脱PPAPの代替手段~OneDrive編~
脱PPAPとは
PPAPとはパスワード保護したZIPファイルの添付メールを送信後、その解凍パスワードをあとから別送する方法のことを言います。
PPAPはセキュリティが危険視されていて、廃止することを求められています。
なぜPPAPが危険視されているのか
PPAPは下記の理由でセキュリティ上の問題があります。
- ZIPファイルも解凍パスワードも同一経路で送信する
メールの送信経路を盗み見られた場合、解凍パスワードを別送しても両方のメールが盗み見られている可能性があり、別送する意味がありません。 - ZIPファイルのパスワード保護の解除は容易である
ZIPファイルの解凍は、無制限にパスワードを試行することができるため、パスワードを片っ端から試してみる総当たり攻撃を行うと、必ず解除することができます。
政府や大手企業が次々に脱PPAPを表明しています。
脱PPAPに取り組まないと、情報漏洩のリスクがあるばかりでなく、取引先企業から「セキュリティに対する認識が甘く、取引において信用できない企業」といった印象を抱かれかねません。
脱PPAPの代替手段(Microsoft Purview Message EncryptionとOneDrive)
MicrosoftではPPAPに替わる手段として、以下の2通りの方法を推奨しています。
それぞれメリットがありますので、ケースバイケースで使い分けていただくことをおすすめします。
代替手段1~Microsoft Purview Message Encryption~
Microsoft Purview Message Encryptionは、メールにファイルを添付すると自動的に暗号化する方法です。送信者は従来通りメールに添付するだけなので、送信者の操作手順を変更する必要が無いことがメリットとして挙げられます。
Microsoft Purview Message Encryptionでの送信手順についてはこちらの記事をご覧ください。
代替手段2~OneDrive~
OneDriveを使った場合、安全にファイルを共有することができます。
ファイルを送信するのではなく、自分の管理下にあるクラウドストレージ(OneDrive)へアクセスしてもらうかたちなので、権限を自由にコントロールすることができます。
例えば、重要な機密情報を共有する場合、閲覧するだけで編集やダウンロードはできないようにすることができます。
Microsoft Purview Message EncryptionとOneDriveの比較
| Microsoft Purview Message Encryption | OneDrive | |
|---|---|---|
| 脱PPAP対策 | 対応 | 対応 |
| 主機能 | Eメールの暗号化通信 | 安全なファイル共有 |
| メリット | ファイルを添付すると自動的に暗号化されるため、送信者の手間が無い | 閲覧のみ/編集可/ダウンロード可、有効期限など細かな権限設定が可能 |
| 送信者の操作 | 通常のメール送信と同じ | OneDriveまたはエクスプローラーから操作 |
| 送信相手(受信者)の操作 | マイクロソフトユーザー以外の場合は15分間有効なワンタイムパスコードを取得 マイクロソフトユーザーの場合はサインインのみ | マイクロソフトユーザー以外の場合は検証コードを取得 マイクロソフトユーザーの場合はサインインのみ |
| 必要なライセンス | Exchange Online + Azure Information Protection Exchange Online + Azure Information Protectionを含む下記ライセンスも対象 ・Microsoft 365 Business Premium ・Office 365 E3 ・Office 365 E5 ・Microsoft 365 E3 ・Microsoft 365 E5 | OneDrive for Business OneDrive for Businessを含む下記ライセンスも対象 ・Microsoft 365 Business Basic ・Microsoft 365 Apps for business ・Microsoft 365 Business Standard ・Microsoft 365 Business Premium ・Office 365 E3 ・Office 365 E5 ・Microsoft 365 Apps for enterprise ・Microsoft 365 E3 ・Microsoft 365 E5 他 |
OneDriveでの送信手順
OneDriveはブラウザから操作するWeb版とデスクトップのエクスプローラーから操作する方法の2通りの送信手順があります。
また、送信相手がマイクロソフトユーザーではない場合とマイクロソフトユーザーの場合で受信手順が異なります。
【送信手順】
・ブラウザから操作するWeb版の送信手順
・デスクトップのエクスプローラーから操作する送信手順
【受信手順】
・送信相手がマイクロソフトユーザーではない場合の受信手順
・送信相手がマイクロソフトユーザーの場合の受信手順
ブラウザから操作するWeb版の送信手順
- OneDriveのWeb版から共有する方法を見ていきます。
Web版にサインインし、共有したいファイルの右にある共有アイコンをクリックします。
- ここではマイクロソフトユーザーではない相手にメールを送信します。
メールアドレスとメッセージを入力し、送信ボタンをクリックします。
- また、共有する際共有した相手が編集可能かそうでないかを選択することができます。ここでは編集可能としました。
- 適用を押して先程の画面に戻ります。
送信ボタンをクリックしてリンクの送信が完了しました。Web版から操作する送信手順については以上です。
デスクトップのエクスプローラーから操作する送信手順
- エクスプローラーからOneDriveフォルダを開きます。
- 共有したいファイルを右クリックして [共有]をクリック。
- 共有をクリックするとポップアップが表示され、指定したユーザーへメールが送信できます。
宛先とメッセージを入力して送信ボタンをクリックします。ここではマイクロソフトユーザーの場合の挙動を見ていきます。
- 送信をクリックするとメールが送信されます。エクスプローラーから操作する送信手順については以上です。
送信相手がマイクロソフトユーザーではない場合の受信手順
- メールクライアントをみてみましょう。下記のようなメールが届いていると思います。ファイル名か開くボタンをクリックしましょう。
- 検証コードの入力が求められます。コードを送信ボタンをクリックし、メールを確認します。
- メールが届いたと思うので、認証コードを入力し、確認ボタンをクリックします。
- 共有されたファイルが表示されたと思います。今回は編集が可能になっています。編集されたくない場合などはブラウザから操作するWeb版の送信手順の3番項から選択を変更するようにしてください。
- これでOneDriveのWeb版から脱PPAPしたメール共有ができました。マイクロソフトユーザーではない場合の受信手順については以上です。
送信相手がマイクロソフトユーザーの場合の受信手順
- メールクライアントを見てみましょう。共有メールが届いています。ファイル名か開くボタンをクリックします。
- アカウントにサインインが求められる場合があります。サインインしましょう。
- 共有されたファイルがみれました。このファイルは[編集](トリミング等)や[共有]、[リンクのコピー]、[ダウンロード]等が可能です。
- デスクトップからOneDriveで脱PPAPしたメール共有ができました。マイクロソフトユーザーの場合の受信手順については以上です。
