IE のセキュリティ ゾーンについて

Last Update: feedback 共有

Internet Explorer の “セキュリティ ゾーン” についてお話をしたいと思います。

こちらの画面をご覧いただいたことはありますでしょうか? [インターネット オプション] の、[セキュリティ] タブです。
SecurityTab

※ [インターネット オプション] ダイアログは、IE の [ツール] メニュー - [インターネット オプション] をクリックすると表示されます。

インターネット、ローカル イントラネット、信頼済みサイト、制限付きサイト の 4 つのアイコンが表示されていますが、これは IE の セキュリティ ゾーン を表しています。


“セキュリティ ゾーン” とは

Web サイトが 「ネットワーク上どの位置にあるか」を判定していずれかの “ゾーン” を割り当て、割り当てられたゾーンに基づいてセキュリティの管理を行う、IE 独自の機能です。

各ゾーンは、以下のようなイメージで設計されています。

インターネット ゾーン
一般的な、いわゆるインターネット上のサイトで利用されるゾーンです。悪意のあるサイトが含まれる可能性もあるため、既定でセキュリティは厳しめで、セキュリティレベルは「中高」です。

ローカル イントラネットゾーン
家庭内、社内など、内部ネットワークに存在するサイト向けのゾーンです。通常これらのサイトは信頼できる管理者によって管理されており、ユーザーがセキュリティ上の危険にさらされる可能性がほぼないことから、既定ではセキュリティは緩めでセキュリティレベルは「中低」です。

信頼済みサイト ゾーン
公開者、運営者がハッキリしていて、安全で信頼できるサイト向けのゾーンです。既定のセキュリティレベルは「中」で、4つのゾーンの中でローカル イントラネットゾーンの次に緩めです。具体的には、スクリプトの実行などが既定で許可されています。

制限付きサイト ゾーン
安全でない、信頼できないサイトを向けのゾーンです。既定のセキュリティレベルは 4 つのゾーンのうち最も厳しい、「高」で、スクリプト、ActiveX コントロールの実行や、ファイルのダウンロードなどはほぼ禁止されています。

通常、例えば http://www.microsoft.com/ といった一般的な Web サイトは インターネット ゾーン と判定されます。

ユーザーが「安全で信頼できるので、このサイト上のスクリプト等は確認なしで実行してよい」と考えたサイトは、信頼済みサイトゾーン に追加することで、スクリプトなどの実行のたびに確認を求められることなく利用できます。

逆にあやしい、安全でないと判断したサイトは制限付きサイトゾーンに追加することで、アクセス時に意図せず有害なプログラムが実行されてしまったり、ウィルスを含むプログラムがダウンロードされてしまうことを防げます。

ローカル イントラネットゾーン ではユーザーがサイトを追加する以外にも IE が持つ “ローカル イントラネットゾーンの自動判別” の機能により、家庭内、企業内の Web サイトを自動で ローカル イントラネットゾーン と判断する場合もあります。自動判別については後述します。


表示中 Web サイトの セキュリティゾーンの確認方法

表示している Web サイトがどのゾーンと判定されているかは、ページのプロパティ上に表示されます。
Property

もしくは、Web サイトを表示中に インターネット オプション を開いてセキュリティタブを見てみてください。4 つのゾーンの内選択状態になっている (文字が白くなっている) ゾーンが、表示中の Web サイトが割り当てられているゾーンになります。


各ゾーンのセキュリティ設定について

それぞれのゾーンには、既定で適切なセキュリティレベルが設定されています。

  • インターネットゾーン : 中高
  • ローカル イントラネットゾーン : 中低
  • 信頼済みサイトゾーン : 中
  • 制限つきサイトゾーン : 高

IE のセキュリティ設定は、スクリプト、ActiveX コントロール、ファイルのダウンロードに関するもの、その他にも多くの項目を含んでいます。セキュリティレベルではこれらの項目をまとめて設定できますが、[レベルのカスタマイズ] ボタンをクリックして表示される [セキュリティ設定] ダイアログで個別に設定も可能です。例えば、インターネットゾーンのレベルは “中高” ですが、ほとんどのセキュリティ設定はそのままにして、ActiveX コントロール関係のセキュリティだけ緩めたい、という場合には [レベルのカスタマイズ] を利用します。

個別の項目を変更すると、セキュリティのレベル には “カスタム” と表示されます。

セキュリティ関連のレジストリにつきましては、以下でご紹介しています。

上級ユーザー向けの Internet Explorer セキュリティ ゾーン関連のレジストリ エントリ
https://support.microsoft.com/ja-jp/help/182569/internet-explorer-security-zones-registry-entries-for-advanced-users


セキュリティゾーンの判定について

IE が Web サイトのゾーンを判定する仕組みについても簡単にご紹介します。

こちらに フローチャートもございますので、併せてご覧ください。
ローカル イントラネット サイト判定フロー

インターネットゾーン

ローカル イントラネットゾーン、信頼済みサイトゾーン、制限つきサイトゾーンと判定されなかった Web サイトはすべて、インターネットゾーンと判定されます。

なおインターネット オプションでは、明示的に Web サイトをインターネットゾーンに追加することはできません。グループ ポリシーの [サイトとゾーンの割り当て一覧] を利用すると、特定のサイトをインターネットゾーンに追加することが可能です。

信頼済みサイトゾーン、及び 制限つきサイトゾーン

各ゾーンに明示的に追加されているサイトが、それぞれ該当のゾーンと判定されます。それ以外の条件で、これらのゾーンと判定されることはありません。

ローカル イントラネットゾーン

信頼済みサイトや制限付きサイトゾーンと同様、”ローカル イントラネットゾーン” に明示的に追加されているサイトは、問答無用でローカル イントラネットゾーンと判定されます。

どのゾーンにも追加されていない Web サイトは、以下のような複数の要素を総合的に評価し、ローカル イントラネットゾーンに振り分けられるかが決まります。

ローカルイントラネットゾーンの自動判別について
IE が、どのようにローカルイントラネットゾーンを判定するかは、以下のダイアログの指定によって決まります。
LocalIntranet

※ このダイアログは、インターネット オプション のセキュリティタブ上でローカル イントラネットゾーンのアイコンをクリックし、サイト ボタンをクリックすると表示されます。

[イントラネットのネットワークを自動的に検出する] が有効の場合、ローカル イントラネットゾーンの自動判別 の機能が有効となります。

自動判別では、まずは “この端末でローカル イントラネットゾーンを有効とするかどうか” の判定が行われます。

イントラネットゾーンが無効となった端末では、サイトが自動的に “イントラネットゾーン” と判定されることがありません。

自動判別の機能によってイントラネット設定が有効となるのは以下の場合です。

a. クライアントがドメイン ネットワーク (※) 上に存在する場合

クライアントがドメインに参加している場合、”ローカル イントラネット” ゾーンは利用可能であると判定されます。なお、ドメイン ネットワーク上に存在する場合でも、ドメインに参加していないクライアント (WORKGROUP など) の場合は、 “ローカル イントラネット” ゾーンは利用不可と判断されます

b. クライアントがドメイン ネットワーク上に存在しない場合

Network Location Awareness (NLA) API を利用し、クライアントが管理されたネットワークに接続されているかを確認します。
管理されたネットワークに接続されていると判断された場合、”ローカル イントラネット” ゾーンが利用可能と判定します。
NLA の機能では、クライアントがドメインに参加していない場合や、該当ドメイン ネットワークに物理的に接続していない場合は、 管理されたネットワークに接続されていないと判断されます。
しかし、NLA での確認前に IE のコンポーネントによって端末がドメインに参加しているかの確認が行われます。
そのため、ドメインに参加している端末の場合にはドメイン ネットワークに物理的に接続されていない場合でも “ローカル イントラネット” ゾーンが利用可能と判定します。

 (※) “ドメインネットワーク” とは、ドメイン コントローラーが所属するネットワークを表します。

上記の条件に該当せず、イントラネット ゾーンを有効とできなかった場合には、IE で ホスト名のみのURL などイントラネットのサイト にアクセスすると、以下のような情報バーが表示されます。
NotificationBar

このメッセージは、”自動判別” の機能が、”イントラネットゾーン” を有効とできる条件が不足していると判断し、イントラネットゾーンを無効としたことを表します。

  • “今後、このメッセージを表示しない” を選択すると、引き続きイントラネット設定は無効となり、ローカル イントラネットゾーンは利用できません。
  • “イントラネットの設定を有効にする” を選択すると、 [イントラネットのネットワークを自動的に検出する] は無効、つまり自動判別の機能は無効になり、他の 3 つのオプションが有効になります。オプションの設定によって、該当するサイトをイントラネットゾーン として利用できます。

各オプションは以下のような設定です。

ほかのゾーンにないローカル (イントラネット) のサイトをすべて含める
セキュリティゾーンに明示的に登録されていないローカルサイトを “ローカルイントラネット” セキュリティ ゾーンにマップするかどうかを制御します。この設定が有効な場合、”信頼済みサイト” または “制限付きサイト” ゾーンに明示的に登録にされていないローカルサイトを “ローカル イントラネット” ゾ―ンと判断します。またこの設定が無効の場合、ローカルサイトに対するゾーン判定動作は行いません。なお、ローカルサイトとは、ドット (.) 文字を含まないホスト名のみでアクセスするサイト (http://contoso など) を指します。

プロキシ サーバーを使用しないサイトをすべて含める
プロキシサーバーを経由せず直接アクセスするサイト、(例えば インターネットオプション - 接続タブの LAN の設定で プロキシの例外リストに追加されているサイト等) を “ローカルイントラネット” セキュリティ ゾーンにマップするかどうかを制御します。この設定が有効な場合、プロキシサーバーを使用しないサイトは “ローカル イントラネット” ゾーンと判断されます。またこの設定が無効の場合、プロキシサーバーを使用しないサイトに対するゾーン判定動作は行いません。なお、プロキシ サーバーを構成していないシステムでは、この設定は効果がありません。

すべてのネットワーク パス (UNC) を含める
UNC を表す URL (\contosotest など) を “ローカルイントラネット” セキュリティ ゾーンにマップするかどうかを制御します。この設定が有効な場合、すべての UNC ネットワークパス (UNC) は “ローカル イントラネット” ゾーンと判断されます。この設定が無効な場合、ネットワーク パス (UNC) に対するゾーン判定は行いません。


※ 補足
ドメインに参加しているコンピュータで [イントラネットのネットワークを自動的に検出する] オプションを有効にすると、残りの 3 つのオプションも自動的に有効になります。この動作は以下の技術情報にて公開しています。

Enabling “Automatically Detect Intranet Network” on a domain member computer will enable all the three Intranet Options automatically.
https://support.microsoft.com/ja-jp/help/2028170/enabling-automatically-detect-intranet-network-on-a-domain-member-comp

ただし、これら 3 つのオプションは、ローカルイントラネットゾーンが有効である場合に効くものとなります。

例えば、[イントラネットのネットワークを自動的に検出する] オプションが有効で、これによってローカルイントラネットゾーンが “無効” と判断された場合、プロキシ サーバーを使用しないサイトにアクセスしても、ローカルイントラネットゾーンではなくインターネットゾーンと判定されます。


今回のお話は以上となります。

インターネット上のサイトを IE で閲覧されている時に、ActiveX コントロールやスクリプトの警告が出て煩わしかったり、面倒だと感じられることがあるかもしれないのですが、インターネットゾーンのセキュリティレベルを下げる、、といったことは危険なのでお勧めできません。本当に信頼できるサイトは信頼済みサイトゾーンに追加して利用するなど、適切にセキュリティ管理していただきながら、IE をご利用いただければと思います。

なお、本ブログは弊社の公式見解ではなく、予告なく変更される場合があります。
もし公式な見解が必要な場合は、弊社ドキュメント (https://docs.microsoft.com/ や https://support.microsoft.com) をご参照いただく、もしくは私共サポートまでお問い合わせください。