社外へ大容量ファイルを送るとき、いまだにこんな手順を踏んでいませんか?
- ファイルをZIPに圧縮してパスワードを設定
- ZIP付きメールを送信
- 別のメールでパスワードを送信
これが PPAP(Password-producted-zip, Password-sent-via-email, Active-scan-impossible, Protocol)と呼ばれる慣行です。
PPAPとは、パスワード付きZIPファイルをメール送信し、そのパスワードを別メールで送る慣行を指す俗称です。
「パスワードをかけているから安全」と思いがちですが、実はこの方法こそが現代では最も危険なファイル送信方法のひとつとされています。
一方で、OneDrive での共有においても落とし穴があります。
共有リンクを作成する際に、環境によっては選択可能な 「リンクを知っている全員」 の設定です。
これはURLさえ知っていれば認証なしでアクセスできる匿名リンクであり、誤って利用すると情報漏洩につながるリスクがあります。
本記事では、PPAPが危険な理由を整理しつつ、OneDriveの安全な共有機能を使って「楽に・安全に」社外とファイルをやり取りする方法を徹底解説します。
PPAPが「オワコン」になった本当の理由
PPAPの3大問題点
① セキュリティ上の意味がない
ファイルとパスワードを同じメールの経路(電子メール)で送信する限り、仮にメールが盗聴・誤送信されれば、両方の情報が第三者に渡ります。
「パスワードを別メールで送る」という行為はワンクッションにしかならず、本質的な暗号化の意味をなしません。
② ウイルス対策をすり抜ける
パスワード付きZIPは、メールゲートウェイやセキュリティ製品による内容検査が困難になります。
そのため、マルウェア検知を回避する手段として悪用されるケースがあります。
そのため、悪意のあるファイルが含まれていてもセキュリティソフトが検知できず、Emotetをはじめとするマルウェアがこの脆弱性を悪用して国内で爆発的に拡散しました。
③ 業務効率を著しく損なう
ZIP圧縮、パスワード設定、2回のメール送信、受信側でのパスワード入力と解凍——これらの作業は積み重なると大きな時間ロスとなり、ミスも発生しやすくなります。
OneDriveの「共有」機能、4つの選択肢を理解する
OneDriveでファイルを共有する際、共有設定の画面には主に4種類のリンクの種類があります。
それぞれの特徴を正しく理解することが、安全な共有の第一歩です。
リンクの種類と推奨度
| リンクの種類 | アクセスできる人 | 推奨度 | 主な用途 |
|---|---|---|---|
| 特定のユーザー | 指定したメールアドレスのみ | ★★★★★ | 機密性の高い書類 |
| 組織内のユーザー | 社内テナントのメンバーのみ | ★★★★☆ | 社内共有 |
| リンクを知っている全員(匿名) | URLを知っていれば誰でも | ★☆☆☆☆ | 原則として社外には使用しない |
| 既存のアクセス権を持つユーザー | すでにアクセス権がある人のみ | ★★★★☆ | アクセス済みの相手への再共有 |
「リンクを知っている全員」は、認証不要でアクセス可能な匿名リンクです。
機密情報の共有には使用せず、公開前提または限定的リスクの用途に絞ることを推奨します。
このリンクタイプは認証が不要なため、URLが転送・流出した瞬間に誰でもアクセスできる状態になります。
社外への安全な共有 — 3つの方法を徹底解説
方法1【最も安全】特定のメールアドレスへの限定共有
OneDrive for Business(Microsoft 365の職場/学校アカウント)では、指定したメールアドレスの相手のみがアクセスできる共有リンクを発行できます。
相手はサインインによる本人確認が求められるため、URLが流出しても第三者はアクセスできません。
手順(Webブラウザ):
- OneDriveのWeb画面でファイルまたはフォルダーを選択し、「共有」をクリック
- 共有設定ダイアログで「特定のユーザー」を選択
- 相手のメールアドレスを入力
- 「編集可能」または「表示可能」のアクセス権を選択
- 「適用」をクリックし、「送信」または「リンクをコピー」
最適な用途: 契約書、見積書、個人情報を含むファイルなど機密性の高い情報
方法2【中程度の安全性】パスワード保護付きリンクの共有
「リンクを知っている全員」で共有せざるを得ない場合や、相手が特定のメールアドレスを持っていない場合には、パスワード保護機能を活用することで安全性を大幅に高められます。
Microsoft 365サブスクライバーは、共有ファイルへのアクセスにパスワードを設定できます。
リンクを知っているだけではアクセスできなくなり、設定したパスワードを知っている人のみがファイルを開けます。
手順(Webブラウザ):
- ファイルを選択し「共有」→「リンクのコピー」を選択
- 「その他の設定」をクリック
- 「パスワードの設定」にチェックを入れ、任意のパスワードを入力
- 「適用」をクリックしてリンクをコピー
- リンクとパスワードを別々の手段(例:リンクはメール、パスワードは電話やチャット)で相手に送る
注意:
パスワード保護機能の利用可否は、Microsoft 365 の契約プランや管理者設定によって異なります。
特に組織向け OneDrive for Business 環境では、管理者が匿名リンク共有やパスワード保護機能を制御している場合があります。
方法3【時限共有】有効期限付きリンクの設定
「一定期間だけアクセスさせたい」「契約更新後はアクセスを自動で閉じたい」という場合に有効なのが有効期限の設定です。
有効期限を過ぎると自動的にリンクが無効となり、再度アクセスするには新しいリンクを発行する必要があります。つまり、「送りっぱなし」にならず、アクセス権が自動的に失効します。
手順(Webブラウザ):
- ファイルを選択し「共有」→「リンクのコピー」を選択
- 「その他の設定」をクリック
- 「有効期限の設定」の日付入力欄にアクセスを許可する最終日を入力
- 「適用」をクリックしてリンクをコピー
活用シーン: 入札期間中のみ資料を公開する、外部レビュアーへの一時的なアクセス提供、求職者への採用書類共有など
ベストプラクティス: パスワード保護と有効期限の設定は組み合わせて使用することをお勧めします。
「パスワードを知っており、かつ有効期限内である」という二重の条件でのみアクセスを許可できるため、より強固な保護が実現できます。
管理者が知っておくべき組織レベルの外部共有制御
個人ユーザーの設定だけでなく、Microsoft 365の管理者は組織全体の外部共有ポリシーを設定できます。
適切なガバナンスのためには、管理者レベルでの設定が不可欠です。
参考: Microsoft 365 で SharePoint と OneDrive の共有設定を管理する
参考: ユーザーの OneDrive の外部共有設定を変更する
組織レベルの共有設定(4段階)
SharePoint管理センターでは、組織全体の外部共有レベルを以下の4段階で設定できます。
- 最も制限的: 組織内のユーザーのみ(外部共有を完全に無効化)
- 新規/既存のゲストユーザー: Microsoft Entra ID(旧Azure AD)のゲストアカウントを持つ外部ユーザーのみ
- 既存のゲストユーザー: すでにディレクトリに存在するゲストアカウントのみ
- すべてのユーザー: 匿名(認証不要)共有を含む
重要なポイントは、OneDriveの共有設定はSharePointの設定より制限的な設定のみ可能という点です。
つまり、SharePointで「すべてのユーザー」を許可していても、OneDriveだけを「ゲストユーザー」に絞ることができます。
特定ドメインへの制限
セキュリティを高めるために、外部共有の許可・ブロックを特定のドメインに絞ることができます。
たとえば「取引先A社(example-corp.co.jp)とのみ外部共有を許可する」というポリシーを設定することで、想定外のドメインへの共有を組織レベルで防止できます。
ゲストアクセスの有効期限管理
Microsoft 365では、外部ゲストユーザーのアクセス権に対しても有効期限を設定できます。
一定期間アクセスがなかったゲストアカウントを自動的に削除するポリシーも設定可能です。
プロジェクト終了後に外部パートナーのアクセスが残り続けるリスクを防ぎます。
「安全な外部共有」チェックリスト
社外とOneDriveでファイルをやり取りする前に、以下のチェックリストを確認しましょう。
ユーザー向けチェックリスト
- 「リンクを知っている全員」ではなく「特定のユーザー」で共有しているか?
- 社外への共有に有効期限を設定しているか?
- 閲覧のみでよい場合は「表示可能(読み取り専用)」に設定しているか?
- ダウンロードを防ぎたい場合は「ダウンロードの禁止」を有効にしているか?
- パスワードを設定した場合、リンクとパスワードを別の手段で送っているか?
- 共有が不要になったらリンクを削除(無効化)しているか?
管理者向けチェックリスト
- 組織レベルの外部共有設定が業務に適した最小権限になっているか?
- 許可・ブロックするドメインリストが最新の状態か?
- 「すべてのユーザー」リンクの有効期限が管理者ポリシーで強制設定されているか?
- ゲストアカウントのアクセス有効期限が設定されているか?
- 定期的にOneDriveの共有状況を監査ログで確認しているか?
PPAP vs OneDrive安全共有 — 比較まとめ
| 比較項目 | PPAP(パスワード付きZIP) | OneDrive 安全共有 |
|---|---|---|
| ウイルス検知 | セキュリティソフトが検知不可 | Microsoft 365 側でマルウェア検査やセキュリティチェックを実施可能 |
| 誤送信時のリスク | ファイルとPW両方が流出 | リンクを失効/削除できる |
| アクセス制限 | パスワードを知る全員が開ける | 特定のメールアドレスに限定可能 |
| 有効期限 | 設定不可(メールは残り続ける) | 任意の日時で自動失効 |
| ファイルサイズ制限 | メールサーバーの制限あり(一般的に25MB程度) | OneDrive for Business では、最大250GBまでの単一ファイルをアップロード・共有可能 |
| 大手企業との取引 | 受信拒否企業が増加中 | 標準的な手段として受け入れられる |
| 操作の手間 | 圧縮→PW設定→2回送信 | 共有リンク1回で完結 |
| コスト | 追加費用なし | Microsoft 365契約で利用可能 |
まとめ
PPAPは「なんとなく安全そう」という誤解のもと長年使われてきましたが、2026年現在、その危険性は広く認知されています。
中小企業の約47%がまだPPAPを利用しているという調査結果もありますが、大手企業や官公庁との取引においてPPAPが「使えない手段」になりつつある現実がそこにあります。
OneDriveの共有機能を正しく使えば、以下を同時に実現できます。
- セキュリティ: 特定の相手のみに絞ったアクセス制御
- 利便性: 1つのリンクで大容量ファイルをスムーズに送受信
- 管理性: 有効期限による自動失効、いつでも取り消し可能
「リンクを知っている全員」からの脱却と「パスワード付きZIP」の廃止。
この2つを実践するだけで、組織のファイル共有セキュリティは大きく向上します。
まずは次にファイルを送る機会に、本記事の手順を試してみてください。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
