セキュリティ ゾーンに構成できる URL

セキュリティ ゾーンの URL について

殆どの Windows OS では、Internet Explorer がサポート終了になりましたが、インターネット オプションは健在です。
これは、インターネット オプションが Internet Explorer の設定だけでなく、OS のインターネットの設定とも紐づいていますし、セキュリティ ゾーンという独自の URL 判定機能に基づいたセキュリティの管理機能がほかの Web ブラウザーの動作にも影響していて、廃止にできないから…という理由なのかなと想像しています。

セキュリティ ゾーンって何なのか？は、Microsoft のエンジニアさんがブログ記事で分かりやすく解説してくれているので、ここでは割愛します。
https://jpdsi.github.io/blog/internet-explorer-microsoft-edge/IE-SecurityZones/

セキュリティ ゾーンにURL を追加する

インターネット オプションの [セキュリティ] タブから、各ゾーンにサイトの URL を追加できます。
追加することで任意のゾーンでサイトを表示できます。
ローカル イントラネットと信頼済みサイト ゾーンでは、以下の画像のように "このゾーンのサイトにはすべてのサーバーの確認 (https:) を必要とする (S)" というオプションがあり、このオプションにチェックが入っていると、https: のサイトしか追加できない状態になります。
うっかりセキュリティが低い http: のサイトを登録しないようにするためのものですね。

ローカル イントラネットと信頼済み サイト ゾーンは、その名の通りローカルのサイトや信頼しているサイト用のゾーンなので、ほかのゾーンよりもセキュリティがやや低めの設定になっています。

こ Web サイトをゾーンに追加する (D): のところに URL を追加したら、追加したゾーンで判定される設定が完了します。

有効な URL の形式

aaa とかでも追加はできますが、有効な記載方法じゃないと動作しません。
基本形は以下の通りです。

プロトコル + ドメイン名

下の階層のフォルダ名やファイル名は無効です。
× https:// qiita .com/drafts/
〇 https:// qiita .com

IP Range はハイフンでつなぎます。
ex) 192.168.0.1-10

ワイルド カードも使えます。
使える形式としては以下の画像の通りです。

上の画像に記載はないですが、以下のパターンも無効でした。

• プロトコル + * + TLD
• プロトコル + abc-* + 〇〇〇 + TLD

ワイルド カードの使い方については、一部ですが公開情報に記載されています。
* + TLD この形式はまずだめですよって書いてます。
よくよくほかの公開情報とあわせて読むと、TLD というか Public Suffix List (PSL) をすべて含めるような書き方はダメってことのようです。
以下に 2024/10/05 現在で該当する公開情報を転記します。

公開情報 その 1

(抜粋)
When you enter data in the Group Policy Editor, there's no syntax or logical error checking available. This error checking is performed on the client when the Internet Explorer Zonemapping Group Policy Extension converts the registry into the format used by Internet Explorer. During that conversion, the same methods are implemented when you manually add a site to a specific security zone. If an entry is rejected when you add it manually, the conversion also fails if the Group Policy is used and the event 1085 is issued. For example, when you try to add a wildcard entry to a top-level domain (TLD) (like or ) while adding a site, the wildcard entry is rejected. Now, the question is, which entries are treated as TLDs; by default, the following schemes are treated as TLDs in Internet Explorer:*.com *.co.uk

Flat domains (such as )..com
Two-letter domains in a two-letter TLD (such as )..co.uk

(翻訳)
グループポリシーエディタでデータを入力する場合、構文エラーまたは論理エラーチェックは使用できません。このエラーチェックは、Internet Explorer Zonemapping Group Policy ExtensionがレジストリをInternet Explorerで使用される形式に変換するときにクライアント上で実行されます。この変換時に、サイトを特定のセキュリティゾーンに手動で追加するときと同じ方法が実装されます。手動で追加したときにエントリが拒否された場合、グループポリシーが使用されてイベント1085が発行されると、変換も失敗します。たとえば、サイトを追加するときに、トップレベルドメイン（TLD）にワイルドカードエントリーを追加しようとすると（たとえば、または）、ワイルドカードエントリーは拒否されます。さて、問題はどのエントリーがTLDとして扱われるかです。デフォルトでは、以下のスキームがInternet ExplorerでTLDとして扱われます：*.com *.co.uk

フラットドメイン（ ).comなど
2文字TLDの2文字ドメイン（ )..co.ukなど

公開情報その 2

(抜粋)
5. Security Zones – Mapping Domains to Zones
Because Public Suffixes are typically shared by multiple unrelated organizations, URLMon does not permit users to add all sites in a given public-suffix to a security zone.

We are aware that there are scenarios where such assignments may be desirable to some organizations (e.g. perhaps I would like to assign *.mil to the Trusted Sites Zone).

(翻訳)
5. セキュリティゾーン - ドメインとゾーンのマッピング
パブリックサフィックスは通常、無関係な複数の組織で共有されているため、URLMonはユーザーが特定のパブリックサフィックスのすべてのサイトをセキュリティゾーンに追加することを許可していません。

組織によっては、このような割り当てが望ましい場合があることは承知しています(例えば、*.milを信頼済みサイトゾーンに割り当てたい場合など)。

Microsoft さんも企業がこういうワイルドカードの使い方をしたいっていう要望がるのを認識したうえで、追加するのが使う側の判断で自己責任だったとしてもセキュリティ的にダメってことにしているんですね。きっと。

今回はここまで。