Internet Explorer のセキュリティ

インターネット ゾーンは、ほかのどのゾーンにも含まれないようなサイトから構成されます。既定では、インターネット ゾーンは、中 (安全) というセキュリティ レベルに設定されます。インターネットを参照する際にセキュリティ上の問題が懸念される場合は、設定を高 (最も安全) に変更してもかまいません。セキュリティのこの設定を上げると、一部の Web ページに潜在している危険な動作の実行を防ぐことができます。ただし、そうした場合は、一部の便利な機能が動作しなくなったり、一部のページが正常に動作しなくなったりする可能性があります。

カスタム設定を使うと、ゾーンのセキュリティ項目を個別に制御できます。それには、コントロール パネルの [インターネット] アイコンをダブルクリックし、[セキュリティ] タブをクリックし、[レベルのカスタマイズ] をクリックします。

インターネットおよびローカル イントラネットのゾーンに比べて信頼度の高い Web サイトや低い Web サイトは、これから説明する 2 つのゾーンに追加することができます。これらのゾーンにサイトを追加するには、該当するゾーンを選択し、次に [サイト] をクリックします。

信頼済みサイト ゾーンには、既定では「低」というセキュリティ設定が割り当てられます。このゾーンは、取り引きの多い会社のサイトのように、信頼性が非常に高いサイト ("エクストラネット") を割り当てるゾーンとして用意されています。信頼サイト ゾーンに割り当てたサイトは、より強力な動作を実行できるようになります。このようなゾーンに入れるサイトは、できるだけ少なくするよう、Internet Explorer から警告されます。このゾーンにサイトを追加するのは、そのサイトのコンテンツがコンピュータに被害をもたらす可能性がないと確信できる場合だけにしてください。信頼サイト ゾーンの場合は、HTTPS プロトコルを使用するか、あるいは該当サイトへの接続が安全であることを確認してください。

制限付きサイト ゾーンには、既定では「高 (最も安全)」というセキュリティ設定が割り当てられます。制限付きサイト ゾーンに割り当てたサイトは、最小限のきわめて安全な動作しか実行できなくなります。このゾーンは、信頼できないまれなケースのサイト用に用意されているものです。信頼性の低いコンテンツに対して高いセキュリティ レベルを設定すると、このゾーン内の多くのページは正しく動作しなくなります。

安全のためには、プロキシ サーバーおよびファイヤウォールと一緒に、ローカル イントラネット ゾーンをセットアップする必要があります。ゾーン内のサイトはすべて、"ファイヤウォールの内部" にある必要があります。また、プロキシ サーバーは、このゾーンに対する外部の DNS 名を解決しないように構成する必要があります。クライアントのゾーンのセキュリティを構成するには、既存のネットワークの構成、プロキシ サーバー、およびセキュリティ用のファイヤウォールに関して詳しい知識が必要です。そのような事柄に詳しくない方は、ネットワーク管理者に相談してください。

既定では、ローカル イントラネット ゾーンは、一連のローカルなドメイン名から構成され、[接続] タブ内の値は、プロキシ内の該当する値で上書きされます。これらの設定は、Internet Explorer 6 カスタマイズ ウィザードの [接続の設定] 画面で構成できます。なお、各ユーザーに複数の接続設定を構成できるようになりました。ネットワーク管理者は、これらの設定をインストールしても本当に安全であることを確認するか、または安全になるように調整してください。

ゾーンを設定する際は、検討の対象とする URL のカテゴリを指定することができます。また、ゾーンに特定のサイトを追加することもできます。

ゾーンに追加する URL のカテゴリをブラウザから指定するには

1. Internet Explorerで、[ツール] メニューの [インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
2. [イントラネット] ゾーンをクリックし、[サイト] をクリックします。
3. 次のチェック ボックスのうち、適切なチェック ボックスをオンにします。

   [ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める]
   [プロキシ サーバーを使用しないサイトをすべて含める]
   [すべてのネットワーク パス (UNC) を含める]

注

• このゾーンに特定のサイトを追加するには、[詳細] をクリックして URL を入力し、[追加] をクリックします。サーバー認証を必ず使用するように指定するには、[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] チェック ボックスをオンにします。
• IEAK パッケージで使用する URL のカテゴリを指定するには、Internet Explorer 6 カスタマイズ ウィザードの [セキュリティの設定] 画面で [現行のセキュリティ ゾーンとプライバシーの設定をインポートする] をクリックし、[設定の変更] をクリックします。

ローカル イントラネット ゾーンのオプションには、次の規則が適用されます。ただし、どのゾーンにサイトを追加する場合でも、次の規則は優先順位が一番下です。

• ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める − イントラネットのサイト名には、http://local のように、ドットが含まれません。http://www.microsoft.com のようなサイト名は、ドットが含まれているため、ローカルではないと判断できます。このサイトは、インターネット ゾーンに割り当てます。イントラネット サイトの名前の規則は、http: の URL だけでなく、ファイルにも適用されます。
• プロキシ サーバーを使用しないサイトをすべて含める − イントラネットの通常の構成では、プロキシ サーバーを使用することにより、イントラネット サーバーに直接接続してインターネットにアクセスします。この設定では、このような種類の構成情報を使用して、ゾーンのイントラネット コンテンツとインターネット コンテンツを区別します。プロキシ サーバーがこのように構成されていない場合は、このオプションをクリアし、ほかのオプションを使って、ローカル イントラネット ゾーンに割り当てるファイルを指定してください。プロキシ サーバーが存在しないシステムでは、このオプションの設定は無視されます。
• すべてのネットワーク パス (UNC) を含める − ネットワーク パス (¥¥local¥file.txt など) は通常、イントラネット ゾーンに入れるべきローカル ネットワークのコンテンツを指すのに使用します。イントラネット ゾーンに含めるべきではないネットワーク パスがある場合は、このオプションをクリアし、ほかのオプションを使って、イントラネット ゾーンに割り当てるファイルを指定してください。たとえば、一部の共通インターネット ファイル システム (CIFS) の構成では、ネットワーク パスを使ってインターネットのコンテンツを参照することができます。

イントラネット ゾーンの安全性が確認されたら、より広範で強力な動作を実行できるように、ゾーンのセキュリティ レベルを中低または低に変更することを検討します。[セキュリティの設定] ダイアログ ボックスで、セキュリティの設定を個々に調整することもできます。

安全性が低かったり、信頼できなかったりする部分がイントラネットの中にある場合は、その部分をこのゾーンから除外して、制限付きサイト ゾーンに割り当てることもできます。

ローカル イントラネット ゾーンは、IEAK を使って構成するようになっていますが、[インターネット オプション] ダイアログ ボックスの [セキュリティ] タブにある一連のオプションを使って構成することもできます。

ドメイン名サフィックスを使うと、ドメインを含まない短縮アドレスで Web サーバーを参照できます。たとえば、sample.microsoft.com という名前の Web サーバーを sample という短縮アドレスで参照することができます。この場合、http://sample.microsoft.com と http://sample のどちらを入力しても同じコンテンツにアクセスできます。

このようにセットアップするには、次の手順に従って、TCP/IP プロパティの [ドメイン サフィックスの検索順序] にドメイン サフィックスの検索順序を追加します。

1. [ネットワーク コンピュータ] アイコンを右クリックし、[プロパティ] をクリックします。
2. [TCP/IP] をクリックし、[プロパティ] をクリックします。
3. [DNS 設定] タブをクリックし、[ドメイン サフィックスの検索順] で必要な情報を追加します。

この構成では、セキュリティ ゾーンを正確にセットアップすることが重要です。既定では、http://sample のようにドットが含まれない URL はローカル イントラネット ゾーン内の URL と見なされ、http://sample.microsoft.com のようにドットが含まれている URL はインターネット ゾーン内の URL と見なされます。したがって、ドメイン名サフィックスを使う場合、コンテンツを適切なゾーンに明示的に割り当てるプロキシ サーバー バイパスが存在しなければ、ゾーンの設定を変更する必要があります。

ドメイン サフィックスでアクセスするコンテンツがイントラネットとインターネットのいずれのコンテンツとして扱われるかによって、どちらにも取れるサイト URL を適切なゾーンに割り当てなければなりません。http://sample のような URL をインターネット ゾーンに割り当てるには、イントラネット ゾーンに対して [ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める] チェック ボックスをオフにし、そのサイトをゾーンのサイトの一覧に追加します。

Web コンテンツのアドレスは、ドメイン ネーム システム (DNS) の名前か、インターネット プロトコル (IP) のアドレスで指定できます。これらの両方を使用するサイトでは、同一のゾーンを両方の方法で参照するように構成しなければなりません。ローカル イントラネット サイトは一般に、プロキシ サーバーのバイパス リストの中にあるローカル名か IP アドレスによって識別が可能です。その他の名前と IP アドレスはすべて、インターネット ゾーンにマッピングされます。ただし、サイト名は信頼済みサイト ゾーンまたは制限付きサイト ゾーンのサイトの一覧に入っているが、該当する IP アドレスの範囲が一覧に入っていない場合、IP アドレスによってアクセスされたとき、このサイトは、インターネット ゾーンの一部として処理される可能性があります。

ユーザーが 2 つのゾーンの間でコンテンツをコピーすると、コンテンツのセキュリティ レベルが本来のレベルより高くなったり、低くなったりする可能性があることに注意してください。

自動構成を使用しており、同じ自動構成ファイルを使用して Internet Explorer 5 (またはそれ以降) と Internet Explorer 4 の両方をサポートしている場合は、両方の間でセキュリティ設定が異なっていると、Internet Explorer 4 にはその設定が構成されません。