センター、サーバー ルームなど)

  • デスクトップ セキュリティ ツール (パーソナル ファイアウォール、ウイルス検索プログラム、スパイウェア検出プログラムなど)

組織の環境に Office 2010 が含まれている場合、Office 2010 から提供される軽減メカニズムも多層防御戦略に含める必要があります。このような軽減メカニズムとして、さまざまなテクノロジ、設定、および機能が用意されています。これらのメカニズムを利用すると、Office 2010 アプリケーションが受ける脅威を軽減し、ビジネスにとって重要な知的所有権、ビジネス リソース、およびビジネス プロセスを保護するのに役立ちます。

Office 2010 の既定のセキュリティ モデルは、組織における 3 種類のすべてのリスクの軽減に役立ちます。ただし、組織のインフラストラクチャの能力、生産性の要求度、デスクトップ セキュリティ要件は、組織ごとに異なります。それぞれの組織におけるビジネス リスクをどのように軽減できるかを明確に判断するには、そのリスクを悪用する脅威と脅威因子を評価する必要があります。

デスクトップ生産性向上アプリケーションに対する脅威

Office 2010 のセキュリティ モデルは、生産性向上ソフトウェアに対する 5 種類のセキュリティの脅威を軽減するのに役立ちます。これらの脅威のそれぞれに、さまざまなセキュリティ攻撃で悪用される可能性がある複数の脅威因子が含まれています。以下の図に、このようなセキュリティの脅威および一般的な脅威因子の例を示します。

セキュリティの脅威の種類

ほとんどの組織において、5 種類のセキュリティの脅威による潜在的なリスクがあります。ただし、組織における脅威因子と、セキュリティ攻撃や悪用を受ける潜在的リスクの組み合わせは、組織ごとに異なります。

アクティブ コンテンツの脅威

アクティブ コンテンツの脅威は、一般的なデスクトップ セキュリティの脅威です。典型的な脅威因子として、ActiveX コントロール、アドイン、VBA マクロがあります。これらの脅威因子は、悪意のあるコードやプログラムを作成し、それをユーザーのコンピューターで実行しようとするプログラマによって悪用される可能性があります。アクティブ コンテンツの脅威は、あらゆる規模の組織にとって潜在的なリスクとなり、特に、ユーザーが以下の操作を許可されている組織でリスクとなります。

  • ActiveX コントロール、アドイン、または VBA マクロを実行する。

  • 電子メールの添付ファイルを開く。

  • インターネットなどの公衆ネットワークを経由してドキュメントを共有する。

  • クライアント、ベンダー、パートナーなど、組織の外部にあるソースからのドキュメントを開く。

許可されないアクセスの脅威

許可されないアクセスの脅威は、無許可のユーザーから情報にアクセスされる場合に発生します。無許可のユーザーからアクセスされる可能性のある情報として、以下のものがあります。

  • ドキュメント ファイル   無許可のユーザーからドキュメント ファイルにアクセスされると、そのファイルが削除、改ざん、破壊される可能性があります。たとえば、悪意のあるプログラマが、ファイル形式を悪用した攻撃によって、ドキュメントに対する許可されないアクセスの脅威を悪用する可能性があります。

  • ドキュメント内の情報   このような情報として、テキスト、グラフィックス、コメント、変更履歴、注釈、カスタム XML データ、隠し文字、透かし、ヘッダーとフッターの情報などがあります。無許可のユーザーからドキュメント内の情報にアクセスされると、企業の機密データ、ユーザーの個人情報や秘密情報など、機密性の高いデータが入手される可能性があります。また、情報が改ざん、破壊、削除されたり、入手した情報を悪用して、信頼できる場所に保存されているドキュメントにアクティブ コンテンツが追加されたりする可能性もあります。

  • メタデータ   ドキュメントに関連付けられている情報です。作成者名、組織名、ドキュメント編集日時、ドキュメント バージョン番号などのドキュメント プロパティが含まれます。無許可のユーザーからメタデータにアクセスされると、個人や企業の機密性の高いデータが入手される可能性があります。メタデータが破壊または削除される可能性もあります。

ほとんどの組織において、許可されないアクセスの脅威がありますが、多くの組織では、その脅威を低く想定したり、軽減のための管理コストが高いと考えたりして、十分な軽減策を講じていません。このような認識は、以下のような安全でない業務慣習および環境につながる可能性があります。

  • 組織のネットワーク セキュリティ アーキテクチャで、侵入者や攻撃者による内部ネットワークへのアクセスを阻止できない。この場合、組織のドキュメントが侵入者や攻撃者からアクセスされる可能性が高まります。

  • 組織のユーザーが機密情報ドキュメント (財務データ、プロジェクトの計画、プレゼンテーション、図面など) をインターネット経由で送信、受信、または共有できる。

  • ポータブル コンピューターから公衆ネットワークへの接続を防止していない。この場合、ポータブル コンピューターに保存されているドキュメントが、特定できない攻撃者からアクセスされるリスクが高まります。

  • 機密情報が含まれるドキュメントを外部へ持ち出すことを防止していない。

  • 機密情報が含まれるドキュメントが、許可のない攻撃者や侵入者からアクセスされる余地がある。

外部コンテンツの脅威

外部コンテンツの脅威には、イントラネット経由またはインターネットなどの公衆ネットワーク経由でドキュメントを別のドキュメント、データベース、または Web サイトにリンクするあらゆる脅威因子が含まれます。外部コンテンツの脅威の悪用につながる脅威因子には以下のものがあります。

  • ハイパーリンク   一般に、攻撃者がこの脅威因子を悪用する場合、信頼されていないドキュメントまたは悪意のあるコードやコンテンツを含む Web サイトへのハイパーリンクを作成します。

  • データ接続   一般に、攻撃者がこの脅威因子を悪用する場合、データ ソースまたはデータベースへのデータ接続を作成し、そのデータ接続を使用してデータを不当に操作したり抽出したりします。

  • Web ビーコン   この脅威因子を悪用する一般的なシナリオでは、攻撃者は電子メール メッセージ内にリモート画像への非表示リンクを埋め込みます。そのような電子メール メッセージをユーザーが開くと、リンクがアクティブになり、リモート画像がダウンロードされます。その過程で、ユーザーの電子メール アドレス、ユーザーのコンピューターの IP アドレスなどのユーザー情報がリモート コンピューターに送信される可能性があります。

  • パッケージャー オブジェクト   攻撃者がこの脅威因子を悪用する場合、埋め込みオブジェクトを使用して悪意のあるコードを実行します。

以下の場合、組織にとって外部コンテンツの脅威がリスクになります。

  • インターネットなどの公衆ネットワークへの無制限のアクセスをユーザーに許可している場合。

  • 埋め込み画像および HTML が含まれる電子メール メッセージをユーザーが受信することを防止していない場合。

  • スプレッドシートまたはその他のドキュメント内のデータ接続をユーザーが使用することを防止していない場合。

ブラウザーの脅威

この脅威は、アプリケーションまたはドキュメントから Microsoft Internet Explorer などの Web ブラウザーの機能をプログラムによって使用する場合に発生します。ブラウザーに存在する脅威は、そのブラウザーをホストするアプリケーションやドキュメントにも存在することになるので、ブラウザーの脅威はアプリケーションとドキュメントにとってリスクになります。ブラウザーの脅威は多数の脅威因子を含み、さまざまな種類のセキュリティ攻撃で悪用される可能性があります。このような脅威因子の例として、ActiveX コントロールのインストール、ファイルのダウンロード、MIME スニッフィング、ゾーン昇格、アドオンのインストールがあります。

以下の場合、組織にとってブラウザーの脅威がリスクになります。

  • ブラウザーの機能を使用する ActiveX コントロール、アドイン、またはマクロをユーザーが実行できる場合。

  • ブラウザーの機能を使用する Office ソリューションを開発し、配布する場合。

ゼロデイ悪用の脅威

ゼロデイ悪用は、Microsoft のセキュリティ情報、サービス パックなどのソフトウェア更新プログラムによる対処がまだ行われていないセキュリティの脆弱性がある場合に発生する可能性があります。ゼロデイ悪用には、以下のようなさまざまな形態があります。

  • リモート コード実行

  • 権限の昇格

  • 情報漏えい

悪意のあるプログラマや悪意のあるユーザーが、さまざまなセキュリティ攻撃でセキュリティの脆弱性を悪用する可能性があります。セキュリティの脆弱性に対処するセキュリティ情報またはサービス パックがリリースされるまで、脆弱性は組織にとって潜在的な脅威になります。

Office 2010 の既定のセキュリティ対策

Office 2010 では、ビジネス資産とビジネス プロセスに対する脅威の軽減に役立つ多数のセキュリティ対策が用意されています。各セキュリティ対策は、セキュリティの脅威を軽減するセキュリティ機能またはセキュリティ コントロールです。通常、セキュリティ対策の動作は、Office カスタマイズ ツール (OCT) を使用して設定を構成する方法、または Office 2010 管理用テンプレートを使用してグループ ポリシーを介する方法によって、変更できます。

Office 2010 のセキュリティ対策の多くは、特定のアプリケーションの特定の種類の脅威を軽減します。たとえば、Microsoft InfoPath 2010 には、フォームに Web ビーコンが含まれている可能性があるときにユーザーに警告するセキュリティ対策があります。このセキュリティ対策の動作を変更するには、OCT で [InfoPath でフォームを開く場合のビーコン UI] 設定を構成するか、グループ ポリシーを使用します。

より広範な種類の脅威を軽減する各種アプリケーション共通のセキュリティ対策もあります。たとえば、保護されたビューの機能を使用すると、ユーザーは、信頼されていないドキュメント、プレゼンテーション、またはワークブックを開くとき、安全でないコンテンツや悪意のあるコードによる悪影響をコンピューターに受けることなく、内容を表示できます。このセキュリティ対策は、Microsoft Excel 2010、Microsoft PowerPoint 2010、Microsoft Word 2010 のほか、Microsoft Outlook 2010 で Excel 2013、PowerPoint 2013、Microsoft Visio 2010、および Word 2010 の添付ファイルをプレビューするときに使用されます。この機能の動作は、OCT で設定を構成するか、グループ ポリシーを使用して変更できます。

以下の各セクションでは、最もよく使用される Office 2010 のセキュリティ対策について説明します。

ActiveX コントロールの設定

ActiveX コントロールの設定を使用すると、ActiveX コントロールを無効にしたり、Office 2010 アプリケーションに ActiveX コントロールを読み込む動作を変更したりできます。既定では、信頼できる ActiveX コントロールは、保持された値を使用してセーフ モードで読み込まれ、ActiveX コントロールが読み込まれたことはユーザーに通知されません。信頼できない ActiveX コントロールの読み込みは、そのコントロールがどのようにマークされているか、およびそのコントロールに付随するファイルに VBA プロジェクトが存在するかどうかによって動作が異なります。信頼できない ActiveX コントロールの既定の動作は、以下のようになっています。

  • ActiveX コントロールが、安全な初期化 (SFI) としてマークされていて、VBA プロジェクトが含まれないドキュメントに含まれている場合、その ActiveX コントロールは、保持された値を使用してセーフ モードで読み込まれます。メッセージ バーは表示されず、その ActiveX コントロールの存在はユーザーに通知されません。このような動作になるには、ドキュメント内のすべての ActiveX コントロールが SFI としてマークされている必要があります。

  • ActiveX コントロールが、安全でない初期化 (UFI) としてマークされていて、VBA プロジェクトが含まれないドキュメントに含まれている場合、ActiveX コントロールが無効になっていることがメッセージ バーで通知されます。ただし、ユーザーは、メッセージ バーをクリックしてその ActiveX コントロールを有効にすることもできます。ユーザーが ActiveX コントロールを有効にすると、すべての ActiveX コントロール (UFI と SFI の両方) が、保持された値を使用してセーフ モードで読み込まれます。

  • UFI または SFI としてマークされている ActiveX コントロールが、VBA プロジェクトも含まれるドキュメントに含まれている場合、ActiveX コントロールが無効になっていることがメッセージ バーで通知されます。ただし、ユーザーは、メッセージ バーをクリックしてその ActiveX コントロールを有効にすることもできます。ユーザーが ActiveX コントロールを有効にすると、すべての ActiveX コントロール (SFI と UFI の両方) が、保持された値を使用してセーフ モードで読み込まれます。

重要

レジストリでキルビットが設定されている ActiveX コントロールは読み込まれず、どのような状況でも読み込めません。メッセージ バーは表示されず、その ActiveX コントロールの存在はユーザーに通知されません。

ActiveX コントロールの既定の動作を変更するには、「Office 2010 で ActiveX コントロールのセキュリティ設定を計画する」を参照してください。

アドインの設定

アドインの設定を使用すると、アドインを無効にしたり、信頼できる発行元によるアドインへの署名を必須としたり、アドインに関する通知を無効にしたりできます。既定では、インストールされ登録されているアドインは、ユーザー操作を必要としたり警告を表示したりすることなく実行できます。この既定の動作を変更するには、「Office 2010 のアドインのセキュリティ設定を計画する」を参照してください。

暗号化の設定

この設定は、Office 2010 の正式リリース時に使用できるようになる予定です。

データ実行防止の設定

データ実行防止 (DEP) の設定を使用すると、Office 2010 アプリケーションの DEP を無効にできます。DEP は、悪意のあるコードの実行を防止するためのハードウェアとソフトウェアのセキュリティ対策です。既定では、Office 2010 アプリケーションの DEP は有効になっており、この既定の設定を変更しないことをお勧めします。

デジタル署名の設定

この設定は、Office 2010 の正式リリース時に使用できるようになる予定です。

外部コンテンツの設定

外部コンテンツの設定を使用すると、Office 2010 アプリケーションから外部コンテンツにアクセスする動作を変更できます。外部コンテンツとは、リモートにアクセスされるあらゆる種類のコンテンツであり、データ接続、ワークブックのリンク、Web サイトや Web ドキュメントへのハイパーリンク、画像やメディアへのリンクなどがあります。既定では、外部コンテンツへのリンクが含まれるファイルをユーザーが開くと、そのリンクが無効になっていることがメッセージ バーで通知されます。ユーザーは、メッセージ バーをクリックしてリンクを有効にすることもできます。この既定の設定を変更しないことをお勧めします。

ファイル制限機能の設定

ファイル制限機能の設定を使用すると、特定の種類のファイルを開いたり保存したりすることを防止できます。この設定を使用して、特定の種類のファイルを、保護されたビューで開くまたは開かないようにすることもできます。既定では、Excel 2013、PowerPoint 2013、および Word 2010 では、一部の種類のファイルは強制的に、保護されたビューのみで開かれます。ユーザーは、このようなファイルを編集用に開くことはできません。

Office ファイル検証の設定

Office ファイル検証の設定を使用すると、Office ファイル検証機能を無効にしたり、Office ファイル検証機能で失敗したファイルの処理方法を変更したりできます。この設定を使用して、検証情報を Microsoft に送信するかどうかを確認するダイアログ ボックスが Office ファイル検証機能から表示されないようにすることもできます。既定では、Office ファイル検証機能は有効になっています。検証で失敗したファイルは、保護されたビューで開かれ、ユーザーは、ファイルが保護されたビューで開かれた後、そのファイルを編集できます。Office ファイル検証の設定の詳細については、「Office 2010 の Office ファイル検証の設定を計画する」を参照してください。

パスワードの複雑さの設定

パスワードの複雑さの設定を使用すると、"パスワードを使用して暗号化" 機能で使用されるパスワードに、パスワードの長さと複雑さを適用できます。パスワードの複雑さの設定によって適用されるパスワードの長さと複雑さは、組織においてパスワードの複雑さのルールがドメインベースのグループ ポリシーによって適用されている場合にはドメイン レベルで適用でき、組織においてパスワードの複雑さのドメインベースのグループ ポリシーが実装されていない場合にはローカル レベルで適用できます。既定では、ユーザーが Office 2010 アプリケーションの "パスワードを使用して暗号化" 機能を使用してファイルを暗号化するときに、パスワードの長さや複雑さは検査されません。

プライバシー オプション

プライバシー オプションを使用すると、ユーザーが Office 2010 を初めて起動したときに表示される [Microsoft Office 2010 へようこそ] ダイアログ ボックスが表示されないようにすることができます。このダイアログ ボックスを使用すると、ユーザーは、Office 2010 アプリケーションの保護および向上に役立つさまざまなインターネットベース サービスに登録できます。プライバシー オプションを使用して、[Microsoft Office 2010 へようこそ] ダイアログ ボックスに表示されるインターネットベース サービスを有効にすることもできます。既定では、ユーザーが Office 2010 を初めて起動したときに [Microsoft Office 2010 へようこそ] ダイアログ ボックスが表示され、ユーザーは、推奨インターネットベース サービスを有効にしたり、それらのサービスの一部を有効にしたり、構成を変更しないままにしたりできます。ユーザーが構成を変更しなかった場合は、以下の既定の設定が有効になります。

  • Office 2010 アプリケーションでは、更新されたヘルプ コンテンツ取得用の Office.com への接続は行われません。

  • Office 2010 アプリケーションでは、問題の診断に役立つ小規模なプログラムのダウンロードは行われず、エラー メッセージ情報は Microsoft に送信されません。

  • ユーザーはカスタマー エクスペリエンス向上プログラムに登録されません。

  • ユーザーがヘルプ システムから検索クエリを実装する場合、インストールされている Office 2010 アプリケーションに関する情報は Microsoft へ送信されません (この情報を送信すると、Office.com の検索結果が向上します)。

この既定の動作を変更したり、[Microsoft Office 2010 へようこそ] ダイアログ ボックスが表示されないようにしたりするには、「Office 2010 のプライバシー オプションを計画する」を参照してください。

保護されたビューの設定

保護されたビューの設定を使用すると、保護されたビューでファイルを開かないようにしたり、常に、保護されたビューでファイルを開くようにしたりできます。また、セッション 0 で実行されるスクリプトおよびプログラムを、保護されたビューで開くように指定することもできます。既定では、保護されたビューは有効になっており、信頼されていないファイルはすべて、保護されたビューで開かれます。セッション 0 で実行されるスクリプトおよびプログラムは、保護されたビューでは開かれません。保護されたビューの設定の詳細については、「Office 2010 の保護されたビューの設定を計画する」を参照してください。

注意

ファイル制限機能の設定を使用して、特定の種類のファイルを、保護されたビューで開くまたは開かないようにすることもできます。

信頼済みドキュメントの設定

信頼済みドキュメントの設定を使用すると、"信頼済みドキュメント" 機能を無効にして、ネットワーク共有に格納されているドキュメントをユーザーが信頼しないようにすることができます。信頼済みドキュメントを開くときは、ほとんどのセキュリティ チェックが省略され、すべてのアクティブ コンテンツが有効になります (ウイルス検査と ActiveX キルビット検査は省略できません)。既定では、"信頼済みドキュメント" 機能は有効になっており、ユーザーは安全なファイルを信頼済みドキュメントとして指定できます。また、ネットワーク共有にあるファイルをユーザーが信頼済みドキュメントとして指定することもできます。これらの既定の設定を変更しないことをお勧めします。

信頼できる場所の設定

信頼できる場所の設定を使用すると、ファイルの場所として安全な場所を指定できます。信頼できる場所に格納されているファイルを開くときは、ほとんどのセキュリティ検査が省略され、そのファイル内のすべてのコンテンツが有効になります (ウイルス検査と ActiveX キルビット検査は省略できません)。既定では、信頼できる場所にする場所が指定されています。また、共有フォルダーなど、ネットワーク上の信頼できる場所は無効になっています。この既定の動作を変更したり、信頼できる場所として既定で指定されている場所を確認したりするには、「Office 2010 の信頼できる場所の設定を計画する」を参照してください。

信頼できる発行元の設定

信頼できる発行元の設定を使用すると、ActiveX コントロール、アドイン、VBA マクロなど、特定の種類のアクティブ コンテンツを安全なものとして指定できます。アクティブ コンテンツが発行元によってデジタル証明書で署名されている場合、その発行元のデジタル証明書を、信頼できる発行元の一覧に追加すると、そのアクティブ コンテンツは信頼できるものと見なされます。既定では、信頼できる発行元の一覧にどの発行元も追加されていません。このセキュリティ機能を実装するには、信頼できる発行元の一覧に発行元を追加する必要があります。信頼できる発行元の機能を実装するには、「Office 2010 での信頼できる発行元の設定を計画する」を参照してください。

VBA マクロの設定

VBA マクロの設定を使用すると、VBA マクロの動作を変更したり、VBA を無効にしたり、プログラムによって起動されたアプリケーションにおける VBA マクロの動作を変更したりできます。既定では、VBA は有効になっており、信頼できる VBA マクロは、ユーザーに通知することなく実行できます。信頼できる VBA マクロとは、信頼できる発行元によって署名された VBA マクロ、信頼済みドキュメント内にある VBA マクロ、信頼できる場所にある VBA マクロです。信頼できない VBA マクロは無効になりますが、ユーザーはメッセージ バーによる通知を使用して、信頼できない VBA マクロを有効にできます。また、プログラムによって起動されたアプリケーション内の VBA マクロは実行できます。

この既定の動作を変更するには、「Office 2010 の VBA マクロのセキュリティ設定を計画する」を参照してください。