ユーザーにクライアントサイド暗号化を割り当てる

Google Workspace のクライアントサイド暗号化(CSE)で使用する外部鍵サービスを 1 つ以上管理コンソールに追加したら、そのサービスを組織部門または設定グループに割り当てる必要があります。鍵サービスを割り当てると、外部サービスの鍵アクセス制御リストに追加したユーザーがコンテンツを暗号化および復号できるようになります。

Gmail のクライアントサイド暗号化(CSE)用にハードウェアキー暗号化を設定した場合は、その暗号化を組織部門または設定グループに割り当てる必要があります。 アクセスするには Assured Controls または Assured Controls Plus のアドオンが必要です

コンテンツを暗号化する必要があるユーザーに対しては、CSE をオンにする必要もあります。詳しくは、クライアントサイド暗号化をオンまたはオフにするをご覧ください。

始める前に

デフォルトの鍵サービスを割り当てていることを確認する

CSE サービスを組織全体で正しく動作させるには、外部鍵サービスを組織全体のデフォルトの鍵サービスにする必要があります。たとえば、あるグループに対して CSE がオンになっていても、そのグループで使用している共有ドライブの組織部門に対して CSE がオフになっている場合は、デフォルトの鍵サービスが使用されます。
管理コンソールで最初の鍵サービスを追加すると、最上位の組織部門に対してデフォルトのサービスを割り当てるよう求められます。デフォルトをまだ割り当てていない場合は、ユーザーに対して CSE をオンにする前に割り当ててください。手順については、このページで後述している組織のデフォルトの鍵サービスを設定するをご覧ください。

ユーザーごとに異なる鍵サービスを使用する場合

組織部門またはグループに対して、デフォルトのサービスとは異なる鍵サービスを割り当てることができます。たとえば、組織の所在地ごとに異なる鍵サービスを使用することなどが考えられます。
コンテンツがすでに暗号化されている場合は、暗号化されたコンテンツを新しいサービスに移行することをおすすめします。このページで後述している新しい鍵サービスに切り替える場合をご覧ください。

新しい鍵サービスに切り替える場合

組織部門またはグループに鍵サービスをすでに割り当てている場合は、別のサービスに切り替えることができます。現在の鍵サービスによってすでにコンテンツが暗号化されている場合は、新しいサービスにコンテンツを移行することをおすすめします。詳しくは、このページで後述している暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。
コンテンツを移行せずに新しい鍵サービスに切り替えた場合: 既存の暗号化されたコンテンツは現在のサービスによってのみ暗号化されているもので、追加した新しいサービスによって暗号化されているわけではありません。つまり、以前に暗号化されたコンテンツに引き続きアクセスできるようにするには、現在のサービスを引き続き使用する必要があります。

鍵サービスで暗号化を割り当てる

組織のデフォルトの鍵サービスを設定する

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**データ**]次に[**コンプライアンス**]次に[**クライアントサイドの暗号化**] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [外部鍵サービスによる暗号化] で [割り当て] をクリックします。
  3. 左側のパネルで、[このアカウントのすべてのユーザー] または最上位の組織部門を選択します。
  4. [鍵サービス] をクリックし、プルダウン リストで鍵サービスを選択します。
  5. [**保存**] をクリックします。

ユーザーごとに異なる鍵サービスを割り当てる

管理コンソールに複数の鍵サービスを追加している場合は、組織部門またはグループに現在割り当てられているサービスとは異なる鍵サービスを選択できます。

重要: 現在の鍵サービスでコンテンツがすでに暗号化されている場合は、既存のクライアントサイド暗号化コンテンツに引き続きアクセスできるようにするために、暗号化されたコンテンツを新しいサービスに移行することをおすすめします。詳しくは、このページで後述している暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**データ**]次に[**コンプライアンス**]次に[**クライアントサイドの暗号化**] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [外部鍵サービスによる暗号化] で [割り当て] をクリックします。
  3. 左側のパネルで、別の鍵サービスを使用する組織部門またはグループを選択します。
  4. [鍵サービス] をクリックし、プルダウン リストで新しい鍵サービスを選択します。
  5. 親組織部門の CSE 設定が変更された場合に自分の設定を維持するには、[オーバーライド] をクリックします。
  6. 組織部門の設定がすでに [上書きされました] になっている場合は、次のいずれかを選択します。
    • 継承 - 親組織と同じ CSE 設定に戻します。
    • 保存 - 親の設定が変更されても、新しい CSE 設定を保存します。
変更が反映されるまで最長で 24 時間かかることがありますが、通常はもっと早く反映されます。詳細

暗号化されたコンテンツを新しい鍵サービスに移行する

既存の鍵サービスを使用して組織部門またはグループのコンテンツを暗号化する必要がなくなった場合は、新しいサービスを追加してバックアップ サービスを選択し、暗号化されたコンテンツを新しいサービスに移行できます。

移行を開始する前に

サポートされているサービス

現在のところ、次のサービスの暗号化されたコンテンツを移行できます。

  • Google ドライブとドキュメント
  • Google カレンダー

Gmail の CSE を別の鍵サービスに切り替えるには: Gmail API を使用して、新しい S/MIME 証明書と新しい鍵サービスでラップされた鍵をユーザーごとにアップロードする必要があります。詳しくは、Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成するをご覧ください。

Google がコンテンツを復号することはない

移行中に Google がコンテンツを復号化することはありません。新しいサービスが、以前のサービスの暗号化レイヤをラップ解除し、新しい暗号化レイヤに置き換えます。

ユーザーへの影響はない

移行中も、コンテンツの暗号化や暗号化されたコンテンツの表示を中断なく継続できます。

移行ステータスは表示されない

進捗状況や問題の通知は表示されません。

まずは少数のユーザーで移行を試す

すべてのユーザーのコンテンツを全面移行する前に、少数のユーザーで移行を試してみることをおすすめします。新しい鍵を 1 つの組織部門またはグループのみに割り当て、それらのユーザーで移行を実施して、移行に関する問題が生じるかどうかを判断します。

テスト移行の後は、新しい鍵サービスで新しいコンテンツを暗号化したり、以前に暗号化されたコンテンツにアクセスして編集できるかどうかを確認したりしてください。

短時間で移行する

現在の鍵サービスで暗号化される新しいアイテムの数を最小限に抑えるには、オフピーク時に全面移行を開始します。

手順 1: 新しい鍵サービスを管理コンソールに追加する

  • 現在使用している暗号鍵サービスが 1 つのみである場合: 新しい鍵サービスを追加し、現在のサービスをバックアップとして選択します。詳しくは、外部鍵サービスを追加するをご覧ください。
  • 現在使用している鍵サービスにバックアップ サービスがすでにある場合: 鍵サービスからバックアップを削除します。詳しくは、鍵サービスからバックアップを削除するをご覧ください。次に、新しい鍵サービスを追加し、バックアップとして現在のサービスを選択します。

    重要: 現在、削除する必要があるバックアップからコンテンツを移行中の場合は、移行が完了するまでお待ちください。バックアップを削除すると、移行が直ちに停止します。詳しくは、このページで後述している手順 4: 移行が完了したかどうかを確認するをご覧ください。

手順 2: 現在の鍵サービスを新しい鍵サービスに置き換える

新しい鍵サービスを追加したら、この新しい鍵サービスを組織部門またはグループに割り当てます。詳しくは、前述のクライアントサイド暗号化で使用する鍵サービスを割り当てるをご覧ください。

手順 3: 移行をオンにする

組織部門またはグループに対して新しい鍵サービスを選択したら、以前暗号化された移行可能コンテンツを含むサービスについては、移行をオンにできます。

移行の所要時間は、現在の鍵サービスで暗号化されたコンテンツの量と、新しい鍵サービスの処理速度によって異なります。コンテンツ移行の進捗状況を確認できるまでには、数時間から数日かかることがあります。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**データ**]次に[**コンプライアンス**]次に[**クライアントサイドの暗号化**] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [外部鍵サービスによる暗号化] で [割り当て] をクリックします。
  3. 左側のパネルで、新しい鍵サービスにコンテンツを移行する組織部門またはグループを選択します。
  4. [移行] で [オン] をクリックします。

    注: このオプションを使用できるのは、[移行] の下に以前暗号化したコンテンツが表示されているサービスのみです。

  5. 確認メッセージで、移行の開始後は元に戻せないことを確認するチェックボックスをオンにします。Then click [Save].

移行プロセスが開始します。

手順 4: 移行が完了したかどうかを確認する

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**データ**]次に[**コンプライアンス**]次に[**クライアントサイドの暗号化**] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [外部鍵サービスによる暗号化] で [割り当て] をクリックします。
  3. 左側のパネルで、暗号化されたコンテンツを新しい鍵サービスに移行する組織部門またはグループを選択します。
  4. [移行] で、以前のサービス(現在はバックアップ サービス)で暗号化されているアイテムの数を確認します。

    暗号化されたアイテムがない場合は、移行が完了しています。

手順 5: (省略可)バックアップ鍵サービスを削除する

コンテンツの移行が完了すればバックアップ サービスは不要なので、新しい鍵サービスから削除できます。詳しくは、鍵サービスからバックアップを削除するをご覧ください。

ハードウェア キーを使用して暗号化を割り当てる(Gmail のみ)

組織内のすべてのユーザーまたは一部のユーザーに対してハードウェア キー暗号化を設定して Gmail を暗号化する場合は、そのユーザーにハードウェア キー暗号化を割り当てる必要があります。

Gmail 用の暗号鍵サービスも使用している場合: その鍵サービスの対象となっているユーザーにハードウェアキー暗号化を割り当てることができますが、それらのユーザーに対して Gmail 用の暗号鍵をどのように設定しているかに応じて、Gmail の暗号化はその鍵サービスまたは ハードウェア キーのいずれかで行われることになります。詳しくは、Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成するをご覧ください。

この操作を実施するには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールで、メニュー アイコン 次に [**データ**]次に[**コンプライアンス**]次に[**クライアントサイドの暗号化**] に移動します。

    この操作を実施するには、特権管理者としてログインする必要があります。

  2. [ハードウェア キーによる暗号化] で [割り当て] をクリックします。
  3. 左側のパネルで、別の鍵サービスを使用する組織部門またはグループを選択します。
  4. [ハードウェア キー暗号化] をクリックして、チェックボックスをオンにします。
  5. 子組織部門を選択した場合は、[オーバーライド] をクリックし、親組織部門の CSE 設定が変更された場合でも設定が維持されるようにします。
  6. 組織部門の設定がすでに [上書きされました] になっている場合は、次のいずれかを選択します。
    • 継承 - 親組織と同じ CSE 設定に戻します。
    • 保存 - 親の設定が変更されても、新しい CSE 設定を保存します。
変更が反映されるまで最長で 24 時間かかることがありますが、通常はもっと早く反映されます。詳細