PPAPとは
以下の略称をPPAPと(やや皮肉を込めて)呼んでいます。
- P:パスワード付きZIPファイルを送ります
- P:パスワードを送ります
- A:暗号化
- P:プロトコル
パスワード付きzipファイルをメールで送信して、後からパスワード情報をメールするというものですね。
過去の類似記事:
PPAPについては、現在、以下のような理由からセキュリティ対策として不十分だと言われています。
- パスワードが短ければ推測しやすい
- 長くて複雑でないと意味がないが、長いと入力が面倒
- 規則性があると推測しやすい
- パスワードが同一経路で送信されるので入手しやすい
- メール+郵便or電話など他経路用意すれば一定の効果はあるかも?
- 経路が分かれば対策しやすい
- ファイルを展開する手間がかかりモバイルで見ずらい
- 展開してから参照する手間がかかる
- 展開出来ないケースもある
本記事では、PPAP対策としてOneDrive for Businessの共有リンク機能を利用する方法をご紹介します。
OneDrive 共有リンク機能の使い方
共有手順
ブラウザ版での手順をご紹介します。
- 共有したいファイルやフォルダーを選択し、「共有」をクリックします。
- 赤枠内のメニューをクリックします。
※規定値設定により内容は変わります
-
「特定のユーザー」をクリックします。
-
「その他の設定」から共有したい相手に編集を許可するか選びます。
※この画像では編集できない「表示可能」を選択
- 「適用」をクリックします。
-
共有したい相手のメールアドレス、本文を記載し、「送信」をクリックします。
-
共有した相手にメールが届きます。
メール本文の「開く」をクリックします。
-
ブラウザーが起動します。
「コードを送信」をクリックします。
-
ワンタイムパスワード(OTP)が届きます。
-
確認コードを入力し、「確認」をクリックします。
-
ファイルを開くことができました。
アクセスエラーになる場合
ファイルがフォルダーとして認識されています。
トップフォルダーに移動し対象ファイルを選択してみてください。
共有リンクの削除
- 対象のファイルやフォルダーを選択し「共有」をクリックします。
- 「共有した相手」のリンクをクリックします。
-
「共有を停止」をクリックします。
-
再確認を求められるので「共有を停止」をクリックします。
-
共有リンクが削除できました。
SharePoint管理センターによる外部共有の制御
共有ポリシー
SharePoint管理センターの「ポリシー」-「共有」から外部共有のレベルを選択できます。
例えば、「新規および既存のゲスト」を選択した場合、「リンクを知っているすべてのユーザー」はグレーアウトされ選択できなくなります。
匿名共有を禁止したい場合に設定をします。
また、「ファイルとフォルダーのリンク」から規定値を変更することができます。
OutlookからOneDriveの共有リンクを張り付ける際に反映される設定です。
リンクの有効期限を設定しておくことをオススメします。(初期値は無制限)
アクセス権の設定変更忘れを防ぐための処置です。
アクセスの制御ポリシー
以下の制御が行えます。
- 管理されていないデバイス設定
- Intune管理(コンプライアンスポリシー準拠)やハイブリットAAD参加(Hybrid Azure AD join)されていないデバイスのアクセス制御を行う
- フルアクセス許可、Webのみアクセス、ブロックの3択
- アイドルセッションのサインアウト
- 管理されていないデバイスが非アクティブ状態のとき、一定時間経過でサインアウトさせる機能
- ネットワーク上の場所
- 特定のIPアドレスのみアクセスを許可させたい場合に設定
- 先進認証を使用していないアプリ
レガシー認証を使用している場合、アクセスを許可orブロックの指定をする
おわりに
いかがでしたでしょうか?
共有リンクを利用したPPAP対策でした。
なお、編集許可を与えれば複数人でドキュメントの同時編集なども行えます。
ファイルの複製で管理が煩雑になるリスクを避けられそうですね。
今後もMicrosoft 365やAzure関連の記事を書いていく予定です。
よろしくお願いいたします。