この機能に対応しているエディション: Frontline Plus、Enterprise Plus、Education Standard、Education Plus。エディションを比較する
管理者は、暗号化されたコンテンツを以下のサービスで作成する必要があるユーザーに対して、Google Workspace クライアントサイド暗号化(CSE)をオンにできます。
| このサービスの場合... | CSE をオンにする対象 |
|---|---|
| Google ドライブ |
クライアントサイド暗号化が適用されるドキュメント、スプレッドシート、プレゼンテーションを作成する必要があるユーザー、またはクライアントサイド暗号化が適用されたファイルを Google ドライブにアップロードする必要があるユーザー。 共有されたファイルを閲覧、編集するだけのユーザーに対して CSE をオンにする必要はありません。 |
| Gmail |
暗号化されたメールを送受信する必要があるユーザー。 Gmail で CSE をオンにする前に: ユーザーのメール暗号化を有効にするオプションを確認します。これは、Gmail CSE の有効化に加えて必要です。詳しくは、このページで後述しているGmail CSE: ユーザーに対して暗号化が有効になっていることを確認するをご覧ください。 |
| Google カレンダー |
クライアントサイド暗号化が適用されたカレンダーの予定を作成する必要があるユーザー。また、これらのユーザーがクライアントサイド暗号化が適用されるドキュメントを添付したり、クライアントサイド暗号化が適用される会議を主催したりできるようにするには、ドライブと Meet に対して CSE をオンにする必要があります。 予定の招待者に対して CSE をオンにする必要はありません。 |
| Google Meet |
クライアントサイド暗号化が適用されるオンライン会議を主催する必要があるユーザー。 会議の他の参加者に対して CSE をオンにする必要はありません。 |
暗号化されたコンテンツを閲覧または編集するだけのユーザーについては、次のようにします。
- 内部ユーザーの場合、鍵サービスの鍵アクセス制御リスト(KACL)に登録する。詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
- 外部ユーザーは、クライアントサイド暗号化が適用されたコンテンツにアクセスできます。詳しくは、外部ユーザーにクライアントサイド暗号化コンテンツへのアクセスを提供するをご覧ください。
始める前に
以下の手順が完了していることを確認する
- 鍵サービスを 1 つ選択します。
- ご利用の ID プロバイダ(IdP)に接続します。
- 外部鍵サービスまたはハードウェア キー暗号化を設定します。
- 組織部門またはグループに鍵サービスまたはハードウェア キー暗号化を割り当てます。
複数の鍵サービスを使用している場合は、それぞれのサービスが適切な組織部門または設定グループに割り当てられていることを確認します。
サポートされているサービスで CSE を使用する場合の制限事項を確認する
CSE の使用を選択した場合に利用できなくなる機能について詳しくは、CSE のユーザー エクスペリエンスをご覧ください。
必要に応じて組織部門とグループにユーザーを追加する
すべてのまたは特定のサービスで CSE をオンにする組織部門またはグループにユーザーが配置されていることを確認します。
- 組織部門の作成について詳しくは、組織部門を追加するをご覧ください。
- 設定グループの作成と使用について詳しくは、設定グループを使用してサービスの設定をカスタマイズするをご覧ください。
CSE をユーザーアプリのデフォルト設定にする
組織部門に対して CSE を有効にする際に、以下のサービス(ウェブアプリとモバイルアプリの両方を含む)に対して CSE をデフォルトに設定できます。
- Gmail - ユーザーがメールを作成、返信、転送する際に、コンテンツがデフォルトで暗号化されます。
- Google ドライブ - ユーザーがドキュメント、スプレッドシート、プレゼンテーションなどの新しいファイルを作成する際に、コンテンツがデフォルトで暗号化されます。
- Google カレンダー - ユーザーが予定を作成する際に、予定の説明がデフォルトで暗号化されます。Google Meet の会議もデフォルトで暗号化されます。
管理者が CSE をデフォルトでオンにしても、ユーザーは必要に応じて暗号化をオフにできます。セキュリティ調査ツールを使用して、ドライブとカレンダーの CSE をオフにするユーザーの操作を監視できます。詳しくは、クライアントサイド暗号化のログとレポートを確認するをご覧ください。
注: 現在のところ、CSE をサービスのデフォルトとして設定できるのは組織部門のみで、設定グループではできません。
Gmail CSE: ユーザーに対してメールの暗号化が有効になっていることを確認する
暗号化されたメッセージを送受信するには、アカウントで Gmail CSE とメール暗号化の両方を有効にする必要があります。サブスクリプションとニーズに応じて、次のいずれかの方法で暗号化を有効にできます。
- ユーザーの S/MIME 証明書を構成してアップロードする(API と Python スクリプトの使用経験が必要です)。このオプションを使用する場合は、Gmail の CSE をオンにする前に Gmail API を有効にする必要があります。詳しくは、Gmail のみ: クライアントサイド暗号化用に S/MIME 証明書を構成するをご覧ください。
- Assured Controls アドオンをご利用で、Gmail でハードウェア暗号鍵を使用していない場合は、Gmail CSE をオンにするときに [ゲスト アカウントでの暗号化] オプションを選択して、Gmail エンドツーエンドの暗号化(E2EE)を使用します(このページの後半で説明します)。このオプションを使用すると、ユーザーの S/MIME 証明書を構成する必要はありません。Gmail E2EE を使用するには、まずゲスト ID プロバイダ(IdP)を構成する必要があります。詳しくは、外部ユーザーにクライアントサイド暗号化コンテンツへのアクセスを提供するをご覧ください。
重要: [ゲスト アカウントでの暗号化] オプションを使用すると、ユーザーが組織外のすべてのユーザーとクライアントサイド暗号化されたメッセージを交換できるようにすることもできます。このアクセス権を付与するには、ゲスト ID プロバイダ(IdP)を構成する必要があります。詳しくは、外部ユーザーにクライアントサイド暗号化コンテンツへのアクセスを提供するをご覧ください。
ユーザーに対して CSE をオンまたはオフにする
ユーザーに対して CSE をオンにするには、そのユーザーが所属する組織部門または設定グループに対して CSE をオンにする必要があります。CSE に対するユーザー アクセスをオンにすると、ユーザーはコンテンツを暗号化するかどうかを選択できるようになります。
組織部門に対して CSE を有効にする際に、ウェブアプリとモバイルアプリの両方の Gmail、Google ドライブ、Google カレンダーに対して CSE をデフォルトに設定できます。アクセスするには、Assured Controls または Assured Controls Plus のアドオンが必要です。
ユーザーがコンテンツを暗号化できないようにするには、そのユーザーが所属する組織部門または設定グループに対して CSE をオフにします。ユーザーに対して CSE をオフにしても、クライアントサイド暗号化が適用されている既存のコンテンツはそのまま暗号化され、アクセスできる状態が維持されます。
この操作を実施するには、特権管理者としてログインする必要があります。-
Google 管理コンソールで、メニュー アイコン
[データ] [コンプライアンス] [クライアントサイドの暗号化] に移動します。この操作を実施するには、特権管理者としてログインする必要があります。
[アプリ] セクションで、ユーザーに対して CSE をオンまたはオフにする Google サービスの名前をクリックします。
または、[外部鍵サービスによる暗号化] または [ハードウェア キーによる暗号化] で [割り当て] をクリックします。次に、[アプリによる暗号化] セクションで、CSE をオンにする Google サービスを選択します。
左側のパネルで、CSE をオンまたはオフにする組織部門またはグループを選択します。
[クライアントサイド暗号化のステータス] で、[オン] または [オフ] を選択します。
ポップアップ メッセージで、選択内容を確定します。
(Gmail のみ、省略可)ユーザーのアカウントでメール暗号化を自動的に有効にするには、[ゲスト アカウントでの暗号化] で [ユーザーが、クライアントサイド暗号化が適用されたメールを S/MIME を使用していない受信者に送信できるようにする] を選択します。アクセスするには、Assured Controls または Assured Controls Plus のアドオンが必要です。
(組織部門のみ、省略可)Gmail、ドライブ、カレンダーのコンテンツを Google サービスでデフォルトで暗号化するには、[デフォルトでオン] で [クライアントサイド暗号化をデフォルトで有効にする] チェックボックスをオンにします。ユーザーは暗号化をオフにできます。
アクセスするには、Assured Controls または Assured Controls Plus のアドオンが必要です。親組織部門の CSE 設定が変更された場合に自分の設定を維持するには、[オーバーライド] をクリックします。
組織部門のステータスがすでに [上書きされました] に設定されている場合は、次のいずれかを選択します。
- 継承 - 親組織と同じ CSE 設定に戻します。
- 保存 - 新しい CSE 設定を保存します(親の設定が変更された場合も含む)。
Gmail に対して CSE をオンにした場合
Gmail で CSE を有効にした後に [ゲスト アカウントでの暗号化] オプションを使用できなかった場合: Gmail CSE を使用するユーザーごとに、S/MIME 証明書と、暗号化された秘密鍵メタデータを準備して Gmail にアップロードする必要があります。詳しくは、ユーザーに対して Gmail CSE を設定するをご覧ください。
CSE の使用で問題が発生した場合
ユーザーが Gmail CSE を使用する際に問題が発生する場合は、アラート センターで確認してください。詳しくは、クライアントサイド暗号化サービス使用不可をご覧ください。