Office 2013 の Office ファイル検証機能設定を計画する

 

適用先:Office 365 ProPlus, Office client

トピックの最終更新日:2016-12-16

概要: Office ファイル検証設定によって Office 2013 でファイル形式攻撃を防ぐ方法を説明します。

対象ユーザー: IT 担当者

Office ファイル検証機能は、Office 2013 のセキュリティ機能であり、Office バイナリ ファイル形式を Excel 2013、PowerPoint 2013、Word 2013 で開く前にスキャンするので、ファイル形式攻撃を防ぐのに役立ちます。Office ファイル検証機能設定を構成して、Office 2013 による Microsoft Office バイナリ ファイル形式で保存されたファイルの検証方法を変更できます。

 

Office セキュリティに導くロードマップの矢印。

この記事は、Office 2013 のセキュリティのガイドに含まれています。このロードマップは、Office 2013のセキュリティの評価に役立つ記事、ダウンロード、ポスター、ビデオなどを参照する際の出発点として使用します。

個々の Office 2013 アプリケーションのセキュリティ情報をお探しの場合は、Office.com で "2013 セキュリティ" を検索してください。

この記事の内容

Office ファイル検証機能は、ファイル形式攻撃やファイル ファジング攻撃として知られる悪用を検出して防ぎます。ファイル形式攻撃はファイルの完全性を悪用します。この攻撃は、何者かが悪意のあるコードを追加する目的でファイルの構造を変更したときに発生します。悪意のあるコードの多くは、リモートで実行され、コンピューター上で制限されたアカウントの特権を昇格させるために使用されます。その結果、攻撃者はこれまでアクセスしたことのないコンピューターへのアクセス権を手に入れることができます。これにより、攻撃者は、コンピューターのハード ディスク ドライブから機密情報を読み取ったり、ワームやキー ロギング プログラムなどのマルウェアをインストールしたりできます。Office ファイル検証機能は、ファイルを開く前にスキャンと検証を実行するので、ファイル形式攻撃を防ぐのに役立ちます。ファイルを検証するために、Office ファイル検証機能はファイルの構造と事前に定義されたファイル スキーマを比較します。ファイル スキーマとは、読み取り可能なファイルの構造を特定する一連のルールです。Office ファイル検証機能でファイルの構造がスキーマに記述されたルールに 1 つでも従っていないことが検出された場合、そのファイルの検証は不合格になります。

ファイル形式攻撃は、Office バイナリ ファイル形式で保存されたファイルで最もよく発生します。そのため、Office ファイル検証機能は、次の種類のファイルをスキャンして検証します。

  • Excel 97-2003 ブック ファイル。これらのファイルの拡張子は .xls で、すべての Binary Interchange File Format 8 (BIFF8) ファイルが含まれます。

  • Excel 97-2003 テンプレート ファイル。これらのファイルの拡張子は .xlt で、すべての BIFF8 ファイルが含まれます。

  • Microsoft Excel 5.0/95 ファイル。これらのファイルの拡張子は .xls で、すべての BIFF5 ファイルが含まれます。

  • PowerPoint 97-2003 プレゼンテーション ファイル。これらのファイルの拡張子は .ppt です。

  • PowerPoint 97-2003 スライド ショー ファイル。これらのファイルの拡張子は .pps です。

  • PowerPoint 97-2003 テンプレート ファイル。これらのファイルの拡張子は .pot です。

  • Word 97-2003 文書ファイル。これらのファイルの拡張子は .doc です。

  • Word 97-2003 テンプレート ファイル。これらのファイルの拡張子は .dot です。

Office 2013 は、Office ファイル検証機能の動作を変更するいくつかの設定を提供します。これらの設定を使用して以下のことを実行できます。

  • Office ファイル検証機能を無効にする。

  • ファイル検証に失敗した場合のドキュメントの処理を指定する。

  • Office 2013 が Office ファイル検証機能情報を Microsoft に送信しないようにする。

メモメモ:
Office カスタマイズ ツール (OCT) と Office 2013 管理用テンプレートにおけるセキュリティ設定の構成方法についての詳細は、「OCT またはグループ ポリシーを使用した Office 2013 のセキュリティの構成」を参照してください。

Excel 2013、PowerPoint 2013、Word 2013 では、既定で、Office ファイル検証機能が有効になっています。検証に合格しなかったファイルはすべて保護ビューで開かれます。ユーザーは、これらのファイルの編集を有効にすることができます。また、Office ファイル検証機能情報を Microsoft に送信するかどうか尋ねられます。ユーザーが同意した場合は、検証に合格しなかったファイルに関する情報だけが収集され、Microsoft に送信されます。

Office ファイル検証機能の既定の設定を変更しないことをお勧めします。ただし、組織によっては、特殊なセキュリティ要件を満たすように Office ファイル検証機能設定を構成しなければならない場合があります。特に、以下の種類の組織には、Office ファイル検証機能の既定の設定を変更しなければならないセキュリティ要件が適用されます。

  • インターネットへのアクセスを制限している組織。 Office ファイル検証機能は、検証エラー情報を約 2 週間ごとに Microsoft に送信するように提案します。これが、組織のインターネット アクセス ポリシーに違反する可能性があります。その場合は、Office ファイル検証機能が Microsoft に情報を送信しないように選択することができます。詳細については、後述する「Office 2013 で Office ファイル検証機能をオフにする」を参照してください。

  • セキュリティ環境が非常に厳重な組織。Office ファイル検証機能を構成して、 検証に合格しなかったファイルは開くことができない、または、保護ビューでしか開けないようにできます。これは、Office ファイル検証機能の既定の設定よりも厳しく、ロックダウンされたセキュリティ環境を有する組織に適しています。ドキュメント処理の変更方法については、後述する「Office 2013 で検証に失敗した場合のドキュメントの処理を変更する」を参照してください。

  • ファイルを Microsoft に送信したくない組織。 ユーザーが許可した場合、Office ファイル検証機能は検証に合格しなかったすべてのファイルのコピーを Microsoft に送信します。Office ファイル検証機能を構成して、ユーザーが検証情報を Microsoft へ送信するかどうか尋ねるプロンプトが出ないようにできます。

[ファイル検証機能をオフにする] 設定を使用して、Office ファイル検証機能をオフにすることができます。この設定は、Excel 2013、PowerPoint 2013、Word 2013 のアプリケーション単位で構成する必要があります。また、この設定は、Office バイナリ ファイル形式で保存されたファイルがスキャンまたは検証されないようにします。たとえば、Excel 2013 の [ファイル検証機能をオフにする] 設定を有効にした場合、Office ファイル検証機能は Excel 97-2003 ブック ファイル、Excel 97-2003 テンプレート ファイル、Microsoft Excel 5.0/95 ファイルをスキャンまたは検証しません。ユーザーがこれらのファイルのいずれかを開き、そのファイルにファイル形式攻撃が含まれていた場合は、他のセキュリティ制御で検出されて阻止されないかぎり、その攻撃は検出も阻止もされません。

Office ファイル検証機能はオフにしないことをお勧めします。Office ファイル検証機能は Office 2013 の多層防御戦略の重要な部分であり、組織全体のすべてのコンピューターで有効にする必要があります。Office ファイル検証機能によるファイルの検証を行わない場合は、信頼できる場所機能の使用をお勧めします。信頼できる場所から開かれたファイルは Office ファイル検証機能のチェックが省略されます。信頼済みドキュメント機能を使用して、Office ファイル検証機能によるファイルの検証を回避することもできます。信頼済みドキュメントとして見なされたファイルは Office ファイル検証機能のチェックを受けません。

[ファイル検証に失敗した場合のドキュメントの処理の設定] グループ ポリシー設定を使用して検証に失敗したドキュメントの処理方法を変更できます。この設定を有効にした場合は、次の 2 つのオプションのいずれかを選択できます。

  • [ファイルをブロックする] 検証に失敗したファイルは、保護ビューで開かず、ユーザーはファイルを開いて編集できません。

    [ファイルを保護ビューで開く] オプションを選択した場合は、ファイルが検証に失敗すると、以下のテキストがメッセージ バーに表示されます。

    保護ビュー このファイルに問題が見つかりました。クリックすると詳細が表示されます。

    ユーザーがメッセージ バーをクリックすると、Microsoft Office Backstage ビューが開いて、問題のより長い説明が表示され、ユーザーはファイルを編集できるようになります。

  • ファイルを保護ビューで開く ファイルを保護ビューで開くため、ユーザーはファイルの内容を確認できますが、編集用に開くことはできません。このオプションは、Office ファイル検証機能の既定の動作です。

    [ファイルをブロックする] オプションを選択した場合は、ファイルが検証に失敗したとき以下のテキストがダイアログ ボックスに表示されます。

    このファイルから問題が検出されました。コンピューターを保護するため、ファイルは開かれません。

    ユーザーは、ダイアログ ボックスを拡張してファイルが開かれない理由の詳しい説明を表示することも、[OK] を選択してダイアログ ボックスを閉じることもできます。

[検証に失敗したファイルのエラー報告をオフにする] グループ ポリシー設定を使用して、Microsoft へ情報を送信するかどうかユーザーに尋ねるダイアログ ボックスが表示されないようにできます。この設定では、検証情報も Microsoft へ送信されません。

ファイルが検証に失敗するたびに、Office 2013 が、ファイルが検証に失敗した理由に関する情報を収集します。ファイルが検証に失敗した約 2 週間後、Office 2013 はユーザーに Office ファイル検証機能情報を Microsoft に送信するかどうか尋ねます。この検証情報には、ファイル タイプ、ファイル サイズ、ファイルを開くのにかかった時間、ファイルの検証にかかった時間などが含まれます。検証に失敗したファイルのコピーも Microsoft に送信されます。検証情報を Microsoft へ送信するかどうか尋ねるとき、ファイルのリストも表示されます。ユーザーは、検証情報を Microsoft への送信しないようにすることができます。これは、失敗した検証に関するどの情報も Microsoft に送信されず、どのファイルも Microsoft に送信されないことを意味します。組織でインターネット アクセスが制限されている場合、厳密なインターネット アクセス ポリシーが施行されている場合、ファイルを Microsoft に送信したくない場合は、[検証に失敗したファイルのエラー報告をオフにする] グループ ポリシー設定を有効にする必要があるかもしれません。

重要重要:
Office ファイル検証機能では、実際には有効なファイルが検証に失敗する場合があります。検証報告機能は、Microsoft による Office ファイル検証機能の改善と誤判定を少なくすることに寄与します。
メモメモ:
グループ ポリシー設定の最新情報については、「Office 2013 のグループ ポリシー管理用テンプレート ファイル (ADMX、ADML) および Office カスタマイズ ツール (OCT) ファイル」の記事を参照してください。

表示: