Internet Explorer 4.0 のセキュリティ

Internet Explorer 4.0 を使用すれば、サイト証明書、認証コード発行元、セキュリティ ゾーンなど、いくつかの方法でセキュリティを制御できます。ユーザーのコンピュータに証明書をあらかじめインストールしておき、他の証明書のダウンロードをユーザーに禁止することもできます。また、ユーザーが表示できるコンテンツに規制を設定することもできます。

企業内管理者の方の場合は、Internet Explorer 管理者キット ウィザードの段階 4 および段階 5 で、セキュリティに関する設定値と規制を指定できます。

セキュリティ ゾーン

Internet Explorer 4.0 の新しいセキュリティ オプションを使用すれば、各 Web サイトをそのコンテンツの信頼度に基づき、さまざまなゾーンに割り当てることができます。

Internet Explorer 4.0 をインストールすると、次のセキュリティ ゾーンがセットアップされます。

• インターネット ゾーン－標準時は、すべてのインターネット サイトがこれに含まれます。

• ローカル イントラネット ゾーン－ローカル ネットワークに接続されているコンピュータ用のゾーンです。
• 信頼サイト ゾーン－信頼しているサイトをこのゾーンに割り当てることができます。
• 制限付きサイト ゾーン－信頼できないサイトをこれに割り当てることができます。

マイ コンピュータ ゾーン－信頼できるローカル システムのコンテンツ (メンバーシップも設定値も変更できません) から構成されます。

Internet Explorer の 4.0 と 3.0 ではセキュリティの設定値が異なっているため、4.0 では 3.0 の既存の設定を使用できません。新しいセキュリティ ゾーンに加えて、セキュリティの設定値である 高 (最も安全)、中 (安全)、および低の意味も異なっています。Internet Explorer 4.0 をインストールした後は、セキュリティに関する標準の設定値を見直し、ニーズに合わせて調整する必要があります。

コントロール パネルの [インターネット] アイコンをダブルクリックした後、[セキュリティ] タブをクリックすれば、セキュリティに関する設定値をすべて表示することができます。それらのオプションに関する詳細な情報と操作方法については、Internet Explorer のセキュリティ オプションを参照してください。

ただし、インターネット上のセキュリティは、それらの設定値に応じて良否が決まります。Internet Explorer 4.0 を使用すれば、セキュリティをうまく設定するのに必要な情報が得られるだけでなく、それらの設定値を柔軟に運用することもできます。

インターネット ゾーンのセットアップ

インターネット ゾーンは、他のどのゾーンにも含まれないようなサイトから構成されます。デフォルト時、インターネット ゾーンは、中 (安全) というセキュリティ レベルに設定されます。インターネットをブラウジングする際にセキュリティ上の問題が懸念される場合は、設定値を高 (最も安全) に変更してもかまいません。セキュリティのこの設定値を上げると、一部の Web ページに潜在している危険な動作の実行を防ぐことができます。ただし、そうした場合は、一部の便利な機能が動作しなくなったり、一部のページの動作がおかしくなったりする可能性があります。

経験の豊かなユーザーの場合は、セキュリティをゾーン別に制御できるように、カスタム設定を選択してもよいでしょう。その場合は、コントロール パネルの [インターネット] アイコンをダブルクリックします。次に、[セキュリティ] タブの [カスタム] をクリックし、[設定] をクリックします。

信頼ゾーンおよび制限付きゾーンへのサイトの追加

インターネットおよびローカル イントラネットのゾーンに比べて信頼度の高い Web サイトや低い Web サイトは、これから説明する 2 つのゾーンに追加することができます。これらのゾーンにサイトを追加するには、該当するゾーンをまず選択し、次に [サイトを追加する] をクリックします。

信頼サイト ゾーンには、標準では「低」というセキュリティ設定値が割り当てられます。このゾーンは、信頼性の高いサイト (取り引きを頻繁に行う会社のサイトなどであり、"エクストラネット" と呼ばれる場合もある) を意図したものです。信頼サイト ゾーンに割り当てたサイトは、より強力な動作を実行できるようになります。このようなゾーンに入れるサイトは、できるだけ少なくするよう、Internet Explorer から警告されます。このゾーンにサイトを追加するのは、そのサイトのコンテンツがコンピュータに被害をもたらす可能性がないと確信できる場合だけにしてください。信頼サイト ゾーンの場合は、HTTPS プロトコルを使用するか、あるいは該当サイトへの接続が安全か確認してください。

制限付きサイト ゾーンには、標準では「高 (最も安全)」というセキュリティ設定値が割り当てられます。制限付きサイト ゾーンに割り当てたサイトは、最小限のきわめて安全な動作しか実行できなくなります。このゾーンは、信頼できないまれなケースのサイト用に用意されているものです。信頼性の低いコンテンツに対して高いセキュリティ レベルを設定すると、このゾーン内の多くのページは正しく動作しなくなります。

ローカル イントラネット ゾーンのセットアップ (ネットワーク管理者向け)

安全のためには、プロキシ サーバーおよびファイヤウォールと一緒に、ローカル イントラネット ゾーンもセットアップする必要があります。ローカル イントラネット ゾーン内のサイトはすべて、"ファイヤウォールの内部" にある必要があります。また、プロキシ サーバーは、このゾーンに対する外部の DNS 名を解決しないように設定する必要があります。クライアントのゾーンのセキュリティを設定するには、既存のネットワークの設定、プロキシ サーバー、およびセキュリティ用のファイアウォールに関して詳しい知識が必要です。そのような事柄に詳しくない方は、ネットワーク管理者に相談してください。

ローカル イントラネット ゾーンはデフォルト時、一連のローカルなドメイン名から構成されます。[接続] タブ内の値は、プロキシ内の該当する値で上書きされます。ネットワーク管理者は、これらの設定値をインストールしても安全であることを確認するか、または安全になるように調整しなければなりません。

ゾーンを設定する際は、検討の対象とする URL のカテゴリを指定することができます。また、ゾーンに特定のサイトを追加することもできます。

ゾーンに追加する URL のカテゴリを指定するには:

1. [表示] メニューで、[インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
2. [ゾーン] の一覧で、セキュリティ レベルの設定対象となるゾーンを選択します。
3. [サイトの追加] をクリックした後、該当するチェック ボックスを下記の中から選択します。
   
   
ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める
プロキシ サーバーを使用しないサイトをすべて含める
すべてのネットワーク パス (UNC) を含める

注意
このゾーンに個々のサイトを追加するには、[詳細設定] をクリックした後、URL を入力し、[追加] をクリックします。そのサーバーの認証を使用するには、[このゾーンのサイトにはすべてサーバーの確認 (https) が必要] チェック ボックスをオンにします。

ローカル イントラネット ゾーンのオプションには、次の規則が適用されます。ただし、どのゾーンにサイトを追加する場合でも、次の規則は優先順位が一番下です。

• ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める: イントラネットのサイトは、http://local のように、名前の中にドットがありません。http://www.microsoft.com のようなサイト名は、ドットが中に含まれているためローカルでなく、インターネット ゾーンに割り当てることになります。イントラネット サイトの名前の規則は、http: の URL だけでなく、ファイルにも適用されます。
• プロキシ サーバーを使用しないサイトをすべて含める: イントラネットの通常の設定では、プロキシ サーバーを使用することにより、イントラネット サーバーに直接接続してインターネットにアクセスします。この設定項目では、このような種類の設定情報を使用して、ゾーンのイントラネット コンテンツとインターネット コンテンツを区別します。プロキシ サーバーを別の設定にする場合は、このオプションをクリアし、他のオプションによってイントラネット ゾーンのメンバーシップを区別するようにしなければなりません。ただし、プロキシ サーバーを使わないシステムでは、この設定項目は無効です。
• すべてのネットワーク パス (UNC) を含める: ネットワーク パス (\\local\file.txt など) は通常、ローカル イントラネット ゾーンに入れるべきローカル ネットワークのコンテンツを指すのに使用します。ローカル イントラネット ゾーンに入れるべきでないようなネットワーク パスが存在している場合は、このオプションをクリアし、他のオプションによってメンバーシップを指定してください。たとえば、一部の共通インターネット ファイル システム (CIFS) 設定では、ネットワーク パスを使ってインターネットのコンテンツを参照することができます。

ローカル イントラネット ゾーンの安全性が確認されたら、より広範で強力な動作を実行できるように、ゾーンのセキュリティ レベルを「低」に変更することを検討します。[カスタム設定] ダイアログ ボックスで、セキュリティの設定値を個々に調整することもできます。

安全性が低かったり、信頼できなかったりする部分がイントラネットの中にある場合は、その部分をこのゾーンから除外して、制限付きサイト ゾーンに割り当てることもできます。

ローカル イントラネット ゾーンは、Internet Explorer 管理者キットを使って設定するようになっていますが、[インターネット プロパティ] ダイアログ ボックスの [セキュリティ] タブにある一連のオプションを使って設定することもできます。

ドメイン サフィックスを指定する

ドメインの接尾辞を削除すれば、短いアドレスで Web サーバーを参照することができます。例えば、sample.microsoft.com というアドレスの場合、sample を使って、そのサイトを参照できます。http://sample.microsoft.com または http://sample と入力しても同じサイトにアクセスできます。

この方法でアクセスするには、次の手順に従ってください:

1. [ネットワーク コンピュータ] を右クリックし、[プロパティ] をクリックします。
2. [TCP/IP] をクリックし、[プロパティ] をクリックします。
3. [DNS 設定] タブをクリックし、[ドメイン サフィックスの検索順] に必要な情報を追加します。

これらを設定するには、セキュリティ ゾーンが正しく設定されている必要があります。標準では、ピリオドのない URL (例えば、http://sample) はローカル イントラネット ゾーンであり、ピリオドの付いている URL (例えば、http://sample.microsoft.com) はインターネット ゾーンとみなされます。このため、この設定を使うときに、正しい内容を適切なゾーンに割り当てるためのプロキシ サーバー バイパスがない場合は、ソーンの設定を変更する必要があります。

ドメイン サフィックスでアクセスしたサイトがイントラネット、またはインターネット上であるかによって、あいまいなサイトの URL を適切な適切なゾーンに割り当てる必要があります。イントラネット ゾーンに http://sample という URL を割り当てるには、[ローカル (イントラネット) のアドレスにはプロキシを使用しない] チェック ボックスをオフにしてください。

すべてのゾーンに適用されるセキュリティ関連のその他の注意事項

Web サイトのアドレスは、ドメイン名システム (DNS) の名前か、インターネット プロトコル (IP) のアドレスで指定できます。これらの両方を使用するサイトでは、同一のゾーンを両方の方法で参照するように設定しなければなりません。ローカル イントラネット サイトは一般に、プロキシ サーバーのバイパス リストの中にあるローカル名か IP アドレスによって識別が可能です。その他の名前と IP アドレスはすべて、インターネット ゾーンにマッピングされます。ただし、サイト名は信頼ゾーンまたは制限付きゾーンのサイトの一覧に追加したサイトで、該当する IP アドレスの範囲を入れていないと、該当するサイトは IP アドレスによってアクセスされたとき、インターネット ゾーンの一部として処理されるかもしれません。

ユーザーがコンテンツをゾーン間でコピーした場合は、それによってコンテンツのセキュリティ レベルが上下する可能性があることを理解しておく必要があります。