Office 2010 アプリケーション セキュリティ
こんにちは、Office セキュリティ チームの Brad です。私たちのチームでは、Office 製品ラインを強化するセキュリティ機能を構築すること、および、セキュリティ開発ライフサイクル (SDL: Security Development Lifecycle) の一環として、部門全体にわたってセキュリティ エンジニアリング プロセスを推進することという 2 つの重要な分野に取り組んでいます。
まず、Office 2010 のいくつかのセキュリティ新機能に関する基本的な方針、つまり、私たちチームの目標と、その目標をどのように考えるかということから始めたいと思います。Office の出荷については、私たちがどう思うかではなく、皆様がどう思われるかが重要ですので、Technical Preview をお試しいただき、私たちが皆様のご期待に沿うことができているかどうか、Send-a-Smile ユーティリティを使ってお気軽にフィードバックをお送りください。
常にハッカーの先を行く
最初に、"なぜ" と疑問を持つことはいいことです。私たちがこのことに努力を傾注し、時間を費やすのはなぜでしょうか。また、その目的は何でしょうか。セキュリティの状況が変化するにつれて、残念なことに、Office はハッカーの次の攻撃の大きな的の一つとなっています。ハッカーは、Office の多くのファイル形式パーサーと Office ファイルを読み取る方法を研究してきました。彼らは、バグを利用して、自分たちのコードをユーザーのコンピューター上で実行させようと目論んでいます。これまでもバグの発見と修正に多くの作業を費やしてきましたが、すべてを発見することはできません。予防措置的な対策を推し進め、攻撃からの回復力の高い Office を構築することを必要としています。
このために、ファイルを開くプロセスの一部として Office ドキュメントが通過しなければならない多層防御を設計しました (私たちはこれを新しいセキュリティ ワークフローと呼んでいます)。私たちはこのプロセスをできる限り隠すようにしているので、ファイルを開くときに気が付くほどの遅れがなく、セキュリティに関する質問のダイアログも表示されません。
ファイル制限機能の向上
設計したセキュリティ ワークフローには、目標を達成するものと考えているいくつかの重要な機能があります。最初に、Office 2007 で導入したファイル制限機能を強化しました。アプリケーション内で構成できるようになり、Word、Excel、および PowerPoint で対応するファイルの種類が開かれるときの処理をより細かく管理できるようになりました。
Office ファイル検証機能: 存在を意識されない、不可欠な要素
もう一つの機能は、Office ファイル検証機能と呼ばれる新しいバイナリ ファイル検証システムです。脆弱性への攻撃の大多数は、XML バージョンになる前の古いファイル形式に対するものなので、Word、Excel、または PowerPoint で開く前に、それらのファイルがドキュメント化された形式に準拠していることを確認できるようにファイルを検証できるシステムを構築しました。この機能は Publisher 2007 で実装されましたが、有効に機能しています。Office ファイル検証機能は、存在することがほとんど意識されないものの、Office の不可欠な要素です。
次の疑問は、"それらのブロックされたファイルや無効なファイルをどうするか" ということです。ファイルが単にブロックされ、無効だと言われた場合、そのファイルがどうして無効なのか、またはその判断が間違っている可能性はないのかと思われるでしょう。また、ファイルが無効だとわかっていても読み込むことが必要な場合もありそうです。私たちはこのようなファイルへのアクセスを禁止することが目標だとは考えていません。このことから、保護されたビューと呼ぶ別のシステムも構築しました。
保護されたビュー: セキュリティが向上し、煩わしさが軽減される
保護されたビューは Word、Excel、および PowerPoint のファイルを表示するための方法ですが、このビューではそれらのファイルに関する危険性を完全に排除できます。分離されたサンドボックスにドキュメントの読み取り専用ビューを作成します。これにより、システムへのアクセスは最小限に抑えられ、ユーザーの他のファイルや情報がアクセスされることはありません。ファイルの安全性に問題があった場合でも、サンドボックスの範囲に制限されることで、ユーザーのコンピューターやデータに害が及ぶことはありません。
これらの機能をすべてまとめて多層防御に結び付けることで、コンピューターがアクセスしたどのようなファイルも、ブロック対象のファイル形式かどうかが検査され、有効性がテストされ、場合によっては読み取り専用の保護された状態で表示されます。これらの処理はリアル タイムで実行され、読み込み時間への影響は識別できないほどなので、Office ファイルを安心して開くことができます。
これらの機能とワークフローを有効にするためのもう一方の目標は、パフォーマンスを低下させることなく、ユーザー エクスペリエンスにプラスの影響を与えることです。これは、ダイアログ ボックスの数や有用でない情報を少なくすることを意味します。セキュリティ機能は、それ自体の処理が完了したら他の処理を妨げないだけの "スマート" なものにする必要があると考えました。このために、ファイルを信頼することを選択した場合、保護されたビューで開くファイルを記憶するようにしました。これにより、次にファイルを開くときにもう一度信頼する必要がなくなりました。安全性を損なわず、煩わしさのみを軽減することが狙いです。
今後の投稿では、システム管理者の方々に向けて、ここでご紹介した機能やその他の機能について掘り下げ、それらがどのように動作するかを説明し、機能を最大限に活用するための方法を提案します。今後もご愛読いただき、説明が必要な特定のセキュリティ機能があれば、ご要望をお寄せください。皆様と一緒に Office 2010 を作り上げていることをうれしく思います。Office 2010 をお楽しみいただければ幸いです。
お読みいただき、ありがとうございました。
Brad Albrecht
Senior Security PM (シニア セキュリティ PM)
Office Trustworthy Computing
Posted: Tuesday, July 21, 2009 11:18 PM by reedshaff
Filed under: セキュリティ, Technical Preview, 保護されたビュー
これはローカライズされたブログ投稿です。原文の記事は、https://blogs.technet.com/office2010/archive/2009/07/21/office-2010-application-security.aspx をご覧ください。