ホスト型 S/MIME を有効にしてメールを暗号化する

この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。エディションを比較する

Google 管理コンソールでホスト型の Secure/Multipurpose Internet Mail Extensions(S/MIME)を設定すると、組織内のユーザーをフィッシング、有害な添付ファイル、その他のメールの脅威から保護できます。S/MIME によってメールが暗号化され、デジタル署名が追加されるため、メールのセキュリティが強化されます。メールは、公開鍵と秘密鍵の組み合わせを使用して復号されます。S/MIME がホストされている場合、秘密鍵は暗号化に S/MIME を使用している組織に保存されます。

必要に応じて、送信メールまたは特定のコンテンツを含むメールに S/MIME を要求できます。詳しくは、送信メールに対して S/MIME 暗号化の使用を必須にするをご覧ください。

CSE と S/MIME の比較

また、Google Workspace クライアントサイド暗号化(CSE)を使用すると、ユーザーは暗号化された S/MIME メールを送受信することもできます。CSE では秘密鍵が外部鍵サービスによって管理されるため、プライバシーとデータの保護が強化されます。詳しくは、CSE についてをご覧ください。

ステップ 1: Google 管理コンソールでホスト型 S/MIME を有効にする

  1. Google 管理コンソールで、メニュー アイコン 次に [アプリ] 次に [Google Workspace] 次に [Gmail] 次に [ユーザー設定] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. 左側の [組織] で、設定するドメインまたは組織を選択します。

    重要: 高度な S/MIME 制御を使用してルート証明書のアップロードや管理を行うには、最上位の組織(通常はドメイン)で S/MIME を有効にする必要があります。詳しくは、S/MIME とルート証明書についての記事をご覧ください。

  3. [S/MIME] 設定までスクロールし、[メール送受信で S/MIME 暗号化を有効にする] チェックボックスをオンにします。

  4. (省略可)組織内のユーザーが証明書をアップロードできるようにするには、[ユーザーに証明書のアップロードを許可する] チェックボックスをオンにします。

  5. (省略可能なその他の管理)ルート証明書をアップロードして管理するには:

    1. [特定のドメインに関する追加のルート証明書を受け入れてください] の横にある [追加] をクリックします。
    2. [ルート証明書の追加] ウィンドウで、[ルート証明書をアップロード] をクリックします。
    3. 証明書ファイルを参照して選択し、[開く] をクリックします。証明書の確認メッセージが表示されます。このメッセージには、サブジェクト名と有効期限が含まれています。
    4. [暗号化のレベル] で、この証明書で使用する暗号化レベルを選択します。
    5. [アドレスリスト] に、通信時にルート証明書を使用するドメインを 1 つ以上入力します。複数のドメインはカンマで区切ります。ドメイン名にはワイルドカードを含めることができます。ドメイン名にワイルドカードを使用する方法について詳しくは、RFC 6125 をご覧ください。

    6. (省略可)ユーザーのメインのメールアドレス以外のメールアドレスに関連付けられた証明書を使用する CSE 鍵ペアを許可するには、証明書の不一致に関するオプションを選択します(これらのドメインでは、ユーザーの現在のメールアドレスと一致しないメールアドレスの証明書を許可します)。

      セキュリティ上の理由から、このオプションは組織で必要な場合にのみ使用することをおすすめします。この機能は CSE でサポートされています。ホスト型 S/MIME には対応していません。証明書の不一致について詳しくは、S/MIME の信頼できる証明書を管理するをご覧ください。

    7. [完了] をクリックします。

    8. さらに証明書チェーンをアップロードするには、上記の手順を繰り返します。

  6. ドメインまたは組織で SHA-1(Secure Hash Algorithm 1)を使用する必要がある場合は、[SHA-1 をグローバルに許可する(非推奨)] チェックボックスをオンにします。SHA-1 の使用について詳しくは、S/MIME の信頼できる証明書を管理するをご覧ください。

  7. [保存] をクリックします。

変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細 その間に送信されるメールは暗号化されません。

手順 2: ユーザーが Gmail を再読み込みする

Google 管理コンソールでホスト型 S/MIME を有効にしたら、Gmail を再読み込みするよう組織内のユーザーに伝えます。ホスト型 S/SMIME が有効になっている場合、メッセージの件名に鍵アイコンが表示されます。メールがホスト型 S/MIME で暗号化されている場合、鍵は緑色になります。

ステップ 3: Gmail に S/MIME 証明書を追加する

次に、S/MIME 証明書を Gmail に追加します。証明書を追加するには、以下の 2 つの方法があります。

  • 管理者が Gmail S/MIME API を使用して証明書を追加する
  • ユーザーが Gmail アカウントの設定で証明書を追加する

管理者が Gmail S/MIME API を使用して証明書をアップロードすることをおすすめします。

(ユーザー)Gmail アカウントの設定で証明書を追加する

組織内のユーザーに、以下の手順に沿って [アカウントとインポート] または [アカウント] タブの [名前] セクションで Gmail の設定に S/MIME 証明書を追加するよう指示できます。[名前] にあるアカウントはメインの Gmail アカウントから S/MIME 証明書を継承しないため、[名前] アカウントに S/MIME 証明書を手動で追加する必要があります。[名前] にあるアカウントについて詳しくは、別のアドレスやエイリアスからメールを送信するをご覧ください。

重要:

  • ユーザーがウェブ版 Gmail を使用して [名前] にあるアカウントに S/MIME 証明書を追加できるのは、ウェブ版 Gmail のみです。このセクションの手順は、Gmail アプリではサポートされていません。
  • ユーザーは、ウェブ版の Gmail のみを使用して、[名前] にあるアカウントから S/MIME メッセージを送信できます。

S/MIME 証明書を追加する手順は次のとおりです。

  1. ウェブ版の Gmail にアクセスします。
  2. [設定] 次に [すべての設定を表示] を選択します。
  3. [アカウント] タブを選択します。

  4. [名前] の横にある [情報を編集] を選択します。

    [メールアドレスと暗号化設定を編集] ウィンドウが表示されます。このウィンドウが表示されない場合は、管理者にお問い合わせください。

  5. [個人証明書をアップロード] をクリックします。

  6. 証明書を選択して [開く] をクリックします。証明書のパスワードを入力するよう求められます。

  7. パスワードを入力して、[証明書を追加] をクリックします。

  8. [変更を保存] をクリックします。

証明書の要件

Gmail で使用する証明書は、現在の暗号化標準を満たし、公開鍵暗号標準(PKCS)#12 アーカイブ ファイル形式である必要があります。

Google は、Gmail for S/MIME をサポートする信頼できる証明書の一覧を管理しています。

ステップ 4: 鍵を交換するようユーザーに伝える

S/MIME メールの送受信を開始するには、ユーザーは次のいずれかの方法でメールの受信者と鍵を交換する必要があります。

  • S/MIME 形式で署名されたメールを受信者に送信します。このメールはデジタル署名され、ユーザーの公開鍵が含まれています。受信者はこの公開鍵を使用して、ユーザーに送信するメールを暗号化できます。
  • 受信者からメールを送信してもらいます。届いたメールは S/MIME 形式で署名されており、暗号化に使われた鍵は自動的に保存されて今後も使用できるようになっています。今後、受信者に送信されるメールは S/MIME で暗号化されます。

下位組織の S/MIME 設定をオーバーライドする

デフォルトでは、組織部門は最上位の組織部門から S/MIME 設定を継承します。必要に応じて、組織部門に対して継承された S/MIME 設定をオーバーライドできます。この機能は、組織部門の S/MIME 設定を無効にしたりカスタマイズしたりする場合に便利です。

S/MIME 設定をオーバーライドするには:

  1. Google 管理コンソールで、メニュー アイコン 次に [アプリ] 次に [Google Workspace] 次に [Gmail] 次に [ユーザー設定] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. 左側の [組織] で、設定する組織部門を選択します。

  3. [S/MIME] 設定までスクロールし、クリックして展開します。

    S/MIME 設定ラベルの下にあるラベルには、[継承元(組織またはドメイン名] または [上書きされました] のいずれかが表示されます。

  4. [オーバーライド] をクリックして、S/MIME 設定を継承している下位組織への変更を保存します。

    下位組織の設定が保存されると、S/MIME 設定ラベルの下に [上書きされました] と表示されます。左側の [組織部門] 構造ツリー内のオーバーライドした下位組織の横にも「ドット」が表示されます。

ヒント: 下位組織が上位組織の設定をオーバーライドしている場合は、[継承] をクリックすると上位組織の設定を継承できます。

トラブルシューティング: 下位組織が S/MIME 設定を継承しない

問題: 子組織部門がルート組織部門から S/MIME 設定を継承しない。

原因: この問題の最も一般的な原因は、1 つ以上の組織部門がオーバーライド機能を使用して S/MIME 設定を追加したに、組織全体(ルートレベル)で S/MIME が無効にされたか、変更されたことです。詳しくは、S/MIME 設定のオーバーライド機能をご覧ください

この問題は、これらの S/MIME オプションが、以下のオーバーライド機能を使用して子組織レベルで設定されている場合にも発生することがあります: [S/MIME を有効にする] または [独自証明書のアップロードをユーザーに許可する] または [SHA-1 をグローバルに許可する]。これは、これらの変更によってルートレベルの証明書設定がオーバーライドされるためです。

解決方法: この問題を解決し、子組織部門に S/MIME の継承を適用するには:

  1. [S/MIME] 設定で、左側の [S/MIME] 設定ラベルの下にある子組織部門名を選択します。
  2. [継承] をクリックして、ルートの S/MIME 設定を子組織部門に適用します。
  3. 以下の方法で、子組織部門の設定を再度適用します。
    1. 左側の [S/MIME] 設定ラベルの下で、子組織部門が選択された状態にします。
    2. 子組織部門の関連する以下の S/MIME 設定を更新します: [S/MIME を有効にする]、[独自証明書のアップロードをユーザーに許可する] または [SHA-1 をグローバルに許可する]。
    3. [オーバーライド] をクリックします。これにより、子固有の設定が保存されるとともに、ルート証明書またはルートレベルの S/MIME 設定に対する過去の変更が子に継承されます。

影響を受ける子組織部門ごとに同じ手順を繰り返します。

重要: ルート証明書を追加または削除するたびに、変更を適用するすべての子組織部門でこれらの手順を繰り返す必要があります。

S/MIME の信頼できる証明書を管理する(上級者向け)