• [アーティクル]

Outlook 2010 のセキュリティと保護の設定の選択

 

適用先: Office 2010

トピックの最終更新日: 2016-11-29

Microsoft Outlook 2010 では、多くのセキュリティ関連機能をカスタマイズできます。たとえば、セキュリティ設定を適用する方法、実行を許可する ActiveX コントロールの種類、ユーザー設定フォームのセキュリティ、プログラムによるセキュリティ設定などをカスタマイズできます。添付ファイル、Information Rights Management、迷惑メール、および暗号化に関する Outlook 2013 のセキュリティ設定については、後の「その他の設定」に一覧を示したその他の記事で説明します。

警告

Outlook は、既定で高いセキュリティ関連設定を使用するように構成されています。セキュリティ レベルが高いと、電子メール メッセージに添付できるファイルの種類が制限されるなど、Outlook の機能に制限が課されます。既定のセキュリティ設定のレベルを下げると、ウイルスが実行されたり感染が広がるリスクが高くなります。これらのセキュリティ設定を変更する前に関連資料を参照し、十分に注意して作業を行ってください。

この記事の内容

  • 概要

  • Outlook にセキュリティ設定を適用する方法を指定する

  • Outlook 2010 での管理者設定とユーザー設定の連携

  • Outlook COM アドインを操作する

  • Outlook 2010 で ActiveX およびユーザー設定フォームのセキュリティをカスタマイズする

  • Outlook 2010 でプログラムによる設定をカスタマイズする

  • その他の設定

概要

Outlook は、既定で高いセキュリティ関連設定を使用するように構成されています。セキュリティ レベルが高いと、電子メール メッセージに添付できるファイルの種類が制限されるなど、Outlook の機能に制限が課されます。組織によっては、既定のセキュリティ設定を低くすることが必要になる場合もありますが、既定のセキュリティ設定のレベルを下げると、ウイルスが実行されたり感染が広がるリスクが高まる可能性があります。

グループ ポリシーや Outlook セキュリティ テンプレートを使用して Outlook 2013 のセキュリティ設定を構成する前に、グループ ポリシーで Outlook セキュリティ モードを構成する必要があります。Outlook セキュリティ モードを設定しないと、Outlook 2013 では既定のセキュリティ設定が使用され、Outlook 2013 セキュリティ設定への変更は無視されます。

Outlook 2013 管理用テンプレートをダウンロードする方法について、およびその他の Office 2010 管理用テンプレートについては、「Office 2010 管理用テンプレート ファイル (ADM、ADMX、ADML) および Office カスタマイズ ツール」を参照してください。グループ ポリシーの詳細については、「Office 2010 のグループ ポリシーの概要」および「Office 2010 でグループ ポリシーを使用して設定を適用する」を参照してください。

Outlook にセキュリティ設定を適用する方法を指定する

Microsoft Office Outlook 2007 と同様に Outlook 2013 でも、セキュリティ オプションを構成するにはグループ ポリシーを使用する方法 (推奨) と、Outlook セキュリティ テンプレートを使用し、設定を Exchange Server パブリック フォルダーのトップレベル フォルダー内のフォームに公開する方法があります。Office Outlook 2003 またはそれ以前のバージョンが環境にある場合を除き、グループ ポリシーを使用してセキュリティ設定を構成することをお勧めします。どちらの方法を使用する場合も、グループ ポリシーで Outlook セキュリティ モード設定を有効にし、Outlook セキュリティ ポリシー値を設定する必要があります。この設定を有効にしないと、既定のセキュリティ設定が適用されます。Outlook セキュリティ モード設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2010\セキュリティ\セキュリティ フォーム設定] 下の Outlook 2013 グループ ポリシー テンプレート (Outlk14.adm) にあります。[Outlook セキュリティ モード] 設定を有効にすると、次の表で説明する 4 つの Outlook セキュリティ ポリシー オプションを使用できます。

Outlook セキュリティ モードのオプション 説明

[Outlook の既定のセキュリティ]

Outlook では、グループ ポリシーで構成されたり、Outlook セキュリティ テンプレートを使用して構成されたセキュリティ関連設定は無視されます。これが既定の設定です。

[Outlook セキュリティのグループ ポリシーを使用する]

Outlook では、グループ ポリシーのセキュリティ設定が使用されます (推奨)。

[[Outlook Security Settings] パブリック フォルダーのセキュリティ フォームを使用する]

Outlook では、特定のパブリック フォルダーに発行されたセキュリティ フォームの設定が使用されます。

[[Outlook 10 Security Settings] パブリック フォルダーのセキュリティ フォームを使用する]

Outlook では、特定のパブリック フォルダーに発行されたセキュリティ フォームの設定が使用されます。

グループ ポリシーを使用してセキュリティ設定をカスタマイズする

グループ ポリシーを使用して Outlook 2013 のセキュリティ設定を構成する場合は、次の点に注意してください。

  • Outlook セキュリティ テンプレートの設定をグループ ポリシーに手動で移行する必要がある   セキュリティ設定を管理するために以前は Outlook セキュリティ テンプレートを使用していたが、Outlook 2013 に設定を適用するためにグループ ポリシーを使用する場合は、以前に設定した設定を手動で Outlook 2013 用のグループ ポリシー設定に正しく移行する必要があります。

  • グループ ポリシーでカスタマイズした設定がすぐに適用されない可能性がある   ユーザーのコンピューターでは、ユーザーがログオンしている間に一定の間隔でグループ ポリシーが自動的に (バックグラウンドで) 更新されるように構成できます。新しいグループ ポリシー設定をすぐに適用するには、ユーザーがログオフし、再びログオンする必要があります。

  • セキュリティ設定は Outlook の起動時にのみ行われる   Outlook が動作している間にセキュリティ設定が更新された場合、新しい構成は Outlook が終了し、再起動するまで使用されません。

  • 個人情報マネージャー (PIM) 専用モードでは設定の変更が適用されない   PIM モードの Outlook では、既定のセキュリティ設定が使用されます。このモードでは、管理者の設定は必要ないか、使用されません。

特別な環境

グループ ポリシーで Outlook 2013 のセキュリティ設定を構成する場合は、次の表に示す 1 つ以上のシナリオが環境内に成立するかどうかを確認してください。

シナリオ 問題

ホストされた Exchange Server を使用してメールボックスにアクセスする

ホストされた Exchange Server を使用してメールボックスにアクセスする場合、Outlook セキュリティ テンプレートを使用してセキュリティ設定を構成するか、Outlook の既定のセキュリティ設定を使用できます。ホストされた環境では、ユーザーはリモートからメールボックスにアクセスします。たとえば、アクセスには仮想プライベート ネットワーク (VPN) 接続や Outlook Anywhere (RPC over HTTP) が使用されます。グループ ポリシーは Active Directory を使用して展開されますが、このシナリオではユーザーのローカル コントロールはドメインのメンバーではないため、グループ ポリシーのセキュリティ設定は適用できません。

また、Outlook セキュリティ テンプレートでセキュリティ設定を構成すると、セキュリティ設定の更新は自動的に提供されます。グループ ポリシーのセキュリティ設定の更新は、ユーザーのコンピューターが Active Directory ドメインに含まれない限り、自動的に提供されません。

ユーザーがコンピューターの管理者権限を持つ

ユーザーが管理者権限でログオンした場合、グループ ポリシー設定への制限は適用されません。また、管理者権限を持つユーザーは、ローカル コンピューターの Outlook セキュリティ設定を変更したり、構成されていた制限を削除または変更することもできます。これは Outlook セキュリティ設定に限らず、すべてのグループ ポリシー設定に当てはまります。

これが問題となるのは、組織内のすべてのユーザーに同一の設定を適用しようとした場合です。次のような問題点があります。

  • グループ ポリシーは、ローカルに行われた変更を次のログオン時に上書きします。ユーザーがログオンすると、Outlook セキュリティ設定への変更が失われ、グループ ポリシー設定に戻されます。

  • グループ ポリシー設定の上書きは、ローカル コンピューターにのみ影響します。管理者権限を持つユーザーは、ローカル コンピューターでセキュリティ設定を変更できるだけで、他のコンピューターを使用するユーザーのセキュリティ設定は変更できません。

  • 管理者権限を持たないユーザーは、ポリシーを変更できません。このシナリオでは、グループ ポリシーのセキュリティ設定は、Outlook セキュリティ テンプレートを使用して構成した設定と同様に確実に適用されます。

Outlook Web App を使用して Exchange メールボックスにアクセスする

Outlook と Outlook Web App ではセキュリティ モデルが異なります。OWA のセキュリティ設定は、Exchange Server コンピューターに単独で保存されます。

Outlook 2010 での管理者設定とユーザー設定の連携

ユーザーから定義された Outlook 2013 セキュリティ設定は、管理者が定義したグループ ポリシー設定の一部であるかのように機能します。両者が競合する場合は、セキュリティ レベルの高い設定が低い設定に優先して適用されます。

たとえば、グループ ポリシーの添付ファイル セキュリティ設定を [レベル 1 としてブロックするファイル拡張子を追加する] に構成して、レベル 1 でブロックするファイル名拡張子の一覧を作成した場合、この一覧は、Outlook 2013 の既定の一覧、およびユーザーから設定されたレベル 1 でブロックするファイル名拡張子に優先します。既定でレベル 1 で除外するファイルの種類からファイル名拡張子を削除することをユーザーに許可した場合でも、一覧に追加されたファイルの種類を削除することはできません。

たとえば、ユーザーがファイル名拡張子の .exe, .reg、および .com をレベル 1 のグループから削除しようとしたが、[レベル 1 のファイル拡張子を追加する] グループ ポリシー設定で .exe がレベル 1 のファイルの種類として追加された場合、Outlook でユーザーがレベル 1 のグループから削除できるのは .reg および .com のファイルだけです。

Outlook COM アドインを操作する

コンポーネント オブジェクト モデル (COM) アドインは、Outlook の信頼モデルを使用して動作するようにコードが作成されているので、Outlook 2013 では警告メッセージを生成せずに実行されます。ただし、ハンドヘルド デバイスをデスクトップ コンピューターの Outlook 2013 と同期する場合など、このアドインを使用する Outlook 機能にアクセスしたときに警告が表示されることがあります。

ただし、Office Outlook 2003 またはそれ以前のバージョンと比べると、Outlook 2013 で警告が表示される頻度は低くなります。ウイルスが Outlook アドレス帳を使用して感染を広げることを防止するオブジェクト モデル (OM) ガードは、Office Outlook 2007 および Outlook 2013 で更新されました。Outlook 2013 では、最新のウイルス対策ソフトウェアをチェックして、アドレス帳アクセスの警告やその他の Outlook セキュリティ警告をいつ表示するかが決定されます。

OM ガードは、Outlook セキュリティ フォームまたはグループ ポリシーでは変更できません。ただし、既定の Outlook 2013 セキュリティ設定を使用すると、Outlook 2013 にインストールされているすべての COM アドインが既定で信頼されます。グループ ポリシーを使用してセキュリティ設定をカスタマイズする場合は、信頼できる COM アドインを指定すると、そのアドインの実行は Outlook オブジェクト モデルによってブロックされません。

信頼できる COM アドインを指定するには、ファイルのハッシュ値を計算してグループ ポリシー設定に追加することで、アドインのファイル名を指定します。Outlook で信頼されるアドインを指定するには、その前にハッシュ値を計算するプログラムをインストールする必要があります。詳細については、「信頼できる Outlook 2010 アドインの管理」を参照してください。

カスタマイズした Outlook セキュリティ設定を Exchange Server パブリック フォルダーに発行された Microsoft Exchange Server セキュリティ フォームを使用して適用する場合は、信頼できる COM アドインを指定する方法があります。Microsoft Office 2003 リソース キットの記事「Outlook Security Template Settings (英語)」(https://go.microsoft.com/fwlink/?linkid=75744\&clcid=0x411) (英語) の「Trusted Code tab」を参照してください。

信頼できるアドインの一覧にアドインを追加した後もセキュリティの確認メッセージが表示される場合は、COM アドイン開発者の協力を得て問題を解決する必要があります。信頼できるアドインのコーディングについては、「Important Security Notes for Microsoft Outlook COM Add-in Developers (英語)」(https://go.microsoft.com/fwlink/?linkid=74697\&clcid=0x411) (英語) を参照してください。

Outlook 2010 で ActiveX およびユーザー設定フォームのセキュリティをカスタマイズする

Outlook 2013 ユーザーのために ActiveX およびユーザー設定フォームのセキュリティ設定を指定できます。ユーザー設定フォームのセキュリティ設定には、スクリプト、カスタム コントロール、およびカスタム アクションに対する Outlook 2013 の制限を変更するオプションなどがあります。

1 回限りのフォームでの ActiveX コントロールの動作をカスタマイズする

フォーム定義を含むメッセージが Outlook に受信された場合、このアイテムは 1 回限りのフォームです。不要なスクリプトやコントロールが 1 回限りのフォームで実行されるのを防ぐため、Outlook では既定で 1 回限りのフォーム内の ActiveX コントロールは読み込まれません。

ActiveX コントロールをカスタマイズする設定は、グループ ポリシー Outlook 2013 テンプレート (Outlk14.adm) を使用して強制できます。または、Office カスタマイズ ツール (OCT) を使用して、既定の設定を構成することもできます。その場合はユーザーが設定を変更できます。グループ ポリシーでは、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2010\セキュリティ] の [ActiveX の 1 回限りのフォームを許可する] 設定を使用します。OCT では、[ActiveX の 1 回限りのフォームを許可する] 設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。OCT の詳細については、「Office 2010 の Office カスタマイズ ツール」を参照してください。

[ActiveX の 1 回限りのフォームを許可する] 設定を有効にする場合、次の表に説明する 3 つのオプションを使用できます。

オプション 説明

[すべての ActiveX コントロールを許可する]

すべての ActiveX コントロールを制限なしで実行することを許可します。

[安全なコントロールのみ許可する]

安全な ActiveX コントロールの実行のみを許可します。ActiveX コントロールが Authenticode によって署名され、署名者が信頼できる発行元の一覧に含まれる場合に、その ActiveX コントロールは安全と認められます。

[Outlook のコントロールのみ読み込む]

Outlook は、次のコントロールのみを読み込みます。1 回限りのフォームでは、これらのコントロールのみを使用できます。

  • fm20.dll のコントロール

  • Microsoft Office Outlook Rich Format Control

  • Microsoft Office Outlook Recipient Control

  • Microsoft Office Outlook View Control

これらのオプションのいずれも構成しない場合、既定で Outlook コントロールのみが読み込まれます。

ユーザー設定フォームのセキュリティ設定をカスタマイズする

ユーザー設定フォームをカスタマイズする設定は、グループ ポリシー Outlook 2013 テンプレート (Outlk14.adm) を使用して強制できます。または、OCT を使用して、既定の設定を構成することもできます。その場合はユーザーが設定を変更できます。グループ ポリシーでは、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2010\セキュリティ\セキュリティ フォーム設定\ユーザー設定フォームのセキュリティ] の下に設定があります。OCT 設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。

次の表は、構成できるスクリプト、カスタム コントロール、およびカスタム アクションの設定を示しています。

オプション 説明

[1 回限りの Outlook フォームでのスクリプトの使用を許可する]

メッセージにスクリプトとレイアウトが含まれるフォームのスクリプトを実行します。ユーザーがスクリプトを含む 1 回限りのフォームを受信した場合、スクリプトを実行するかどうかを確認するメッセージが表示されます。

[Outlook オブジェクト モデルのユーザー設定のアクションの実行確認について設定する]

プログラムが Outlook オブジェクト モデルを使用してカスタム アクションを実行しようとしたときの処理を指定します。カスタム アクションを作成すると、メッセージに返信したり、前に説明したプログラムによる自動送信を防止できます。次のいずれかを選択します。

  • [ユーザーに確認する] を選択すると、メッセージが表示され、プログラムによる送信アクセスを許可するかどうかを決定できます。

  • [自動的に許可する] を選択すると、確認メッセージを表示しないで常にプログラムによる送信アクセスが許可されます。

  • [自動的に拒否する] を選択すると、確認メッセージを表示しないで常にプログラムによる送信アクセスが拒否されます。

  • [コンピューターのセキュリティに基づいてユーザーにメッセージを表示する] を選択すると、Outlook 2013 の既定の設定が適用されます。

Outlook 2010 でプログラムによる設定をカスタマイズする

Outlook 2013 の管理者は、プログラムによるセキュリティ設定を構成して、Outlook オブジェクト モデルへの制限を管理できます。Outlook オブジェクト モデルを使用すると、Outlook フォルダーに保存されたデータをプログラムによって操作できます。

注意

Exchange Server のセキュリティ テンプレートには、Collaboration Data Objects (CDO) の設定が含まれます。ただし、Outlook 2013 では CDO を使用できません。

グループ ポリシーを使用して、Outlook オブジェクト モデルのプログラムによるセキュリティ設定を構成できます。グループ ポリシーには、Outlook 2013 テンプレート (Outlk14.adm) が読み込まれます。グループ ポリシー設定は、[ユーザーの構成\管理用テンプレート\Microsoft Outlook 2010\セキュリティ\セキュリティ フォーム設定\プログラムによるセキュリティ] にあります。これらの設定は、Office カスタマイズ ツールでは構成できません。

プログラムによる設定に使用するグループ ポリシーのオプションについて、以下に説明します。各アイテムに次の設定のいずれかを選択できます。

  • [ユーザーに確認する]   を選択すると、メッセージが表示され、ユーザーは操作の許可または拒否を指定できます。一部の確認メッセージでは、操作の許可または拒否を決断するまで、最大 10 分間の猶予が与えられます。

  • [自動的に許可する]   を選択すると、Outlook ではプログラムによるアクセス要求が自動的に許可されます。このオプションは多大な脆弱性を招くため、推奨しません。

  • [自動的に拒否する]   を選択すると、Outlook ではプログラムによるアクセス要求が自動的に拒否され、確認メッセージは表示されません。

  • [コンピューターのセキュリティに基づいてユーザーにメッセージを表示する]   Outlook は、セキュリティ センターの "プログラムによるアクセス" セクションの設定に従います。これは、既定の動作です。

次の表は、Outlook オブジェクト モデルのプログラムによるセキュリティ設定に構成できる設定を示しています。

オプション 説明

[アドレス帳にアクセスするときの Outlook オブジェクト モデルに関する確認について構成する]

プログラムが Outlook オブジェクト モデルを使用してアドレス帳にアクセスしようとしたときの処理を指定します。

[UserProperty オブジェクトの Formula プロパティにアクセスするときの Outlook オブジェクト モデルに関する確認について構成する]

ユーザーがユーザー設定フォームに組み合わせフィールドを追加し、このフィールドをアドレス情報フィールドにバインドしたときの処理を指定します。この操作を実行すると、アドレス情報フィールドの Value プロパティを取得することによって、コードを使用してこのフィールドの値を間接的に取得できます。

[[名前を付けて保存] を実行するときの Outlook オブジェクト モデルに関する確認について構成する]

プログラムが [名前を付けて保存] コマンドを使用してアイテムをプログラムによって保存しようとしたときの処理を指定します。アイテムが保存されるときに、悪意のあるプログラムがファイルを検索して電子メール アドレスを取得する可能性があります。

[アドレス情報を読み込むときの Outlook オブジェクト モデルに関する確認について構成する]

プログラムが Outlook オブジェクト モデルを使用して [宛先] などの受信者フィールドにアクセスしようとしたときの処理を指定します。

[会議出席依頼および仕事の依頼に返信するときの Outlook オブジェクト モデルに関する確認について構成する]

プログラムが Respond メソッドを使用して仕事の依頼や会議出席依頼のメールをプログラムによって送信しようとしたときの処理を指定します。このメソッドは、メール メッセージの Send メソッドと似ています。

[メール送信時の Outlook オブジェクト モデルに関する確認について構成する]

プログラムが Outlook オブジェクト モデルを使用してメールをプログラムによって送信しようとしたときの処理を指定します。

その他の設定

次の表は、この記事では説明しなかったその他のセキュリティ設定に関する記事の一覧です。

機能 関連リソース

ActiveX コントロール

Office 2010 で ActiveX コントロールのセキュリティ設定を計画する

添付ファイル

Outlook 2010 の添付ファイルの設定を計画する

暗号化

Outlook 2010 での電子メール メッセージングの暗号化を計画する

デジタル署名

Office 2010 のデジタル署名設定を計画する

迷惑メール

Outlook 2010 で迷惑メールの制限を計画する

Information Rights Management

Office 2010 で Information Rights Management を計画する

保護されたビュー

Office 2010 の保護されたビューの設定を計画する