SharePointで組織外の特定のユーザーとファイルを共有する
2020-04-20
azblob://2022/11/11/eyecatch/2020-04-18-eliminate-encrypted-zip-using-sharepoint-link-000.jpg

SharePoint Online のコンテンツ共有機能は次の4つのユーザーに対して共使用することができますが、組織外の方と機密情報のコンテンツを共有する時は、「特定のユーザー」に対して共有する機能を使うことが最適とされています。

  • リンクを知っている組織内のユーザー
  • 既存のアクセス権を持つユーザー
  • 特定のユーザー
  • リンクを知っている全てのユーザー

そこで、「特定のユーザー」に対して共有する機能を使う際の方法と注意点をまとめました。

コンテンツを共有する側の手順

共有リンクを作成する

SharePoint Online を開き、次の手順で共有リンクを作成します。

1. 共有したいフォルダまたはファイルを右クリックし、「共有」をクリック

2. リンクを利用できる対象ユーザーを「特定のユーザー」に設定
この時、その他の設定から「編集を許可する」が選択できますが、こちらは後から変更できます。

3. 共有したい相手のメールアドレスを登録
複数ユーザーを一度に登録できます。メールアドレス入力後に Enterキーを押して入力を確定させる必要があることに注意しましょう。エラーが出た場合は、エラーの指示に従ってください。

4. 「リンクのコピー」を選択
入力したメールアドレスを登録し、指定したアクセス権(表示/編集)を付与します。ここで生成したリンクは共有相手のメールアドレスを含む次のような形式となることに注意してください。

https://.sharepoint.com/:f:/s/group-name/Eoq..?email=outside-user%40mail.example.com&e=EzQxSb

また、「送信」をクリックした場合は、共有相手のメールアドレスに「<操作したユーザー名>さんがフォルダー"<コンテンツ名>"をあなたと共有しました。」というタイトルで上記と同じ共有リンクが送信されます。(この時、誤って宛先が存在しないメールアドレスを指定していると、メールボックスにエラーメールが届きます。)

5. 再び共有したいコンテンツを右クリックして「アクセス許可を管理」を開く

6. 「アクセス許可を管理」からアクセス許可を付与するリンクをコピー
ここで生成されるリンクは共有相手のメールアドレスを含まない形式となります。

7. 何らかの手段でコピーしたリンクを相手に共有

以上、慣れると簡単だと思います。

共有を停止する

共有した相手のアクセス権または共有したデータを削除することで、共有を停止できます。なお、フォルダにアクセス権を付与した場合、フォルダ中にあるコンテンツにも一律のアクセス権が与えられます。個別にアクセス権を削除することはできません

コンテンツを受け取る側の手順

1. 共有リンクをクリックすると、共有指定したメールアドレスの入力を求められる

2. 共有指定したメールアドレスに届いた認証コードを使ってリンクを開くと、共有されたコンテンツが表示される

  • 共有されるもの:
    - 共有されたコンテンツまでのディレクトリ名 (ex. ドキュメント > hoge > fuga > 共有テスト ←共有したフォルダ )
    - 「アクセス権を管理」の項目から直接アクセス権を与えられたユーザーまたはグループ名が表示されます。
    現状、非表示にする方法はありません。(2020/04/26)
  • 共有されないもの:
    共有されていないディレクトリに存在するコンテンツ
    - fuga ディレクトリに移動した場合、「共有したフォルダ」以外のコンテンツは表示されません。
    - hoge ディレクトリに移動した場合、「このアイテムは存在しないか、使用できなくなっています。(略)このアイテムを表示するアクセス許可が無い可能性があります。..」として表示されません。

余談:暗号化ZIPメールについて

メールで組織外の方とファイルをやり取りする時に使用される「暗号化ZIP」は日本独自の文化として今なお一大勢力を築いています。ここで今一度、暗号化ZIPでデータをやり取りする利害を挙げてみます。

暗号化ZIPメールのメリット

  • 暗号化ZIP内のデータはファイル名を除いて E2E で暗号化されるため、メール送信経路上でZIP内データの流出を困難にする
  • 暗号化ZIPを添付したメールの宛先を間違ったとしても、パスワードを伝えない限りはデータ流出を困難にする
  • 暗号化ZIPを作成するソフトウェアをインストールすれば無料で実現できる
  • メールが届きさえすれば、特定サイトへのアクセスを禁止している企業であってもデータを渡すことができる
  • マルウェアであっても相手のメールボックスに届けられる

暗号化ZIPメールのデメリット

  • 一度送信したデータの制御やアクセスを確認することはできない
  • SSLアクセラレーターやWAF等による境界防御が意味をなさない
  • 暗号化ZIPのパスワードの桁数がオフライン攻撃に対して十分でない場合がある
  • 通常、パスワードは暗号化ZIPを送ったメールアドレス宛に同一経路で送信される
  • メールボックスに暗号化されたデータとパスワードの組が取引以降も残留しがち
  • 受信者がデータを復号するためには、ローカルにダウンロードする必要がある

 誤った宛先に暗号化ZIPメールを送信してしまった場合、たとえパスワードを伝える前に過ちに気付いたとしても、ZIPの中身が流出していないことを証明できません。

一方で、共有リンクを送信して相手にデータをダウンロードさせる方法ならば、アクセスログを証拠として使用することができますし、ファイル共有をメール送信後に取りやめることも可能です。ただし、どちらにせよメール本文等から少なからず情報が流出するのは同じです。

全ての暗号化ZIPメールを、生まれる前に消し去りたい。..

参考リンク