Office 2013 の暗号化技術と暗号化設定の計画

 

適用先:Office 2013, Office 365 ProPlus

トピックの最終更新日:2016-12-16

概要: Office 2013 でデータを暗号化するのに使用できる設定について説明し、以前のバージョンの Office との互換性に関する情報を提供します。

対象ユーザー: IT 担当者

Office 2013 には、Access 2013、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2013、Word 2013 の使用時にデータを暗号化する方法を制御できる設定が含まれています。

この記事では、Office 2013 の暗号化技術と暗号化について説明し、データを暗号化するのに使用できる設定について説明します。また、以前のバージョンの Office との互換性に関する情報を提供します。Outlook 2013 については、Outlook 2010 での電子メール メッセージングの暗号化を計画する を参照してください。

 

Office セキュリティに導くロードマップの矢印。

この記事は、Office 2013 のセキュリティのガイドに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。

個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。

暗号化設定を計画する際には、次のことを考慮してください。

  • 組織のセキュリティ モデルで既定の設定とは異なる暗号化設定が必要になる場合を除き、既定の暗号化設定は変更しないことをお勧めします。

  • データを暗号化する際に強力なパスワードが使用されるようにパスワードの長さと複雑さを強化することをお勧めします。詳細については、Office 2013 のパスワードの複雑さの設定を計画する を参照してください。

  • RC4 暗号化は使用しないことをお勧めします。詳細については、この記事で後述する 以前のバージョンの Office との互換性 を参照してください。

  • ユーザーにドキュメントの暗号化を強制する管理設定はありません。ただし、ユーザーがドキュメントにパスワードを追加するのを禁止し、これによってドキュメントが暗号化されるのを防ぐ管理設定はあります。詳細については、この記事で後述する 暗号化技術と暗号化設定 を参照してください。

  • 信頼できる場所にドキュメントを保存しても暗号化設定には影響しません。ドキュメントを暗号化し、信頼できる場所に保存した場合も、ドキュメントを開く際にはパスワードが必要になります。

  • ユーザーがドキュメントをパスワードで保護できるようにし、後になってユーザーがパスワードを忘れた場合は、DocRecrypt ツールを使用してパスワードをリセットまたは削除することができます。詳細については、Office 2013 のファイルのパスワードを削除あるいはリセットします。 の記事を参照してください。

この記事の内容

Office で使用できる暗号化アルゴリズムは、Windows オペレーティング システムの API (アプリケーション プログラミング インターフェイス) を介してアクセスできるアルゴリズムによって決まります。Office 2013 には、Cryptography API (CryptoAPI) のサポートの維持に加えて、CNG (CryptoAPI: Next Generation) のサポートも含まれています。これは 2007 Microsoft Office system Service Pack 2 (SP2) から使用可能になっています。

CNG では、より機敏な暗号化が可能です。ホスト コンピューターでサポートされる暗号化およびハッシュ アルゴリズムは、ドキュメント暗号化プロセスで使用するように指定できます。また、CNG では暗号化の拡張が可能であり、サードパーティの暗号化モジュールを使用できます。

Office で CryptoAPI を使用する場合、暗号化アルゴリズムは、Windows オペレーティング システムに含まれる暗号化サービス プロバイダー (CSP) で使用できるアルゴリズムによって決まります。コンピューターにインストールされている CSP のリストは、次のレジストリ キーに含まれています。

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

2007 Office system SP2、Office 2010、Office 2013 では、次の CNG 暗号化アルゴリズム、またはシステムにインストールされている他の CNG 暗号拡張機能を使用できます。

AES、DES、DESX、3DES、3DES_112、RC2

2007 Office system SP2、Office 2010、Office 2013 では、次の CNG ハッシュ アルゴリズム、またはシステムにインストールされている他の CNG 暗号拡張機能を使用できます。

MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384、SHA512

Office 2013 には暗号化の実行方法を変更する設定もありますが、Open XML 形式ファイル (.docx, .xslx, .pptx など) を暗号化するのであれば、既定値、すなわち AES (高度暗号化標準)、キー長 128 ビット、SHA1、CBC (暗号ブロック チェーン) でも大部分の組織にとって申し分のない強力な暗号化が実現します。AES 暗号化は、利用できる最も強力な業界標準アルゴリズムであり、米国国家安全保障局 (NSA) により米国政府の標準の規格として採用されました。AES 暗号化は、Windows XP SP2、Windows Vista、Windows 7、Windows 8、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 でサポートされています。

次の表に、CryptoAPI にアクセスする Office バージョンで使用できる暗号化アルゴリズム設定を示します。これには Office 2013 までの Office バージョンが含まれています。

CryptoAPI で使用できる暗号化アルゴリズム設定

設定 説明

[パスワードで保護された Office Open XML ファイルの暗号化の種類]

利用可能な暗号化サービス プロバイダー (CSP) から Open XML ファイルの暗号化の種類を指定できます。この設定は、カスタム COM 暗号化アドインを使用する場合に必要になります。また、2007 Office system SP1 を使用する場合や、Word/Excel/PowerPoint 用 Microsoft Office 互換機能パックよりも古いバージョンの互換機能パックを使用する場合は、既定の暗号化アルゴリズムを別のアルゴリズムに変更するときに、この設定を使用する必要があります。

[パスワードで保護された Office 97-2003 ファイルの暗号化の種類]

利用可能な暗号化サービス プロバイダー (CSP) から Office 97–2003 (バイナリ) ファイルの暗号化の種類を指定できます。この設定の使用時にサポートされる暗号化アルゴリズムは RC4 のみです。このアルゴリズムの使用はお勧めしません。


Office 2013 で [パスワードで保護された Office Open XML ファイルの暗号化の種類] 設定を変更する必要がある場合、まず [暗号化の互換性を指定する] 設定を有効にし、次に [以前の形式を使用する] オプションをオンにします。[暗号化の互換性を指定する] 設定は、Access 2013、Excel 2013、PowerPoint 2013、Word 2013 で使用できます。

次の表に、Office 2013 の使用時に暗号化アルゴリズムの変更に使用できる設定を示します。これらの設定は、Access 2013、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2013、Word 2013 に適用されます。

メモメモ:
[CNG コンテキストにパラメーターを設定する] および [CNG 乱数ジェネレーター アルゴリズムを指定する] の設定を除き、以下のすべての設定は、CNG をサポートしない Windows XP SP3 など Office 2013 をサポートするオペレーティング システムの使用時に適用可能です。この場合、Office 2013 は CNG ではなく CryptoAPI を使用します。これらの設定は、Office 2013 で Open XML ファイルを暗号化するときのみ適用されます。

暗号化アルゴリズムを変更する設定

設定 説明

[CNG 暗号アルゴリズムを設定する]

使用する CNG 暗号アルゴリズムを構成できます。既定の設定は AES です。

[CNG 暗号チェーン モードを構成する]

使用する暗号チェーン モードを構成できます。既定の設定は [暗号ブロック チェーン (CBC)] です。

[CNG 暗号キーの長さを設定する]

暗号キーの作成に使用するビット数を構成できます。既定の設定は 128 ビットです。

[暗号化の互換性を指定する]

互換性の形式を指定できます。既定の設定は [次世代の形式を使用する] です。

[CNG コンテキストにパラメーターを設定する]

CNG コンテキストに使用する暗号化パラメーターを指定できます。この設定を使用するには、CNG (CryptoAPI: Next Generation) を使用して CNG コンテキストを事前に作成しておく必要があります。詳細については、CNG Cryptographic Configuration Functions を参照してください。

[CNG ハッシュ アルゴリズムを指定する]

使用するハッシュ アルゴリズムを指定できます。既定の設定は SHA1 です。

[CNG パスワードのスピン数を設定する]

パスワード検証をスピンする (リハッシュする) 回数を指定できます。既定の設定は 100000 回です。

[CNG 乱数ジェネレーター アルゴリズムを指定する]

使用する CNG 乱数ジェネレーターを構成できます。既定の設定は RNG (Random Number Generator) です。

[CNG ソルト長を指定する]

使用するソルトのバイト数を指定できます。ソルトとは、パスワードとハッシュに付加されるデータのことです。既定の設定は 16 です。


次の表に、Excel 2013、PowerPoint 2013、Word 2013 で構成できる CNG 設定を示します。

Excel 2013、PowerPoint 2013、および Word 2013 固有の CHG 設定

設定 説明

[パスワードの変更時に新しいキーを使用する]

パスワードを変更するときに新しい暗号キーの使用を指定できます。既定では、パスワードの変更時に新しいキーは使用しません。


次の表に示した設定を使用して、ユーザーがドキュメントにパスワードを追加しないように指定できます。これにより、ユーザーがドキュメントを暗号化するのを防ぎます。

ユーザーがドキュメントをパスワードで保護するのを防ぐ設定

設定 説明

[読み取りパスワードの UI を無効にする]

ドキュメントにパスワードを追加することを Office 2013 のユーザーに許可するかどうかを指定できます。既定では、ユーザーはパスワードを追加できます。


メモメモ:
Office カスタマイズ ツール (OCT) と Office 2013 管理用テンプレートにおけるセキュリティ設定の構成方法についての詳細は、「OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成」を参照してください。

Office ドキュメントを暗号化する必要がある場合は、Office 97–2003 形式 (.doc, .xls, .ppt など) ではなく Open XML 形式ファイル (.docx, .xlsx, .pptx など) でドキュメントを保存することをお勧めします。バイナリ ドキュメント (.doc, .xls, .ppt) の暗号化では RC4 が使用されます。ただし、これは、Office Document Cryptography Structure Specification の「Security Considerations」セクションの 4.3.2 および 4.3.3 に書かれているとおり推奨されません。以前の Office バイナリ形式で保存されたドキュメントは、以前のバージョンの Office との互換性を保つため、暗号化に使用できるのは RC4 のみとなります。Open XML 形式ファイルの暗号化には、既定であり、推奨暗号化アルゴリズムである AES が使用されます。

Office 2013、Office 2010、2007 Office system では、ドキュメントを Open XML 形式ファイルとして保存できます。また、Office XP または Office 2003 では、互換機能パックを使用してドキュメントを Open XML 形式ファイルとして保存できます。

Open XML 形式ファイルとして保存され、Office 2013 を使用して暗号化されたドキュメントを読むことができるのは、Office 2013、Office 2007 SP2、および Office 2007 SP2 互換機能パックを使用する Office 2003 のみです。Office の以前のすべてのバージョンとの互換性を確保するには、CompatMode と呼ばれるレジストリ キーを HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ の下に作成し (まだない場合)、そのレジストリ キーを 0 に設定して無効にすることができます。<application> に入力できる値は、このレジストリ キーで構成する対象の Office アプリケーションです。たとえば、Access、Excel、PowerPoint、または Word を入力できます。CompatMode0 に設定すると、Office 2013 を使用して Open XML 形式ファイルを暗号化するときに、Office 2013 は、既定で提供される強化されたセキュリティの代わりに Office 2007 互換の暗号化形式を使用することに注意してください。互換性の理由でこの設定を構成する必要がある場合、AES 暗号化など、セキュリティを強化できるサードパーティ製の暗号化モジュールも使用することをお勧めします。

Open XML 形式ファイルの暗号化に Word、Excel、PowerPoint のファイル形式用 Microsoft Office 互換機能パックを使用するには、次の点に注意してください。

  • 既定で、互換機能パックは、Open XML 形式ファイルの暗号化に次の設定を使用します。

    • [Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)、AES 128、128] (Windows XP Professional オペレーティング システム)

    • [Microsoft Enhanced RSA and AES Cryptographic Provider、AES 128、128] (Windows Server 2003 および Windows Vista オペレーティング システム)

  • ユーザーには、互換機能パックでこれらの暗号設定が使用されることは通知されません。

  • 互換機能パックをインストールした場合、Office の以前のバージョンのグラフィカル ユーザー インターフェイスでは、Open XML 形式ファイルの暗号化設定が正しく表示できません。

  • Office の以前のバージョンでは、グラフィカル ユーザー インターフェイスを使用して Open XML 形式ファイルの暗号化設定を変更できません。

表示: