脱PPAPの背景
取引先などにファイルを共有する際、パスワード付きZIPファイルを送信し、別のメールでパスワードを送信するといった流れを一度は経験したことがあると思います。この一連の手順を「PPAP」と呼びます。
- P:パスワード付きZIP暗号化ファイルを送ります
- P:パスワードを送ります
- A:暗号化
- P:プロトコル
データ漏洩を防ぐために使われてきた「PPAP」ですが、「データ漏洩リスクを軽減できない」、「誤送信対策としては有効ではない」、「パスワード管理の手間がある」などの理由で、PPAPの利用を廃止する企業が増えています。
弊社でも脱PPAPのため、SharePoint Onlineの外部共有機能を利用して安全にファイル共有(送受信)できるかどうかを検証してみました。
準備するもの
ファイル共有を始める前に下記の3つを準備します。
- SharePoint Onlineのライセンス
- Microsoft 365の設定
- 共有したいファイル
SharePoint Onlineのライセンス
ファイルを送信する側のユーザーはMicrosoft 365のプラン、あるいはSharePoint Online単体プランを契約している必要があります。ご自身にあったプランを契約してください。
ファイルを受信する側については、Microsoftアカウントを持っていなくても利用できるので、Gmailなど他のメールアドレスで受信できます。
記事作成時点でSharePoint Onlineが含まれるMicrosoft 365プランは以下のとおりです(プラン詳細)。
- Microsoft 365 Business Basic
- Microsoft 365 Business Standard
- Microsoft 365 Business Premium
- Microsoft 365 E1
- Microsoft 365 E3
- Microsoft 365 E5
- 他多数
また、単体プランには2種類あります(プラン詳細)。
- SharePoint Online(プラン 1)
- SharePoint Online(プラン 2)
Microsoft 365の設定
ファイル共有するためには、Microsoft 365で下記の2つの設定を有効化する必要があります。
- テナントの外部共有機能
- サイトコレクション単位の外部共有機能
外部共有の流れ
ファイルやフォルダを外部共有する際の流れをまとめました。
送信者はSharePoint Onlineへファイルをアップロードし、作成した共有リンクを受信者へ通知します。受信者はワンタイムパスワードを使ってリンクへアクセスする。という流れになります。
脱PPAPのポイントとしては、特定の受信者を指定できること、ワンタイムパスワードを使ってアクセスができることです。
次の章では、受信者にファイルを編集させない場合を想定したファイル共有の手順をまとめています。
ファイルの送信
① 送信したいファイルをSharePointへアップロードします。
② 送信したいファイル/フォルダを右クリックし「共有」を選択します。
③ リンクを使用できるユーザーを「特定のユーザー」に変更します。
また、その他の設定を任意の権限に設定します。ここでは、「編集を許可する」をOFFにします。
設定できたら「適用」ボタンをクリックします。
※補足:その他の設定項目については、以下のようにそれぞれ権限設定されます。
④ ファイル受信者のメールアドレスを入力します。
入力後、Enterを押して確定させてください。入力エリアの上部に表示されればOKです。
外部共有の場合は、図のように「組織外のメンバーです」と表示されます。
⑤ コピーをクリックします。
※「送信」をクリックすると、すぐにメールが送信されるので、共有リンクをメールアプリで別途、送信する場合は「送信」をクリックしないでください。
⑥ リンクからファイル受信者のメールアドレスを削除します。
- 共有ファイルを右クリックし、「アクセス許可の管理」をクリックします。
- 共有リンクをコピーします。
⑦ コピーした共有リンクをファイル受信者にメールなどで連絡します。
※手順⑤で発行された共有リンクには、以下のようにファイル受信者のメールアドレスが含まれています。
例)https://test.sharepoint.com/:p:/s/test/EfykZ_uS8JhHqEl5sUm8i0QB6ZQMh2eBsW_Hh9WxyQjDjQ?email=testUser%40outlook.co.jp&e=prF9VO
リンクに特定のメールアドレスを含めたくない場合は手順⑥にしたがって、メールアドレスを削除してください。
ファイルの受信
① 共有されたリンクにアクセスします。メールアドレスの入力が求められるので、アクセス権が与えられたメールアドレスを入力します。
ここで別のメールアドレスを入力すると、エラーになりワンタイムパスワードが送信されません。
② アドレス認証が通ると、入力したメールアドレス宛に検証コード(ワンタイムパスワード)が届きます。コードを入力し、共有されたファイルへとアクセスします。
これで共有完了です。
メールにパスワード付きzipファイルを添付することなく、またzipファイルとパスワードを同じ経路で送信しなくても、共有することができました。
ファイル共有とフォルダ共有の違い
ファイル共有は、ファイル単体のみを共有する方法で、共有された人はそのファイルしか見ることができません。一方でフォルダ共有では、共有された人はそのフォルダ内にあるファイルをすべて見ることができます。
ファイル共有とフォルダ共有の違いを下の表にまとめています。
ファイル共有・フォルダ共有ともに、編集権限の有無でファイルに対して同じように制限をかけることができます。
フォルダ共有では、フォルダ内のファイルに対しても共有リンクを作成できます。親フォルダの権限レベルが強い場合、内部のファイルにも継承されてしまうので、親フォルダに編集権限を与えてしまうと、フォルダ内のファイルにいくら制限をかけても、すべての操作ができてしまいます。そのため、フォルダ共有の際は編集権限なしの設定で共有することが望ましいです。またダウンロード権限に関しては、フォルダへのアクセス権がある時点で許可されてしまうようです。
以上を踏まえて、それぞれのメリットデメリットをまとめてみました。
閲覧制限やダウンロード制限など、個別で細かい権限設定をしたい場合はファイル共有、フォルダ内は全部見てもOK、ダウンロードもOKなど緩い制約での共有であればフォルダ共有、というように使い分けすると良いと思います。
まとめ
- SharePoint Onlineの外部共有機能では、パスワードやファイルを送信せずにファイル共有ができ、パスワード管理の手間もない
- フォルダ共有の場合はフォルダの権限に依存するので、フォルダ権限は編集不可の設定がおすすめ
- フォルダ共有とファイル共有は使い分けが大事
今回は、SharePointの外部共有機能を利用した脱PPAPの施策として、ファイル/フォルダ共有の手順やそれぞれの共有方法の違いなど、検証した結果をまとめました。権限の設定など、細かく設定したい場合に少し不便に感じるところもありますが、脱PPAPとしては使えるのではないかなと個人的には思いました。
