この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Standard、Education Plus。 エディションを比較する
Google Workspace クライアントサイド暗号化(CSE)の設定を開始する前に、要件、暗号鍵オプション、設定の概要を確認してください。
CSE の要件
CSE の管理者権限
組織の CSE を管理するには、Google Workspace のスーパー管理者権限が必要です。管理できる内容は次のとおりです。
- 鍵サービスを追加、管理する
- 組織部門やグループに鍵サービスを割り当てる
- ユーザーに対して CSE をオンまたはオフにする
内部ユーザー向けの CSE の要件
ユーザー ライセンスの要件
- ユーザーが CSE を使用して以下の操作を行うには、Google Workspace Frontline Plus、Google Workspace Enterprise Plus、Google Workspace Education Standard、または Google Workspace for Education Plus のライセンスが必要です。
- クライアントサイド暗号化コンテンツを作成またはアップロードする
- 暗号化された会議を主催する
- 暗号化されたメールを送信または受信する
- 使用しているエディションにかかわらず、Google Workspace または Cloud Identity ライセンスがあれば、以下の操作を行えます。
- クライアントサイド暗号化コンテンツを表示、編集、ダウンロードする
- パソコン、モバイル デバイス、Google Meet ハードウェア デバイスから CSE を使用する会議に参加する
- 一般ユーザー向け Google アカウントを使用しているユーザー(Gmail のユーザーなど)は、クライアントサイド暗号化が適用されたコンテンツにアクセスしたり、暗号化されたメールを送信したり、クライアントサイド暗号化が適用された会議に参加したりすることはできません。
ブラウザの要件
クライアントサイド暗号化コンテンツを表示または編集するには、Google Chrome または Microsoft Edge(Chromium)のいずれかのブラウザを使用する必要があります。
外部ユーザー向けの CSE の要件
クライアントサイド暗号化が適用されたコンテンツに外部ユーザーがアクセスできるように設定できます。外部ユーザーは S/MIME を使用するだけで、ユーザーの暗号化された Gmail のメールにアクセスできます。他のコンテンツについては、外部アクセスを提供する方法によって要件が異なります。詳しくは、クライアントサイド暗号化コンテンツへの外部アクセスを許可するをご覧ください。
暗号鍵オプションについて
外部鍵サービス
クライアントサイド暗号化を使用するには、組織で独自の暗号鍵を使用する必要があります。暗号鍵を作成するには、次の 2 つの方法があります。
- Google と提携している外部暗号鍵サービスを使用する。鍵サービスでは、Google Workspace 用のサービスの設定方法が案内されます。詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
- Google Workspace CSE API を使用して独自の鍵サービスをビルドする。
Gmail のハードウェア キー
組織内のユーザーがスマートカードを使用して施設やシステムにアクセスしている場合は、鍵サービスの代わりにハードウェア キー暗号化を Gmail CSE に対して設定できます。ユーザーはハードウェア キーを使用してメールに署名し、暗号化できます。詳しくは、Gmail のみ: ハードウェア暗号鍵を設定、管理するをご覧ください。
CSE の設定の概要
Google Workspace クライアントサイド暗号化を設定するために必要な手順の概要は次のとおりです。CSE の設定方法は、使用する暗号鍵の種類によって異なります。
外部暗号鍵サービスを使用する場合
Google ドライブ、Google カレンダー、Google Meet の暗号化を設定する手順は、次のとおりです。Gmail のハードウェア暗号鍵をのみ 使用する場合を除き、Gmail でも次の手順を行います。
| ステップ | 説明 | この手順を完了する方法 |
|---|---|---|
| ステップ 1: 外部暗号鍵サービスを選択する |
Google の暗号鍵サービス パートナーに申し込むことも、Google Workspace CSE API を使用して独自のサービスをビルドすることもできます。鍵サービスは、データを保護する最上位の暗号鍵を制御します。 |
クライアントサイド暗号化に必要な鍵サービスを設定する |
| ステップ 2: Google Workspaceと ID プロバイダを接続する |
管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続します。IdP は、ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、ユーザーの ID を確認します。 |
クライアントサイド暗号化に必要な ID プロバイダに接続する |
| ステップ 3: 外部鍵サービスを設定する |
鍵サービス パートナーと連携して、Google Workspace クライアントサイド暗号化用のサービスを設定します。 注: Meet ハードウェアで CSE を使用する場合、鍵管理に使用される外部鍵サービスのサーバーは、delegate 呼び出しをサポートしている必要があります。これは、認証済みユーザーに代わって会議に参加する部屋を承認するために使用されます。詳しくは、鍵サービスにお問い合わせください。 |
|
| ステップ 4: 管理コンソールに鍵サービス情報を追加する |
外部鍵サービスの URL を管理コンソールに追加して、サービスを Google Workspace に接続します。複数の鍵サービスを追加して、組織部門またはグループごとに異なる鍵サービスを割り当てることもできます。 |
クライアントサイド暗号化で使用する鍵サービスを追加、管理する |
| ステップ 5: 鍵サービスをユーザーに割り当てる | 組織部門とグループに鍵サービス(複数可)を割り当てます。鍵サービスを組織のデフォルトとして割り当てる必要があります。 | ユーザーにクライアントサイド暗号化を割り当てる |
| ステップ 6: (Gmail S/MIME メッセージのみ省略可)ユーザーの暗号鍵をアップロードする |
Google Cloud Platform(GCP)プロジェクトを作成し、Gmail API を有効にします。次に、API へのアクセス権を組織全体に付与し、Gmail ユーザーに対して CSE をオンにして、秘密鍵と公開鍵を Gmail にアップロードします。 注: この手順では、API と Python スクリプトの使用経験が必要です。 |
Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成する |
| ステップ 7: ユーザーに対して CSE をオンにする |
クライアントサイド暗号化コンテンツを作成する必要があるユーザーが属する組織内の組織部門またはグループに対して CSE をオンにできます。サポートされているすべてのサービスに対して CSE をオンにすることも、特定のサービス(Gmail、Meet、ドライブ、カレンダー)に対してのみオンにすることもできます。 Gmail CSE: Assured Controls アドオンがあり、Gmail でハードウェア鍵暗号化を使用していない 場合は、この手順で [ゲスト アカウントでの暗号化] オプションを選択すると、S/MIME 証明書を構成しなくても Gmail E2EE が自動的に有効になります。 |
ユーザーに対して CSE をオンまたはオフにする |
| ステップ 8: (省略可)外部アクセスを設定する | Google Workspace CSE を使用していない組織に対してゲスト ID プロバイダ(IdP)を構成することで、クライアントサイド暗号化コンテンツへの外部アクセスを許可できます。 | クライアントサイド暗号化コンテンツへの外部アクセスを許可する |
| ステップ 9: (省略可)クライアントサイド暗号化が適用された S/MIME メッセージとして Gmail にメールをインポートする | 組織に別のサービスまたは別の暗号化形式のメールがある場合、それらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。 | クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行する |
Gmail のハードウェア暗号鍵を使用する場合
アクセスするには Assured Controls または Assured Controls Plus のアドオンが必要です。外部鍵サービスの代わりに、すべての Gmail ユーザーまたは一部の Gmail ユーザーに対してハードウェア暗号鍵を設定する場合は、次の手順を行います。
| ステップ | 説明 | この手順を完了する方法 |
|---|---|---|
| ステップ 1: Google Workspaceと ID プロバイダを接続する | 管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続します。IdP は、ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、ユーザーの ID を確認します。 | クライアントサイド暗号化に必要な ID プロバイダに接続する |
| ステップ 2: ハードウェア暗号鍵を設定する |
ユーザーの Windows デバイスに Google Workspace Hardware Key アプリケーションをインストールします。 注: この手順では、PowerShell スクリプトの使用経験が必要です。 |
Gmail のみ: ハードウェア暗号鍵を設定、管理する |
| ステップ 3: ハードウェア暗号化の情報を管理コンソールに追加する | Google Workspace がユーザーの Windows デバイスのスマートカード リーダーと通信するためのポート番号を入力します。 | Gmail のみ: ハードウェア暗号鍵を設定、管理する |
| ステップ 4: ユーザーにハードウェア暗号化を割り当てる | ハードウェア キー暗号化を組織部門とグループに割り当てます。 | ユーザーにクライアントサイド暗号化を割り当てる |
| ステップ 5: ユーザーの公開鍵をアップロードする |
Google Cloud Platform(CGP)プロジェクトを作成し、Gmail API を有効にします。次に、API へのアクセス権を組織全体に付与し、Gmail ユーザーに対して CSE をオンにして、公開鍵を Gmail にアップロードします。 注: この手順では、API と Python スクリプトの使用経験が必要です。 |
Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成する |
| ステップ 6: (省略可)クライアントサイド暗号化が適用されたメールとして Gmail にメールをインポートする | 組織に別のサービスまたは別の暗号化形式のメールがある場合、管理者はそれらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。 | クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行する |
Meet ハードウェアの CSE
デフォルトでは、Meet は転送中と保存中のすべての通話メディアを暗号化します。この情報を復号できるのは、会議の参加者と Google のデータセンター サービスのみです。
CSE では、各参加者のみが利用できる鍵を使用して、各参加者のブラウザ内で通話メディアを直接暗号化することで、プライバシーがさらに強化されます。ブラウザで鍵を使用して暗号化された会議情報を復号できるのは、参加者のみです。
ユーザーが CSE を利用できるようにするには、管理者が Workspace を外部 ID プロバイダと暗号鍵サービス(IdP と鍵サービス)に接続する必要があります。IdP と鍵サービスの設定について詳しくは、このページの CSE の設定の概要をご覧ください。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。