• [アーティクル]

Office 2010 の暗号化の設定を計画する

 

適用先: Office 2010

トピックの最終更新日: 2016-11-29

Microsoft Office 2010 には、Microsoft Access 2010、Microsoft Excel 2010、Microsoft OneNote 2010、Microsoft PowerPoint 2010、Microsoft Project 2010、または Microsoft Word 2010 の使用時にデータの暗号化を制御できる設定があります。この記事では、Office 2010 での暗号化と、データを暗号化するために使用できる設定について説明し、Microsoft Office の以前のバージョンとの互換性に関する情報を示します。Microsoft Outlook 2010 での暗号化については、「Outlook 2010 での電子メール メッセージングの暗号化を計画する」を参照してください。

暗号化設定を計画するときは、次のガイドラインを考慮に入れてください。

  • 組織で使用されるセキュリティ モデルによって既定の設定と異なる暗号化設定が要求される場合を除き、既定の暗号化設定を変更することはお勧めしません。

  • データの暗号化に常に強いパスワードが使用されるようにするため、長く複雑なパスワードの使用を強制することをお勧めします。詳細については、「2007 Office system 管理用テンプレート ファイル (ADM、ADMX、ADML) および Office カスタマイズ ツールの更新」を参照してください。

  • RC4 暗号化の使用はお勧めしません。詳細については、後の「Office の以前のバージョンとの互換性」を参照してください。

  • 管理者がドキュメントの暗号化をユーザーに強制できる設定はありません。ただし、ドキュメントにパスワードを追加する機能を削除する設定はあるので、この方法でドキュメントの暗号化を禁止することはできます。詳細については、後の「暗号化の設定」を参照してください。

  • 信頼できる場所にドキュメントを保存することは、暗号化設定に影響しません。ドキュメントを暗号化し、信頼できる場所に保存すると、ユーザーはドキュメントを開くためにパスワードを入力する必要があります。

この記事の内容

  • Office 2010 の暗号化について

  • 暗号化の設定

  • Office の以前のバージョンとの互換性

Office 2010 の暗号化について

Office で使用できる暗号化アルゴリズムは、Windows オペレーティング システムの API (アプリケーション プログラミング インターフェイス) を使用してアクセスできるアルゴリズムに依存します。Office 2010 では、暗号化 API (CryptoAPI) のサポートが受け継がれているだけでなく、CNG (CryptoAPI: Next Generation) もサポートされています。CNG は、2007 Microsoft Office system Service Pack 2 (SP2) で初めて導入されました。

CNG を使用することで、暗号化の処理がより機敏になります。ホスト コンピューターでサポートされる複数の暗号化アルゴリズムとハッシュ アルゴリズムからドキュメント暗号化プロセスで使用するアルゴリズムを指定できます。また、CNG によって暗号化の拡張性が向上し、サードパーティの暗号化モジュールも使用できます。

Office で CryptoAPI を使用する場合、暗号化アルゴリズムは、Windows オペレーティング システムの一部である CSP (暗号化サービス プロバイダー) で使用可能なアルゴリズムに依存します。コンピューターにインストールされている CSP の一覧は、次のレジストリ キーに含まれています。

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider

次の CNG 暗号化アルゴリズムまたはインストールされているその他の CNG 暗号化拡張は、Office 2010 または 2007 Office system SP2 で使用できます。

AES、DES、DESX、3DES、3DES_112、および RC2

次の CNG ハッシュ アルゴリズムまたはインストールされているその他の CNG 暗号化拡張は、Office 2010 または 2007 Office system SP2 で使用できます。

MD2、MD4、MD5、RIPEMD-128、RIPEMD-160、SHA-1、SHA256、SHA384、および SHA512

Office 2010 では、暗号化の実行に関する設定を変更できますが、Open XML 形式ファイル (.docx, .xslx, .pptx など) を暗号化する場合、既定の設定 — AES (Advanced Encryption Standard)、128 ビットのキーの長さ、SHA1、および CBC (暗号ブロック チェーン ) — によって強い暗号化が提供されるので、ほとんどの組織にはこの設定が最適です。AES 暗号化は、使用可能な業界標準アルゴリズムのなかで最も強く、国家安全保障局 (NSA) によって米国行政機関の標準として採用されました。AES 暗号化は、Windows XP SP2、Windows Vista、Windows 7、Windows Server 2003、および Windows Server 2008 でサポートされています。

暗号化の設定

次の表に、CryptoAPI にアクセスするバージョンの Microsoft Office を使用するときに暗号化アルゴリズムの変更に使用できる設定を示します。これには、Office 2010 までのバージョンの Office が含まれます。

設定 説明

[パスワードで保護された Office Open XML ファイルの暗号化の種類]

この設定を使用すると、Open XML ファイルの暗号化の種類を暗号化サービス プロバイダー (CSP) で使用できる種類から選択できます。この設定が必要となるのは、カスタム COM 暗号化アドインを使用するときです。詳細については、SharePoint Server 2007 SDK: ソフトウェア開発キット (https://go.microsoft.com/fwlink/?linkid=107614&clcid=0x411) の一部として提供される「2007 Microsoft Office system の暗号化および権限管理開発者向けガイド」を参照してください。また、2007 Office system SP1 を使用する場合や Word/Excel/PowerPoint ファイル形式用 Microsoft Office 互換機能パック (https://go.microsoft.com/fwlink/?linkid=78517&clcid=0x411) よりも古いバージョンの互換機能パックを使用する場合は、既定の暗号化アルゴリズムを別のアルゴリズムに変更するときに、この設定を使用する必要があります。

[パスワードで保護された Office 97-2003 ファイルの暗号化の種類]

この設定を使用すると、Office 97–2003 (バイナリ) ファイルの暗号化の種類を暗号化サービス プロバイダー (CSP) で使用できる種類から選択できます。この設定の使用時にサポートされる暗号化アルゴリズムは RC4 のみです。すでに説明したとおり、このアルゴリズムの使用はお勧めしません。

Office 2010 では、[パスワードで保護された Office Open XML ファイルの暗号化の種類] 設定を変更する前に、[暗号化の互換性を指定する] 設定を有効にし、[以前の形式を使用する] オプションをオンにする必要があります。[暗号化の互換性を指定する] 設定は、Access 2010、Excel 2013、PowerPoint 2013、および Word 2010 で使用できます。

次の表に、Office 2010 の使用時に暗号化アルゴリズムの変更に使用できる設定の一覧を示します。これらの設定は、Access 2010、Excel 2013、OneNote 2013、PowerPoint 2013、Project 2010、および Word 2010 で有効です。

注意

[CNG コンテキストにパラメーターを設定する] および [CNG 乱数ジェネレーター アルゴリズムを指定する] の設定を除き、以下のすべての設定は、CNG をサポートしない Windows XP SP3 などを含め、Office 2010 をサポートするオペレーティング システムの使用時に有効です。この場合、Office 2010 は CNG ではなく CryptoAPI を使用します。これらの設定は、Office 2010 で Open XML ファイルを暗号化するときにのみ適用されます。

設定 説明

[CNG 暗号アルゴリズムを設定する]

この設定を使用すると、使用する CNG 暗号アルゴリズムを構成できます。既定では、AES です。

[CNG 暗号チェーン モードを構成する]

この設定では、使用する暗号チェーン モードを構成できます。既定の設定は、[暗号ブロック チェーン (CBC)] です。

[CNG 暗号キーの長さを設定する]

この設定では、暗号キーの作成に使用するビット数を構成できます。既定では、128 ビットです。

[暗号化の互換性を指定する]

この設定では、互換性の形式を指定できます。既定の設定は、[次世代の形式を使用する] です。

[CNG コンテキストにパラメーターを設定する]

この設定では、CNG コンテキストに使用する暗号化パラメーターを指定できます。この設定を使用するには、CNG (CryptoAPI: Next Generation) を使用して CNG コンテキストを事前に作成しておく必要があります。詳細については、「CNG Cryptographic Configuration Functions (英語)」(https://go.microsoft.com/fwlink/?linkid=192996&clcid=0x411) (英語) を参照してください。

[CNG ハッシュ アルゴリズムを指定する]

この設定では、使用するハッシュ アルゴリズムを指定できます。既定の設定は、SHA1 です。

[CNG パスワードのスピン数を設定する]

この設定では、パスワード検証をスピンする (リハッシュする) 回数を指定できます。既定では、100000 回です。

[CNG 乱数ジェネレーター アルゴリズムを指定する]

この設定では、使用する CNG 乱数ジェネレーターを構成できます。既定では、RNG (Random Number Generator) が使用されます。

[CNG ソルト長を指定する]

この設定では、使用するソルトのバイト数を指定できます。既定では、16 です。

前の表に示した CNG 設定のほかに、次の表に示す CNG 設定を Excel 2013、PowerPoint 2013、および Word 2010 で使用できます。

設定 説明

[パスワードの変更時に新しいキーを使用する]

この設定を使用すると、パスワードを変更するときに新しい暗号キーの使用を強制できます。既定では、パスワードの変更時に新しいキーは使用しません。

次の表に示した設定を使用して、パスワードをドキュメントに追加する機能を削除できます。これは、ドキュメントの暗号化を禁止することに相当します。

設定 説明

[読み取りパスワードの UI を無効にする]

この設定を使用すると、ドキュメントにパスワードを追加することを Office 2010 のユーザーに許可するかどうかを指定できます。既定では、ユーザーはパスワードを追加できます。

注意

Office カスタマイズ ツール (OCT) と Office 2010 の管理テンプレートでセキュリティ設定を構成する方法については、「Office 2010 のセキュリティを構成する」を参照してください。

Office の以前のバージョンとの互換性

Office ドキュメントを暗号化する必要がある場合は、ドキュメントを Office 97–2003 形式 (.doc, .xls, .ppt など) ではなく Open XML 形式ファイル (.docx, .xlsx, .pptx など) で保存することをお勧めします。バイナリ ドキュメント (.doc, .xls, .ppt) の暗号化では RC4 が使用されます。ただし、これは、「Office Document Cryptography Structure Specification (英語)」(https://go.microsoft.com/fwlink/?linkid=192287\&clcid=0x411) (英語) の「Security Considerations」セクションの 4.3.2 および 4.3.3 に書かれているとおり推奨されません。以前の Office バイナリ形式で保存されたドキュメントは、以前のバージョンの Microsoft Office との互換性を保つため、暗号化に RC4 しか使用できません。Open XML 形式ファイルの暗号化には、既定であり、推奨暗号化アルゴリズムである AES が使用されます。

Office 2010 および 2007 Office system では、ドキュメントを Open XML 形式ファイルとして保存できます。また、Microsoft Office XP または Office 2003 では、互換機能パックを使用してドキュメントを Open XML 形式ファイルとして保存できます。

Open XML 形式ファイルとして保存され、Office 2010 を使用して暗号化されたドキュメントを読むことができるのは、Office 2010、Office 2007 SP2、および Office 2007 SP2 互換機能パックを使用する Office 2003 のみです。Office の以前のすべてのバージョンとの互換性を確保するには、CompatMode と呼ばれるレジストリ キーを HKCU\Software\Microsoft\Office\14.0\<application>\Security\Crypto\ の下に作成し (まだない場合)、そのレジストリ キーを「0」に設定して無効にすることができます。<application> に入力できる値は、このレジストリ キーで構成する対象の Office アプリケーションを表します。たとえば、Access、Excel、PowerPoint、または Word を入力できます。CompatMode を「0」に設定すると、Office 2010 を使用して Open XML 形式ファイルを暗号化するときに、Office 2010 は、既定で提供される強化されたセキュリティの代わりに Office 2007 互換の暗号化形式を使用することに注意する必要があります。互換性の理由でこの設定を構成する必要がある場合、AES 暗号化など、セキュリティを強化できるサードパーティ製の暗号化モジュールも使用することをお勧めします。

Open XML 形式ファイルを暗号化するために Word/Excel/PowerPoint ファイル形式用 Microsoft Office 互換機能パックを使用する場合は、以下の点に注意する必要があります。

  • 既定で、互換機能パックは、Open XML 形式ファイルの暗号化に以下の設定を使用します。

    • [Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)、AES 128、128] (Windows XP Professional オペレーティング システム)

    • [Microsoft Enhanced RSA and AES Cryptographic Provider、AES 128、128] (Windows Server 2003 および Windows Vista オペレーティング システム)

  • 互換機能パックでこれらの暗号設定が使用されることは、ユーザーに通知されません。

  • Office の以前のバージョンに互換機能パックをインストールした場合、Open XML 形式ファイルの暗号化設定はグラフィカル ユーザー インターフェイスに正しく表示されません。

  • Office の以前のバージョンでは、グラフィカル ユーザー インターフェイスを使用して Open XML 形式ファイルの暗号化設定を変更できません。

注意

ポリシー設定に関する最新情報については、Microsoft Excel 2010 ブック Office2010GroupPolicyAndOCTSettings_Reference.xls を参照してください。このブックは、「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x411) (英語) ダウンロード ページの [Files in this Download] セクションで入手できます。