Internet Explorer のセキュリティ オプション
Internet Explorer のセキュリティ ゾーンを使用すると、さまざまな "ゾーン" の Web コンテンツに対して、セキュリティ オプションを指定することができます。ゾーンとは、信頼レベルが同じであるような一連の Web サイトのことです。セキュリティ オプションは、ゾーンごとに割り当てます。
Internet Explorer の標準の設定値は、システムのセキュリティ機能に合わせて、最適な値に調整することができます。たとえば、安全性の高いイントラネットのユーザーは通常、ローカル イントラネット ゾーン (ファイヤウォールに適合するように設定済み) の値を、低または適切なカスタム値に設定することができます。
ここでは、各ゾーンのそれぞれのオプションに対して適切なセキュリティ値を指定できるように、Internet Explorer のセキュリティ オプションの意味を詳しく説明します。セキュリティ オプションはすべて、Internet Explorer ブラウザに適用されるものであって、システム全体に適用されるものではありません。Internet Explorer のプログラム群では、これらのオプションが考慮される場合もありますし、考慮されない場合もあります。
社内のセキュリティ オプションを設定するには、Internet Explorer 管理者キット ウィザードを使用して、一連の設定値を変更しなければなりません。ブラウザの [表示] メニューをクリックした後、[インターネット オプション]、[セキュリティ] タブ、[カスタム]、[設定] の順でクリックすると、セキュリティ オプションを表示できます。
ActiveX コントロールとプラグイン
これから説明するオプションでは、ActiveX コントロールとプラグインのダウンロード、実行、およびスクリプトによる制御の方法を指定します。ActiveX コントロールは、使用されているページとは別のサイトからダウンロードされる際、2 つのサイトのうち、ゾーンの設定値の制限が厳しい方からダウンロードされます。たとえば、ダウンロード可能 ([使用]) と設定されているゾーン内の Web ページにアクセスしているものの、ユーザーにプロンプトを表示するように設定されている別のゾーンからコードを実際にダウンロードする場合は、後者の方の設定値が使用されます。
[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプト]
このオプションでは、スクリプトによる制御が安全とマークされている ActiveX コントロールをスクリプトで実行するかどうかを指定します。PARAM タグでロードする初期化安全コントロールは、このオプションの影響を受けません。注意してください。[安全マークされていない ActiveX コントロールの初期化とスクリプト実行] が [有効] に設定されていると、その設定によってすべてのオブジェクトの安全性が無視されるため、このオプションは無視されます。安全なコントロールに対するスクリプト制御を禁止している間、安全でないコントロールに対するスクリプトは実行できません。
[ActiveX コントロールとプラグインの実行]
このオプションでは、指定したゾーンのページに対して ActiveX コントロールとプラグインの実行を許可するかどうか指定します。
[署名済み ActiveX コントロールのダウンロード]
このオプションを有効にすると、ユーザーは署名済みの ActiveX コントロールのあるページのゾーンから、該当する ActiveX コントロールをダウンロードできるようになります。[有効] をクリックすると、ユーザーは署名済みの任意の ActiveX コントロールを、プロンプトなしでダウンロードできます。また、[ダイアログを表示する] をクリックすると、信頼できない発行元によって署名されたコントロールをダウンロードしようとした場合、警告を受けます。ただし、信頼できる発行元が署名したコードは、プロンプトなしでダウンロードできます。[無効にする] をクリックすると、署名済みであっても、コントロールは一切ダウンロードできなくなります。
[未署名の ActiveX コントロールのダウンロード]
このオプションをオンにすると、ユーザーは未署名の ActiveX コントロールをゾーンからダウンロードできるようになります。ただし、このようなコードは有害である可能性が強く、信頼できないゾーンから発行されている場合は特に危険です。
[安全だとマークされていない ActiveX コントロールの初期化とスクリプト実行]
このオプションでは、ActiveX コントロールのオブジェクトの安全性を該当ゾーンの一連のページに強制的に適用するかどうかを指定します。オブジェクトの安全性は、該当ゾーン内の一連のページを操作する ActiveX コントロールとスクリプトがすべて信頼できる場合を除き、強制的に適用する必要があります。設定値は、次のとおりです。
- [有効] を選択すると、オブジェクトの安全性が無視されます。ActiveX コントロールの起動、パラメータ付きのロード、およびスクリプトによる制御が実行されます。信頼できないデータやスクリプトに対するオブジェクトの安全性は、保証されません。この設定値は、管理されている安全なゾーン以外にはお勧めできません。この値を設定すると、安全なコントロールも安全でないコントロールも、初期化とスクリプトによる制御が実行されてしまいます。[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプト] オプションの設定値は、無視されます。
- [ダイアログを表示] を選択すると、オブジェクトの安全性が強制的に適用されます。ただし、信頼できないデータやスクリプトに対して ActiveX コントロールの安全性を保証できない場合でも、ユーザーはコントロールをパラメータ付きでロードしたり、スクリプトで制御したりできます。
- [無効にする] を選択すると、信頼できないデータやスクリプトに対してオブジェクトの安全性が強制的に適用されます。安全性を保証できない ActiveX コントロールは、パラメータ付きでロードすることも、スクリプトで制御することもできません。
Java
Java のアクセス権
これから説明するオプションでは、ゾーン内の Java のダウンロードと実行の方法を制御します。Java は、使用されているページとは別のサイトからダウンロードされる際、2 つのサイトのうち、ゾーンの設定値の制限が厳しい方からダウンロードされます。たとえば、ダウンロード可能と設定されているゾーン内の Web ページにアクセスしているものの、ユーザーにプロンプトを表示するように設定されている別のゾーンからコードを実際にダウンロードする場合は、後者の方の設定値が使用されます。
各オプションでは、次の事柄を設定します。
- ゾーンからダウンロードする署名済みのアプレットに対してプロンプト表示なしで許可する最高レベルのアクセス権
- ゾーンからダウンロードする未署名のアプレットに対して許可するアクセス権
- ゾーン内のページ上にあってアプレットを呼び出すスクリプトに許可するアクセス権
オプションには、次の 5 つがあります。
- [カスタム] では、アクセス権の設定を個別に制御します。[カスタム アクセス権] ダイアログ ボックスの [未署名] タブでは、未署名のアプレットおよび Java を呼び出すスクリプトの両方に対するアクセス権を指定します。[警告なしで許可済み] タブでは、プロンプト表示なしでアプレットに許可するアクセス権の最大値を、しきい値として指定します。
- [安全性 - 低] を選択すると、アプレットはすべての機能を実行できるようになります。
- [安全性 - 中] を選択すると、アプレットはセキュリティで保護された領域 (該当プログラムが、呼び出しだけでなく、スクラッチ領域 (クライアント コンピュータ上の安全で保護された記憶領域) 機能およびユーザー制御のファイル入出力機能も実行できる領域) の中で動作できるようになります。
- [安全性 - 高] を選択すると、アプレットはセキュリティで保護された領域内で実行されるようになります。
- [Java を無効にする] を選択すると、アプレットは一切実行できません。
スクリプトによる制御
[アクティブ スクリプト]
このオプションでは、ゾーン内のページにあるスクリプト コードを実行するかどうかを指定します。
[Java アプレットのスクリプト]
このオプションでは、ゾーン内のアプレットをスクリプトによって制御するかどうかを指定します。
ダウンロード
[ファイルのダウンロード]
このオプションでは、ゾーンからのファイルのダウンロードを許可するかどうかを指定します。このオプションは、ファイルの実際の配布元のゾーンではなく、ダウンロードするためのリンクが記載されているページのゾーンに対して指定します。注意してください。
[フォントのダウンロード]
このオプションでは、ゾーンのページから HTML フォントをダウンロードするかどうかを指定します。
ユーザー認証
[ログオン]
HTTP の認証では、ログオン時の認証情報として、ゾーンのセキュリティ ポリシーを指定できます。セキュリティ ポリシーには、次の 4 つの値があります。
- [匿名ログオン] - HTTP 認証は、無効です。guest アカウントは、CIFS (Common Internet File System) に対してのみ使用します。
- [ユーザー名とパスワードを入力してログオン] - ユーザー ID とパスワードの入力が求められます。入力された情報は、該当セッション内で以降、自動的に使用されます。
- [現在のユーザー名とパスワードで自動的にログイン] - 入力を求めるプロンプトが表示される前に、エンド ユーザー クライアントとアプリケーション サーバー間の認証プロトコルである NTLM (Windows NT Challenge response) によって、ログオン時の認証情報が自動的に確認されます。
その他
[暗号化されていないフォーム データの送信]
このオプションでは、ゾーン内のページにある HTML フォーム、またはゾーン内のサーバーに送信された HTML フォームに、フォームの送信を許可するかどうかを指定します。SSL (Secure Sockets Layer) による暗号化で送信されたフォームは、常に許可されます。この設定は、SSL 以外のフォーム データを送信する場合にだけ影響を与えます。
[IFRAME のアプリケーションとファイルの起動]
このオプションでは、HTML の中から IFRAME タグによってディレクトリを参照している場合に、ゾーン内のアプリケーションおよびファイルの起動を許可するかどうかを指定します。
[デスクトップ項目のインストール]
このオプションでは、ゾーンからのデスクトップ項目のインストールをユーザーに許可するかどうかを指定します。
[ファイルのドラッグ/ドロップ、またはコピー/貼り付け]
このオプションでは、ゾーン内のソースからのファイルのドラッグまたはコピーをユーザーに許可するかどうかを指定します。
ソフトウェア チャンネルの許可
[安全性 - 低] を選択すると、次の操作を実行できます。
- 電子メールによる通知
- 自動ダウンロード
- 自動インストール
[安全性 - 中] を選択すると、次の操作を実行できます。
[安全性 - 高] を選択すると、次の機能を一切使用できません。
クライアント ユーザー インターフェイスで使用できないセキュリティ オプション
次に示す一連のオプションは、固定であり、ユーザーが設定することはできません。これらのオプションの動作は、高、中、および低 というゾーンの設定値から影響を受けません。
[Webview からの起動]
このオプションでは、Web ページとして表示されるフォルダ内のアプリケーションとファイルの起動を制御します。次に示す設定値は、フォルダ自体のゾーンではなく、カスタム Web コンテンツによって決定されます。
マイ コンピュータ |
ローカル イントラネット |
信頼サイト |
インターネット |
制限付きサイト |
使用 |
使用 |
使用 |
プロンプト |
プロンプト |