Office 2013 の信頼できる場所の設定の計画および構成

[アーティクル]
12/18/2017

適用先: Office 365 ProPlus

トピックの最終更新日: 2016-12-16

概要: Office 2013 の信頼できる場所機能を使用して、安全なファイルと問題を起こす可能性のあるファイルを区別する方法について説明します。

対象ユーザー: IT 担当者

安全なファイルと問題を起こす可能性のあるファイルを区別するには、Office 2013 の信頼できる場所機能を使用できます。信頼できる場所機能では、ユーザーのコンピューターのハードディスク上またはネットワーク共有上の信頼できるファイルソースを指定できます。フォルダーを信頼できるファイルソースとして指定すると、そのフォルダーに保存されているファイルはすべて信頼できるファイルであると見なされます。信頼できるファイルを開くと、そのファイル内のすべてのコンテンツが有効でアクティブになり、ファイルに含まれている可能性のあるリスクに関してユーザーには通知されません。このリスクとしては、たとえば、署名されていないアドインや Microsoft Visual Basic for Applications (VBA) マクロ、インターネット上のコンテンツへのリンク、データベース接続などがあります。

Office セキュリティに導くロードマップの矢印。

この記事は、Office 2013 のセキュリティのガイドに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。

個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。

この記事の内容

Office 2013 の信頼できる場所の設定を計画する
Office 2013 の信頼できる場所を実装する
信頼できる場所を無効にする

Office 2013 の信頼できる場所の設定を計画する

Office 2013 には、信頼できる場所機能の動作を制御するいくつかの設定が用意されています。これらの設定を構成すると、以下の操作を行うことができます。

信頼できる場所をグローバルに、またはアプリケーション単位で指定する。
ネットワーク共有を信頼できる場所にすることを許可する。
ユーザーが信頼できる場所を指定できないようにする。
信頼できる場所機能を無効にする。

信頼できる場所機能を使用できるアプリケーションは、Access 2013、Excel 2013、InfoPath 2013、PowerPoint 2013、Visio 2013、および Word 2013 です。

信頼できる場所機能の既定の構成は次のとおりです。

信頼できる場所機能は有効です。
ユーザーはネットワーク共有を信頼できる場所として指定することはできませんが、この設定をセキュリティセンターで変更することはできます。信頼できる場所に関するユーザーへの説明とセキュリティセンターの他のユーザーオプションについては、「セキュリティセンターのオプションと設定を表示する」を参照してください。
ユーザーは、信頼できる場所の一覧にフォルダーを追加できます。
信頼できる場所の指定には、ユーザー定義とポリシー定義の両方の信頼できる場所を使用できます。

また、Office 2013 の既定のインストールでは、複数のフォルダーが信頼できる場所として指定されています。各アプリケーションの既定のフォルダーを以下の表に示します。(InfoPath 2013 と Visio 2013 には既定の信頼できる場所はありません。)

Access 2013 の信頼できる場所

次の表に、Access 2013 の既定の信頼できる場所を示します。

Access 2013 の既定の信頼できる場所

既定の信頼できる場所	フォルダーの説明	サブフォルダーも信頼できるか
Program Files\Microsoft Office 15\Root\Office15\ACCWIZ	ウィザードデータベース	いいえ (許可しない)

Excel 2013 の信頼できる場所

次の表に、 Excel 2013 の既定の信頼できる場所を示します。

Excel 2013 の既定の信頼できる場所

既定の信頼できる場所	フォルダーの説明	サブフォルダーも信頼できるか
Program Files\Microsoft Office 15\Root\Templates	アプリケーションテンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Templates	ユーザテンプレート	いいえ (許可しない)
Program Files\Microsoft Office 15\Root\Office15\XLSTART	Excel スタートアップ	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART	ユーザーのスタートアップ	いいえ (許可しない)
Program Files\Microsoft Office 15\Root\Office15\STARTUP	Office スタートアップ	はい (許可)
Program Files\Microsoft Office 15\Root\Office15\Library	アドイン	はい (許可)

PowerPoint 2013 の信頼できる場所

次の表に、 PowerPoint 2013 の既定の信頼できる場所を示します。

PowerPoint 2013 の既定の信頼できる場所

既定の信頼できる場所	フォルダーの説明	サブフォルダーも信頼できるか
Program Files\Microsoft Office 15\Root\Templates	アプリケーションテンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Templates	ユーザテンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Addins	アドイン	いいえ (許可しない)
Program Files\Microsoft Office 15\Root\Document Themes 15	アプリケーションテーマ	はい (許可)

Word 2013 の信頼できる場所

次の表に、 Word 2013 の既定の信頼できる場所を示します。

Word 2013 の既定の信頼できる場所

既定の信頼できる場所	フォルダーの説明	サブフォルダーも信頼できるか
Program Files\Microsoft Office 15\Root\Templates	アプリケーションテンプレート	はい (許可)
Users\user_name\Appdata\Roaming\Microsoft\Templates	ユーザテンプレート	いいえ (許可しない)
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup	ユーザーのスタートアップ	いいえ (許可しない)

注意

Office カスタマイズツール (OCT) と Office 2013 管理用テンプレートにおけるセキュリティ設定の構成方法についての詳細は、「OCT またはグループポリシーを使用した Office 2013 のセキュリティの構成」を参照してください。

Office 2013 の信頼できる場所を実装する

信頼できる場所を実装するには、次の項目を決定する必要があります。

信頼できる場所の構成対象となるアプリケーション
信頼できる場所として指定するフォルダー
信頼できる場所に適用するフォルダーの共有とフォルダーのセキュリティ設定
信頼できる場所に適用する制限

信頼できる場所の構成対象となるアプリケーションを決定する

信頼できる場所の構成対象となるアプリケーションを決定するには、以下のガイドラインを参考にしてください。

信頼できる場所は、ファイル内の全コンテンツに影響します。これには、アドイン、ActiveX コントロール、ハイパーリンク、データソースやメディアへのリンク、VBA マクロなどが含まれます。さらに、信頼できる場所から開いたファイルは、ファイル検証チェックやファイルブロックチェックの対象にならず、保護されたビューでは開かれません。
各アプリケーションに、信頼できる場所の構成に対して同じ設定が用意されています。これは、それぞれのアプリケーションで、信頼できる場所を個別にカスタマイズできることを意味します。
1 つ以上のアプリケーションで信頼できる場所を無効にし、他のアプリケーションに信頼できる場所を実装することができます。

信頼できる場所として指定するフォルダーを決定する

信頼できる場所として指定するフォルダーを決定するには、以下のガイドラインを参考にしてください。

信頼できる場所は、アプリケーション単位で、またはグローバルに指定できます。
1 つ以上のアプリケーションで、信頼できる場所を共有できます。
悪意のあるユーザーが、信頼できる場所にファイルを追加したり信頼できる場所に保存されているファイルを変更するのを防止するために、信頼できる場所として指定するすべてのフォルダーにオペレーティングシステムのセキュリティの設定を適用する必要があります。
既定では、ユーザーのハードディスクに対してのみ信頼できる場所を指定できます。ネットワーク共有上の信頼できる場所を有効にするには、[プライベートネットワーク上にある信頼できる場所を許可する (推奨しません)] の設定を有効にする必要があります。
C ドライブのようなルートフォルダーや [ドキュメント] フォルダーまたは [マイドキュメント] フォルダー全体を信頼できる場所として指定することはお勧めしません。代わりに、これらのフォルダー内にサブフォルダーを作成し、そのサブフォルダーのみを信頼できる場所と指定します。

また、必要に応じ、以下に示すガイドラインに従ってください。

環境変数を使用して信頼できる場所を指定する。
Web フォルダー (http:// 形式のパス) を信頼できる場所として指定する。

環境変数を使用して信頼できる場所を指定する

グループポリシーと OCT を使用すると、環境変数で信頼できる場所を指定できます。ただし、OCT で環境変数を使用するときは、環境変数が正しく機能するように、信頼できる場所の格納に使用するレジストリの値の種類を変更する必要があります。環境変数を使用して信頼できる場所を指定してもレジストリに対して必要な変更を加えないと、セキュリティセンターに信頼できる場所は表示されますが、環境変数を含む相対パスとして表示されるので、それは使用できません。レジストリの値の種類を変更すれば、信頼できる場所がセキュリティセンターに絶対パスとして表示され、それを使用できます。

注意

すべての Office 2013 スイートで、マウス、キーボードショートカット、またはタッチを使用してタスクを実行できます。Office 製品およびサービスでキーボードショートカットとタッチを使用する方法については、「キーボードショートカット」と「Office タッチガイド」を参照してください。

環境変数を使用して信頼できる場所を指定する

レジストリエディターを使用して、環境変数で表されている信頼できる場所を見つけます。

レジストリエディターを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「regedit」と入力して、[OK] をクリックします。

または、Windows 8 と Windows 8.1 のどちらかを使用している場合は、右からスワイプしてチャームを表示し、[検索] チャームを選択して、「regedit」と入力します。

OCT を使用して構成された信頼できる場所は、次の場所に格納されます。

HKEY_CURRENT_USER/Software/Microsoft/Office/15.0/application_name/Security/Trusted Locations

ここで、application_name には、Access、Excel、PowerPoint、Visio、または Word を指定できます。

信頼できる場所は Path という名前のレジストリエントリに格納され、値の種類は文字列値 (REG_SZ) に設定されます。各 Path エントリを探して、環境変数を使用して信頼できる場所を指定していることを確認してください。
Path の値の種類を変更します。

Office 2013 のアプリケーションは、値の種類が文字列値 (REG_SZ) として格納されている環境変数を認識できません。アプリケーションが環境変数を認識するには、Path エントリの値の種類を展開可能な文字列値 (REG_EXPAND_SZ) に変更する必要があります。この手順は、次のとおりです。
1. Path エントリの値をメモするかコピーします。このパスは、1 つ以上の環境変数が含まれた相対パスであることが必要です。
2. Path エントリを削除します。
3. 種類が展開可能な文字列値 (REG_EXPAND_SZ) の Path エントリを作成します。
4. 最初の手順でメモするかコピーしたものと同じ値になるように、新しい Path エントリを変更します。
環境変数を使用して信頼できる場所を指定している Path エントリごとにこの変更を実行してください。

Web フォルダーを信頼できる場所として指定する

Web フォルダー (http:// 形式のパス) を信頼できる場所として指定できます。ただし、Web Distributed Authoring and Versioning (WebDAV) プロトコルまたは FrontPage Server Extensions Remote Procedure Call (FPRPC) プロトコルをサポートする Web フォルダーだけが信頼できる場所として認識されます。Web フォルダーが WebDAV プロトコルまたは FPRPC プロトコルをサポートしているかどうかが不明の場合は、以下のガイドラインに従ってください。

アプリケーションが Internet Explorer で開かれる場合、最近使用したファイルの一覧を確認します。最近使用したファイルの一覧に、インターネット一時ファイルのフォルダーではなくリモートサーバー上にあるファイルが表示される場合、Web フォルダーはいずれかの形式の WebDAV をサポートしている可能性があります。たとえば、Internet Explorer で参照しているときにドキュメントをクリックし、それが Word 2013 で開く場合、そのドキュメントがローカルのインターネット一時ファイルのフォルダーではなくリモートサーバー上にあることが、最近使用したファイルの一覧に表示されます。
[開く] ダイアログボックスを使用して Web フォルダーを参照してみます。そのパスが WebDAV をサポートしている場合は、Web フォルダーを参照できるか、資格情報の確認画面が表示されます。Web フォルダーが WebDAV をサポートしていない場合は、そのフォルダーの参照に失敗してダイアログボックスが閉じます。

注意

SharePoint Server 2013 を使用して作成したサイトは、信頼できる場所として指定できます。

信頼できる場所フォルダーの共有とセキュリティの設定を決定する

信頼できる場所として指定するすべてのフォルダーをセキュリティ保護する必要があります。以下のガイドラインに従って、それぞれの信頼できる場所に適用する必要のある共有の設定とセキュリティの設定を決定します。

フォルダーを共有する場合は、許可されているユーザーだけが共有フォルダーにアクセスできるように共有アクセス許可を構成します。最小限の特権の原則を使用して、ユーザーに適したアクセス許可を供与します。つまり、信頼できるファイルを変更する必要のないユーザーには読み取りアクセス許可を与え、信頼できるファイルを変更する必要のあるユーザーにはフルコントロールのアクセス許可を与えます。
許可されているユーザーだけが信頼できる場所にあるファイルを読み取りまたは変更できるようにするには、フォルダーのセキュリティのアクセス許可を適用します。最小限の特権の原則を使用して、ユーザーに適したアクセス許可を供与します。つまり、ファイルを変更する必要のあるユーザーにのみフルコントロールのアクセス許可を与え、ファイルの読み取りのみが必要なユーザーにはより制限の多いアクセス許可を供与します。

信頼できる場所に対する制限を決定する

Office 2013 には、信頼できる場所の動作を制限または制御するいくつかの設定が用意されています。以下のガイドラインに従って、設定の構成方法を決定してください。

グループポリシー設定名: ポリシー定義とユーザー定義の場所の混在を許可する

説明: この設定は、信頼できる場所をユーザー、OCT、およびグループポリシーから定義することを許可するか、それともグループポリシーだけで定義しなければならないかを制御します。既定では、ユーザーが任意の場所を信頼できる場所として指定でき、コンピューターでユーザー定義、OCT 定義、およびグループポリシー定義の信頼できる場所を混在させることができます。
影響: この設定を無効にした場合、グループポリシー以外で作成されたすべての信頼できる場所が無効になり、ユーザーはセキュリティセンターで信頼できる場所を新たに作成できなくなります。この設定を無効にすると、ユーザーがセキュリティセンターで信頼できる場所を独自に定義している場合に、混乱を招くことがあります。アプリケーションは、このような場所を他の信頼できない場所と同様に扱うので、ユーザーがファイルを開くとき、メッセージバーに ActiveX コントロールや VBA マクロなどのコンテンツに関する警告が表示され、ユーザーはコントロールやマクロを有効にするか、それともそれらを無効なままにしておくかを選択する必要があります。これは信頼できる場所の構成対象となるすべてのアプリケーションに適用されるグローバルな設定です。
ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を無効にします。デスクトップの構成をグループポリシーで管理しているような組織では、通常、この設定を無効にします。

グループポリシー設定名: ネットワーク上の信頼できる場所を許可する

説明: この設定は、ネットワーク上の信頼できる場所の使用を許可するかどうかを制御します。ネットワーク共有上の信頼できる場所は既定で無効になっています。しかし、ユーザーはセキュリティセンターで [プライベートネットワーク上にある信頼できる場所を許可する (推奨しません)] チェックボックスをオンにすれば、ネットワーク共有を信頼できる場所として指定できます。これはグローバルな設定ではありません。この設定は、Access 2013、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2013 の場合は、アプリケーション単位で構成する必要があります。
影響: この設定を無効にすると、ネットワーク共有上のすべての信頼できる場所が無効になり、セキュリティセンターでユーザーが [プライベートネットワーク上にある信頼できる場所を許可する (推奨しません)] チェックボックスをオンにできなくなります。この設定を無効にすると、ユーザーがセキュリティセンターで信頼できる場所を独自に定義している場合に、混乱を招くことがあります。この設定を無効にして、ネットワーク共有を信頼できる場所として指定しようとすると、現在のセキュリティ設定ではリモートパスまたはネットワークパスを使用した信頼できる場所の作成は許可されていないという警告が表示されます。管理者がネットワーク共有をグループポリシーまたは OCT を使用して信頼できる場所として指定する場合、この設定を無効にすると、その信頼できる場所は無効になります。アプリケーションは、このような場所を他の信頼できない場所と同様に扱うので、ユーザーがファイルを開くとき、メッセージバーに ActiveX コントロールや VBA マクロなどのコンテンツに関する警告が表示され、ユーザーはコントロールやマクロを有効にするか、それともそれらを無効なままにしておくかを選択する必要があります。
ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を無効にします。

注意

[Office カスタマイズツールによって書き込まれた信頼できる場所を、インストール中にすべて削除する] の設定を使用して、OCT で構成して作成したすべての信頼できる場所を削除することもできます。

Office 2013 の信頼できる場所を無効にする

Office 2013 には、信頼できる場所機能を無効にする設定があります。この設定は、Access 2013、Excel 2013、PowerPoint 2013、Visio 2013、および Word 2013 の場合は、アプリケーション単位で構成する必要があります。この設定を使用するかどうかは、以下のガイドラインに従って判断してください。

グループポリシー設定名: すべての信頼できる場所を無効にする

説明: この設定は、信頼できる場所機能をアプリケーション単位で無効にできるようにします。信頼できる場所機能は既定では有効になっており、ユーザーは信頼できる場所を作成できます。
影響: この設定を有効にすると、次のような信頼できる場所がすべて無効になります。
- セットアップ時に既定で作成された信頼できる場所
- OCT を使用して作成された信頼できる場所
- ユーザーがセキュリティセンターで作成した信頼できる場所
- グループポリシーを使用して作成された信頼できる場所

この設定を有効にすると、ユーザーは、セキュリティ センターで信頼できる場所の設定を構成することもできなくなります。この設定を有効にする場合は、信頼できる場所機能が使用できなくなることがユーザーに通知されるようにしてください。ユーザーが信頼できる場所のファイルを開いている場合、この設定を有効にすると、ユーザーのメッセージ バーに警告が表示され、ユーザーはメッセージ バーの警告に応答して ActiveX コントロール、アドイン、VBA マクロなどのコンテンツを有効にする操作が必要になることがあります。

ガイドライン: セキュリティ環境の制限が厳しい組織では、通常、この設定を有効にします。

注意

ポリシー設定に関する最新情報は、Excel 2013 ブック Office2013GroupPolicyAndOCTSettings_Reference.xlsx を参照してください。このブックは、Office 2013 管理用テンプレートファイルに含まれています。詳細については、TechNet の記事「Office 2013 のグループポリシー管理用テンプレートファイル (ADMX、ADML) および Office カスタマイズツール (OCT) ファイル」を参照してください。