この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Standard、Education Plus。エディションを比較する
Google Workspace クライアントサイド暗号化(CSE)の設定を開始する前に、要件、暗号鍵オプション、設定の概要を確認してください。
CSE の要件
CSE の管理者権限
以下のような操作を行って組織の CSE を管理するには、Google Workspace の特権管理者権限が必要です。
- 鍵サービスを追加、管理する
- 組織部門やグループに鍵サービスを割り当てる
- ユーザーに対して CSE をオンまたはオフにする
内部ユーザーが CSE を使用するための要件
ユーザー ライセンスの要件
- ユーザーが CSE を使用して以下の操作を行うには、Google Workspace Frontline Plus、Google Workspace Enterprise Plus、Google Workspace Education Standard、または Google Workspace for Education Plus のライセンスが必要です。
- クライアントサイド暗号化コンテンツを作成またはアップロードする
- 暗号化された会議を主催する
- 暗号化されたメールを送受信する
- 使用しているエディションにかかわらず、Google Workspace または Cloud Identity ライセンスがあれば、以下の操作を行えます。
- クライアントサイド暗号化コンテンツを表示、編集、ダウンロードする
- パソコン、モバイル デバイス、Google Meet ハードウェア デバイスから CSE を使用する会議に参加する
- 一般ユーザー向け Google アカウントを使用しているユーザー(Gmail のユーザーなど)は、クライアントサイド暗号化が適用されたコンテンツにアクセスしたり、暗号化されたメールを送信したり、クライアントサイド暗号化が適用された会議に参加したりすることはできません。
ブラウザの要件
クライアントサイド暗号化コンテンツを表示または編集するには、Google Chrome または Microsoft Edge(Chromium)のいずれかのブラウザを使用する必要があります。
外部ユーザーが CSE を使用するための要件
クライアントサイド暗号化が適用されたコンテンツに外部ユーザーがアクセスできるように設定できます。外部ユーザーは S/MIME を使用するだけで、ユーザーの暗号化された Gmail のメールにアクセスできます。その他のコンテンツについては、外部アクセスを提供する方法に応じて要件が異なります。詳しくは、クライアントサイド暗号化コンテンツへの外部アクセスを提供するをご覧ください。
暗号鍵オプションについて
外部鍵サービス
クライアントサイド暗号化を使用するには、組織で独自の暗号鍵を使用する必要があります。暗号鍵を作成するには、次の 2 つの方法があります。
- Google と提携している外部の暗号鍵サービスを使用する。Google Workspace のサービスを設定する手順は、ご利用の鍵サービスから提供されます。詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
- Google Workspace CSE API を使用して独自の鍵サービスをビルドする。
Gmail のハードウェア キー
組織内のユーザーがスマートカードを使用して施設やシステムにアクセスしている場合は、鍵サービスの代わりにハードウェア キー暗号化を Gmail CSE に対して設定できます。ユーザーはハードウェア キーを使用してメールの署名と暗号化を行えます。詳しくは、Gmail のみ: ハードウェア暗号鍵を設定、管理するをご覧ください。
CSE 設定の概要
Google Workspace のクライアントサイド暗号化を設定するために必要な手順の概要は次のとおりです。CSE の設定方法は、使用する暗号鍵の種類によって異なります。
外部の暗号鍵サービスを使用している場合
Google ドライブ、Google カレンダー、Google Meet の暗号化を設定する手順は、次のとおりです。Gmail でハードウェア暗号鍵のみを使用する場合を除き、Gmail でもこちらの手順で設定します。
| ステップ | 説明 | この手順の完了方法 |
|---|---|---|
| 手順 1: 外部の暗号鍵サービスを選択する |
Google の暗号鍵サービス パートナーに申し込むことも、Google Workspace CSE API を使用して独自のサービスをビルドすることもできます。この鍵サービスを使って、データを保護する最上位の暗号鍵を管理します。 |
クライアントサイド暗号化の鍵サービスを選択する |
| 手順 2: Google Workspace と ID プロバイダを接続する |
管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続します。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、IdP がユーザーの ID を確認します。 |
クライアントサイド暗号化(CSE)で使用する ID プロバイダに接続する |
| 手順 3: 外部鍵サービスを設定する |
鍵サービス パートナーと連携して、Google Workspace クライアントサイド暗号化用のサービスを設定します。 注: Meet ハードウェアで CSE を使用する場合、鍵管理に使用される外部鍵サービスのサーバーは、delegate 呼び出しをサポートしている必要があります。これは、認証済みユーザーに代わって会議に参加する部屋を承認するために使用されます。詳しくは、鍵サービスにお問い合わせください。 |
|
| 手順 4: 管理コンソールに鍵サービス情報を追加する |
外部鍵サービスの URL を管理コンソールに追加して、サービスを Google Workspace に接続します。複数の鍵サービスを追加して、組織部門またはグループごとに異なる鍵サービスを割り当てることもできます。 |
クライアントサイド暗号化で使用する鍵サービスを追加、管理する |
| 手順 5: ユーザーに鍵サービスを割り当てる | 組織部門とグループに鍵サービス(複数可)を割り当てます。組織のデフォルトとして 1 つの鍵サービスを割り当てる必要があります。 | ユーザーにクライアントサイド暗号化を割り当てる |
| 手順 6: (Gmail の S/MIME メッセージのみ、省略可)ユーザーの暗号鍵をアップロードする |
Google Cloud Platform(GCP)プロジェクトを作成し、Gmail API を有効にします。次に、組織全体に API へのアクセスを許可し、Gmail ユーザーに対して CSE を有効にして、秘密暗号鍵および公開暗号鍵を Gmail にアップロードします。 注: この手順では、API と Python スクリプトの使用経験が必要です。 |
Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成する |
| 手順 7: ユーザーに対して CSE をオンにする |
クライアントサイド暗号化コンテンツを作成する必要があるユーザーが属する組織内の組織部門またはグループに対して CSE をオンにできます。CSE は、サポートされているすべてのサービスに対して有効にすることも、特定のサービス(Gmail、Meet、ドライブ、カレンダー)に対してのみ有効にすることもできます。 Gmail CSE: Assured Controls アドオンがあり、Gmail でハードウェア鍵暗号化を使用していない場合は、この手順で [ゲスト アカウントでの暗号化] オプションを選択すると、S/MIME 証明書を構成しなくても Gmail E2EE が自動的に有効になります。 |
ユーザーに対して CSE をオンまたはオフにする |
| ステップ 8: (省略可)外部アクセスを設定する | Google Workspace CSE を使用していない組織に対してゲスト ID プロバイダ(IdP)を構成することで、クライアントサイド暗号化コンテンツへの外部アクセスを許可できます。 | 外部ユーザーにクライアントサイド暗号化コンテンツへのアクセスを提供する |
| ステップ 9: (省略可)クライアントサイド暗号化が適用された S/MIME メッセージとして Gmail にメールをインポートする | 組織に別のサービスまたは別の暗号化形式のメールがある場合、それらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。 | クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行する |
Gmail でハードウェア暗号鍵を使用している場合
アクセスするには、Assured Controls または Assured Controls Plus のアドオンが必要です。すべてまたは一部の Gmail ユーザーに対して、外部鍵サービスではなくハードウェア暗号鍵を設定する場合は、次の手順で操作します。
| ステップ | 説明 | この手順の完了方法 |
|---|---|---|
| 手順 1: Google Workspace と ID プロバイダを接続する | 管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続します。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、IdP がユーザーの ID を確認します。 | クライアントサイド暗号化(CSE)で使用する ID プロバイダに接続する |
| ステップ 2: ハードウェア暗号鍵を設定する |
ユーザーの Windows デバイスに Google Workspace Hardware Keys アプリケーションをインストールします。 注: この手順では、PowerShell スクリプトの使用経験が必要です。 |
Gmail のみ: ハードウェア暗号鍵を設定、管理する |
| 手順 3: ハードウェア暗号化の情報を管理コンソールに追加する | Google Workspace がユーザーの Windows デバイスのスマートカード リーダーと通信するためのポート番号を入力します。 | Gmail のみ: ハードウェア暗号鍵を設定、管理する |
| 手順 4: ユーザーにハードウェア暗号化を割り当てる | ハードウェア キー暗号化を組織部門とグループに割り当てます。 | ユーザーにクライアントサイド暗号化を割り当てる |
| 手順 5: ユーザーの公開暗号鍵をアップロードする |
Google Cloud Platform(CGP)プロジェクトを作成し、Gmail API を有効にします。次に、組織全体に API へのアクセスを許可し、Gmail ユーザーに対して CSE を有効にして、公開暗号鍵を Gmail にアップロードします。 注: この手順では、API と Python スクリプトの使用経験が必要です。 |
Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成する |
| 手順 6: (省略可)クライアントサイド暗号化が適用されたメールとして Gmail にメールをインポートする | 組織に別のサービスまたは別の暗号化形式のメールがある場合、管理者はそれらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。 | クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行する |
Meet ハードウェアの CSE
デフォルトでは、Meet は転送中と保存中のすべての通話メディアを暗号化します。この情報を復号できるのは、会議の参加者と Google のデータセンター サービスのみです。
CSE では、各参加者のみが利用できる鍵を使用して、各参加者のブラウザ内で通話メディアを直接暗号化することで、プライバシーがさらに強化されます。自身の鍵を使用して、ブラウザで暗号化された会議情報を復号できるのは、参加者のみです。
ユーザーが CSE を利用できるようにするには、管理者が Workspace を外部 ID プロバイダと暗号鍵サービス(IdP と鍵サービス)に接続する必要があります。IdP と鍵サービスの設定について詳しくは、このページの CSE の設定の概要をご覧ください。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。