組織に別のサービスまたは別の暗号化形式のメールがある場合、管理者はそれらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。
デジタル署名と暗号化が含まれる移行済みのメールは、インライン画像、ハイパーリンク、添付ファイルが見える状態で、Gmail 上に安全に表示されます。
一部のサービスでは、ユーザーがデジタル署名なしで S/MIME メールを作成でき、一般に知られている脆弱性がある場合があります。これらの「暗号化のみ」のメールは Gmail にインポートされると、安全な形式で表示され、不正使用の可能性を抑制します。つまり、Gmail クライアントサイド暗号化(CSE)では、ユーザー インターフェースにインライン画像、ハイパーリンク、添付ファイルは表示されませんが、基になるメッセージは引き続きすべての内容が保持されます。
S/MIME で暗号化されたメールの移行
Gmail CSE は、Microsoft や他のメールサービスでも使用されている標準の S/MIME メール暗号化形式をネイティブにサポートしています。暗号化された S/MIME メールを Microsoft サービスから Gmail に移行する場合は、暗号化されたメールを変更せずに移行できます。
以前 Microsoft サービスにあった S/MIME メールを Gmail CSE で復号して表示するには、Gmail のユーザー アカウントに、Microsoft 環境で使用されていたものと同じ S/MIME ユーザー証明書を構成する必要があります。また、Microsoft サービスで使用されているのと同じ証明書を使用して、ユーザー用に Gmail API と Gmail CSE を設定する必要があります。詳しくは、Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成するをご覧ください。
Gmail アカウントで S/MIME 証明書を設定したら、Microsoft サービスから Gmail にメールを移行できます。詳しくは、Google Workspace へのデータの移行をご覧ください。
S/MIME 以外の形式と書式なしテキスト アーカイブの移行
S/MIME 以外の形式で暗号化されたメールや、移行前に暗号化したい書式なしテキスト アーカイブが組織にある場合は、Gmail CSE 移行ユーティリティを使用してメールを Gmail CSE で使用される S/MIME 形式に変換します。
移行ユーティリティを使用してメッセージを転送するには:
- 暗号化されたメールをサービス プロバイダからエクスポートします。
- メールが暗号化されている場合は、S/MIME 以外の暗号化ベンダーが提供するツールを使用して、メールを平文に復号します。
- 平文に復号した後、そのメールを Gmail CSE 移行ユーティリティを使用してローカルで暗号化し、Gmail CSE に移行します。
Gmail を使用している場合
移行ユーティリティを使用してメールを転送するには、Google データ エクスポートまたは Google Workspace Vault を使用して、暗号化されたメールを Gmail からエクスポートします。S/MIME 以外の暗号化ベンダーが提供するツールを使用して、メール メッセージを復号して平文に変換します。
Gmail CSE 移行ユーティリティによって平文メッセージが処理されます。Google Vault からメールをエクスポートする場合は、MBOX ファイル形式を使用してエクスポートしていることを確認してください。Vault で生成された PST ファイルでは、メールを Gmail に再挿入するための情報が不足しています。
インポートされた各メールにおいて、元のメールに加えて S/MIME で暗号化されたメールのコピーが Gmail CSE 移行ユーティリティによって追加されます。Gmail を使用している各ユーザー アカウントには、メールのコピーを挿入できる十分な空き容量が必要です。
システム要件
- Windows 10/11 x86_64
- Linux x86_64
- macOS 12 以降の x86_64 または M
サポートされているファイル形式
Gmail CSE 移行ユーティリティによって平文メッセージが処理されます。メッセージのファイル形式が次のいずれかであることを確認します。
- PST
- MBOX
現在のところ、Gmail CSE 移行ユーティリティは MSG ファイル形式には対応していません。サポートされている形式の詳細については、ファイル形式のドキュメントをご覧ください。
始める前に
移行ユーティリティを使用してメールを移行する前に、ユーザーに対して Gmail API と Gmail CSE を設定します。詳しくは、Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成するをご覧ください。
移行では、Gmail CSE の設定時に使用した Google サービス アカウント API 認証情報が再利用されます。
Gmail CSE 移行ユーティリティをダウンロードする
- Gmail CSE 移行ユーティリティをデバイスにダウンロードします。
ダウンロードしたバンドルから gmail-cse-migrate ユーティリティを解凍します。
Gmail CSE 移行ユーティリティを実行する
移行ユーティリティを使用するには、ターミナルまたはコマンド プロンプトで次のコマンドを入力します。プレースホルダは、フラグとファイル名に置き換えます。
Windows
> gmail-cse-migrate.exe [Optional flags] -api-credential=<filename> -input=<filename>
たとえば、input.pst という名前のファイルから Gmail CSE にメールを移行するには、次のコマンドを入力します。
> gmail-cse-migrate.exe -api-credential=my-api-credential.json -input=input.pst
Linux、macOS
$ ./gmail-cse-migrate [Optional flags] -api-credential=<filename> -input=<filename>
たとえば、input.pst という名前のファイルから Gmail CSE にメールを移行するには、次のコマンドを入力します。
$ ./gmail-cse-migrate -api-credential=my-api-credential.json -input=input.pst
注:
- コマンドを実行するときに、次の必須フラグを指定します。
-api-credential=<ファイル名> と -input=<ファイル名> - 必須フラグの機能の詳細を得るには、「gmail-migrate.exe -help」と入力します。
- 移行ユーティリティは、単一の入力ファイルとディレクトリの両方で動作できます。
- 入力ディレクトリの場合、移行ユーティリティはディレクトリを再帰的に走査し、拡張子が .pst または .mbox のファイルを検索します。
- 1 回の実行で複数の入力ファイルとディレクトリを指定できます。
移行を実行する Google サービス アカウントに、OAuth スコープ https://www.googleapis.com/auth/gmail.modify の使用権限が付与されている必要があります。
移行をテストする
メールを Gmail ストレージに追加する前に、移行プロセスのドライランを実行しておくことを強くおすすめします。これにより、移行が失敗する原因となる可能性のある問題を特定して修正できます。たとえば、CSE 鍵ペアが構成されていない場合、移行中に一部のメール暗号化に失敗することがあります。ドライランを行うことで、移行が失敗する要因を事前に特定しやすくなります。
ドライランを実行するには、-dryrun フラグを使用します。たとえば、Google サービス アカウントの秘密鍵が c:my_svc_acct.json2 にある場合は、次のコマンドを入力します。
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:my_svc_acct.json -dryrun
この例では、2 つの入力ファイル user1.pst と user2.pst に対して移行プロセスのドライランを実行します。ドライランでは、次のことが確認されます。
- ファイルのメッセージを解析できる。
- 移行準備のためにメッセージを暗号化できる。
移行を完了する
ドライランの後、次のコマンドを入力して移行を完了します。
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:my_svc_acct.json
注: ドライラン モードで操作する場合は、ご利用の Google サービス アカウントに OAuth スコープ(https://www.googleapis.com/auth/gmail.readonly)が付与されている必要があります。
移行を確認する
メールの移行が正常に完了すると、メールの S/MIME 暗号化コピーが、S/MIME 以外の形式で暗号化された元のメールとともに、メール所有者の Gmail アカウントに挿入されます。移行ユーティリティによって元のメッセージが削除されることはありません。
ユーザー アカウントの検査で、S/MIME コピーが Gmail CSE で使用可能であることが判明した場合、アカウント所有者または企業管理者は、S/MIME 以外の形式で暗号化された元のメールメッセージを削除できます。これらのメールが見つかりやすいように、Gmail CSE 移行ユーティリティによって、「Gmail CSE Migration Source Messages」という名前のカスタム ユーザーラベルが元の各メールに追加されます。
Gmail の UI を使用してメールを削除する際は注意が必要です。デフォルトのインターフェースでは、メールがスレッドまたは会話にまとめられており、1 通のメールを削除すると、暗号化されていないメールおよび挿入された CSE メールのコピーを含む会話全体が削除されます。そのため、まず Gmail の設定ペインでスレッド表示を無効にし、スレッドではなく個々のメールに削除が適用されるようにします。
移行に失敗した場合
-
失敗の原因を特定する手順は次のとおりです。
- ログファイルでエラー メッセージがないか確認します。
- PST ファイルと Gmail アカウントにアクセスするために必要な権限が移行ツールに付与されていることを確認します。
- API 認証情報が有効であることを確認します。
- PST ファイルが破損していないことを確認します。
- 移行が失敗した原因に対処するために必要な変更を行います。
- 移行コマンドを再実行します。
注: 移行ユーティリティは、前回の試行で正常に移行されたメッセージをスキップします。
移行ツールのフラグ
移行ツールのフラグは、スラッシュではなく、先頭に 1 つまたは 2 つのハイフンを使用して指定できます。たとえば、Windows では、次のいずれかを使用してヘルプ情報を表示するフラグを指定できます。
-help
--help
文字列引数を受け取るフラグの場合は、等号またはスペースを使用して引数を定義できます。たとえば、次のフラグは同等です。
-input=filename.pst
-input filename.pst
ヘルプフラグ
| フラグ | 説明 |
|---|---|
| -version |
バージョン文字列を出力します。 サポートにお問い合わせいただく際は、問題が発生しているバージョンをお知らせください。 |
| -help | すべてのフラグの使用状況画面を出力します。 |
| -logfile |
実行ログが書き込まれる出力ファイルを指定します。 ファイル名に特殊な書式のTIMESTAMPが含まれている場合は、実行開始時間に置き換えられます。 |
移行フラグ
| フラグ | 説明 |
|---|---|
| input <directory_or_file> | 必須。入力ディレクトリまたはメールファイルを指定します。 |
| -api-credential <file> | 必須。Google サービス アカウントに委任されたドメイン全体のアクセス権の秘密鍵を含む JSON ファイルを指定します。 |
| -dryrun | 省略可。移行ツールがメールファイルを処理し、 それらのメールを移行する準備ができることを確認するために指定します。 |