クライアントサイド暗号化について

サポート対象エディション: Enterprise、Education Standard、Education Plus。  エディションの比較

Google Workspace のデフォルトの暗号化に加え、独自の暗号鍵を使用して組織のデータを暗号化することも可能です。Google Workspace のクライアントサイド暗号化(CSE)では、データが Google ドライブのクラウドベースのストレージに送信または保管される前に、クライアントのブラウザでコンテンツの暗号化が適用されます。このため、Google のサーバーが暗号鍵にアクセスしてデータを復号することはできません。

CSE を使用するには、Google Workspace を外部の暗号鍵サービスと ID プロバイダ(IdP)に接続する必要があります。

CSE ファイルは社内で共有したり、外部の組織と共有したりできます(相手の組織も Google Workspace を使用し、CSE を設定している場合)。

CSE を使用するメリット

Google Workspace ではすでに最新の暗号基準を採用しており、Google の施設内のデータは、保存時および施設間での転送時にすべて暗号化されますが、さらに CSE を使用することで、暗号鍵と、その鍵へのアクセスに使用する ID プロバイダをユーザーが直接制御できます。これにより、機密データや規制対象データの機密性保持を一層強化できます。

組織で CSE を使用する必要がある場合の理由はさまざまですが、たとえば以下の点が挙げられます。

  • プライバシー - 機密性が非常に高い知的財産権を扱う組織の場合。
  • 法規制コンプライアンス - 航空宇宙・防衛産業、金融サービス、行政機関など、規制の厳しい業界で活動する組織の場合。

CSE の可用性

現在のところ、Google Workspace のクライアントサイド暗号化は以下のデータにのみ適用できます。

  • Google ドライブのデータ。これには、Google ドキュメント エディタ(ドキュメント、スプレッドシート、プレゼンテーション)で作成したファイルや、アップロードしたファイル(PDF や Microsoft Office ファイルなど)が含まれます。
  • Google Meet の音声と動画ストリーム。これには、会議の参加者と Google との間で送信される画面共有が含まれます。

    注: 現在のところ、Meet の CSE を適用できるのはウェブブラウザの会議データに限られます。今後のリリースで、Meet モバイルアプリとミーティング ルーム ハードウェアでも CSE がサポートされるようになる予定です。

今後のリリースでは、他の Google サービスでも CSE を利用できるようになる予定です。

CSE のスタートガイド

セクションを開く  |  すべて閉じて一番上に移動

CSE の設定手順の概要

Google Workspace のクライアントサイド暗号化を設定するための基本的な手順は次のとおりです。

手順 1: 外部の暗号鍵サービスを設定する

まず、Google のパートナー サービスのいずれかを通じて暗号鍵サービスを設定するか、Google CSE API を使用して独自のサービスを構築します。このサービスを使って、データを保護する最上位の暗号鍵を管理します。詳細

手順 2: Google Workspace と外部鍵サービスを接続する

次に、外部鍵サービスの場所(URL)を追加して、Google Workspace がサポート対象のアプリの CSE と外部鍵サービスを接続できるようにします。詳細

手順 3: Google Workspace と ID プロバイダを接続する

この手順を行うには、管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続する必要があります。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりするには、まずこの IdP がユーザーの ID を確認する必要があります。詳細

手順 4: ユーザーに対して CSE をオンにする

組織内のあらゆる組織部門またはグループに対して CSE をオンにできます。ただし、CSE をオンにする必要があるのは、クライアントサイド暗号化の適用対象コンテンツを作成する必要があるユーザーに対してのみとなります。

  • Google ドライブ - クライアントサイド暗号化が適用されるドキュメント、スプレッドシート、プレゼンテーションを作成する必要があるユーザー、またはクライアントサイド暗号化が適用されたファイルを Google ドライブにアップロードする必要があるユーザーに対してのみ CSE をオンにする必要があります。共有されたファイルを閲覧、編集するだけのユーザーに対して CSE をオンにする必要はありません。
  • Google Meet - クライアントサイド暗号化が適用される会議を主催する必要があるユーザーに対してのみ CSE をオンにする必要があります。会議の他の参加者に対して CSE をオンにする必要はありません。

ユーザーに対して CSE をオンにする手順について詳しくは、クライアントサイド暗号化ポリシーを作成するをご覧ください。

CSE のユーザー エクスペリエンス

組織でクライアントサイドの暗号化を設定すると、CSE が有効になっている対象ユーザーは、以下のサービスで CSE を使用できるようになります。

Google ドライブ

ユーザーは、クライアントサイド暗号化が適用されるドキュメントを Google ドキュメント エディタ(ドキュメントやスプレッドシートなど)を使って作成したり、Google ドライブにアップロードするファイル(PDF など)を暗号化したりできます。

なお、以下の機能など、暗号化されたファイルでは利用できない機能もあります。

  • 暗号化されたファイルが Google ドキュメント エディタで作成されたファイルである場合、スペルと文法のチェック機能は動作しません。また、暗号化されたドキュメントを編集できるのは、一度に 1 人の共同編集者のみです。ただし、暗号化されたドキュメントを同時に閲覧できるユーザー数に制限はありません。
  • ファイルを暗号化して Google ドライブにアップロードした場合、そのファイルでは全文検索とファイル プレビュー機能は動作しません。

パソコン版ドライブ

Google Workspace と IdP を接続すると、パソコン版ドライブに CSE を設定できます。

パソコン版ドライブでは、同期された暗号化ファイルが、Windows のショートカットまたは Mac のシンボリック リンクとして表示されます。暗号化されたドキュメント、スプレッドシート、スライドのファイルへのショートカットまたはリンクをクリックすると、新しいブラウザ ウィンドウが開きます。

ユーザーは次の操作も行えます。

  • ローカル ファイルの暗号化とアップロード
  • 一部の種類の暗号化されたファイル(PDF や Microsoft Office ファイルなど)の読み取りと書き込み

復号した機密情報をドライブに保存しない: ドライブで [ダウンロードと復号] オプションを使用する場合は、ドライブと同期しているローカル フォルダに復号されたファイルを保存しないよう、パソコン版ドライブを使用するユーザーに伝えます。

詳細情報

Google ドライブにおける CSE のユーザー エクスペリエンスと制限事項について詳しくは、以下をご確認ください。

Google Meet

ユーザーは、Google カレンダーで会議をスケジュール設定するとき、または即席(事前にスケジュール設定されていない)会議を開始するときに、暗号化を追加するオプションを選択することで、主催する会議にクライアントサイド暗号化を適用できます。

なお、暗号化された会議ではまだ利用できない機能もあります。たとえば、以下の機能は利用できません。

  • 会議の録画(録画ファイルが Google ドライブに保存される場合)
  • ライブ ストリーミング
  • スマートフォンで音声を出入力する
  • チャット
  • アンケート
  • ホワイトボード機能
  • ミーティング ルーム ハードウェアとモバイルアプリ(今後のリリースで提供予定)
  • 組織外のユーザーを招待する(今後のリリースで提供予定)
鍵を無効化または破棄した場合のデータ損失の可能性
警告: Google ドライブ内のファイルの暗号化に使用した暗号鍵を無効にしたり破棄したりすると、Google Workspace アプリではそれらのファイルを復号できなくなります。つまり、ユーザーはこれらのファイルをいかなる方法でも表示、編集、ダウンロード、使用できなくなります。CSE を使用する前に、鍵を安全に保管する方法(バックアップや復元の方法など)について外部鍵サービス プロバイダに相談してください。また、ユーザーのサービスが中断することがないように、鍵サービスを変更する場合は慎重に計画してください。
CSE の要件

管理者の要件

組織で Google Workspace のクライアントサイド暗号化を設定できるのは、Google Workspace の特権管理者に限られています。

ユーザーの要件

  • ユーザーが CSE を使用して以下の操作を行うには、Google Workspace Enterprise Plus または Google Workspace for Education Plus のライセンスが必要です。
    • ファイルを作成またはアップロードする
    • 会議を主催する
  • 使用しているエディションに関わらず、Google Workspace または Cloud Identity ライセンスがあれば、以下の操作を行えます。
    • CSE が適用された既存のファイルを表示、編集、ダウンロードする
    • CSE が適用された会議に参加する
  • 一般ユーザー向け Google アカウントを使用するユーザー(Gmail のユーザーなど)は、CSE が適用されたファイルにアクセスしたり、CSE が適用された会議に参加したりすることはできません。
  • 暗号化されたファイルをユーザーが表示したり編集したりするには、Google Chrome または Microsoft Edge(Chromium)のどちらかのブラウザを使用する必要があります。
  • CSE が適用された会議に参加できるのは、その会議に招待されているユーザーか、会議中に追加されたユーザーに限られます。CSE が適用された会議への参加をリクエストすることはできません。
  • CSE が適用されたファイルや会議にアクセスできるかどうかは、組織の CSE ポリシーによって異なります。

外部ユーザーの要件

  • 社内ユーザーが共同作業している外部の組織でも、管理コンソールまたは .well-known ファイルを使用して CSE を設定する必要があります。
  • CSE で暗号化されたコンテンツに外部ユーザーがアクセスするには、Google Workspace ライセンスが必要です。一般ユーザー向け Google アカウントまたはビジター アカウントを使用しているユーザーは、CSE で暗号化されたファイルにアクセスすることはできません。
  • 外部の暗号化サービスでは、CSE ファイルの共有相手となる外部組織のユーザーが使用するサードパーティの IdP サービスを許可リストに登録して、CSE を使用できるようにする必要があります。通常、IdP サービスは一般公開されている .well-known ファイルに記載されています(設定されている場合)。.well-known ファイルに記載されていない場合は、外部組織の Google Workspace 管理者に連絡して、IdP の詳細を確認してください。
外部ユーザーは ID 情報を共有する必要があります。組織が所有する暗号化ファイルを外部ユーザーが表示または編集する場合、外部ユーザーは鍵サービスに認証トークンを提供する必要があることを、外部組織の管理者に通知してください。認証手続きでユーザーは IP アドレスなどの情報を共有する必要があります。詳しくは、クライアントサイド暗号化 API リファレンス ガイドの認証トークンをご確認ください。
CSE のログとレポートを表示する

Google ドライブに関する以下の CSE ログとレポートを表示できます。ログとレポートは Meet ではまだ利用できません。

監査ログ

組織の CSE 設定の変更履歴を確認できます。

[レポート] 次に [監査ログ] 次に [管理] に移動します。

暗号化されたファイルのアップロード / ダウンロード レポート

アップロードおよびダウンロードされたファイルの数を遡って確認できるレポートを取得できます。

[セキュリティ] 次に [ダッシュボード] 次に [クライアントサイド暗号化] に移動します。

暗号化されたファイルの調査レポート

セキュリティ調査ツールを使用して、暗号化されたファイルに対する Google ドライブのアクティビティに関するレポートを取得します。

  1. [セキュリティ] 次に [調査ツール] に移動します。
  2. [データソース] 次に [ドライブのログイベント] をクリックします。
  3. [条件を追加] 次に [条件を追加] 次に [暗号化あり] をクリックします。
  4. 条件を [True] に設定します。
  5. [検索] をクリックします。

クライアントサイド暗号化に関するよくある質問

セクションを開く  |  すべて閉じて一番上に移動

一般的な質問

Google のデフォルトの暗号化に関する情報はどこで確認できますか?
Google のデフォルトの暗号化の詳細については、Google Cloud サイトをご確認ください。
CSE とエンドツーエンド(e2e)の暗号化の違いは何ですか?
エンドツーエンド(e2e)の暗号化の場合、常に送信元デバイスと送信先デバイス(インスタントメッセージをやりとりする携帯電話など)で暗号化と復号が行われます。暗号鍵はクライアント上で生成されるため、管理者はクライアント上の鍵や、その鍵を使用するユーザーを制御することはできません。また、ユーザーがどのコンテンツを暗号化したのかを確認することもできません。
クライアントサイド暗号化(CSE)でも常に送信元デバイスと送信先デバイスで暗号化と復号が行われますが、この場合のデバイスはクライアントのブラウザです。CSE では、クラウドベースの鍵管理サービスで生成、保存された暗号鍵が使用されるため、管理者は鍵とその鍵にアクセスするユーザーを制御できます。たとえば、ユーザに付与されている鍵のアクセス権を、たとえそのユーザーが当該の鍵の生成者であっても、取り消すことができます。また、CSE では、各ユーザーの暗号化されたファイルをモニタリングすることも可能です。

CSE の設定

パートナーの鍵管理サービスのうち、CSE で使用できるのはどれですか?

Google は、CSE に対応している次の鍵管理サービスと提携しています。

Google を鍵管理サービスとして使用することはできますか?
いいえ。Google Workspace のクライアントサイド暗号化を設定するには、外部の鍵管理サービスを使用する必要があります。CSE では、ユーザーが独自の暗号鍵を自分で管理するため、Google が暗号鍵にアクセスしてデータを復号することはできません。
外部鍵サービスにアクセスできるユーザーまたはグループを制限するにはどうすればよいですか?
外部鍵サービスを通じて暗号鍵のアクセス制御リスト(ACL)を管理してください。詳しくは、ご利用の暗号化プロバイダにお問い合わせください。
共有ドライブに対して CSE を設定するにはどうすればよいですか?
共有ドライブ専用の CSE を設定する必要はありません。管理コンソールで設定した外部鍵サービスは、マイドライブと共有ドライブに保管されているファイルに対しても機能します。

CSE ファイルの操作

CSE ではどのようなデータが暗号化されますか?

Google ドライブ:

  • ファイルのコンテンツ全体(ドキュメントの本文など)
  • 埋め込みコンテンツ(Google ドキュメント ファイル内の画像など)

Google Meet(ベータ版):

会議の参加者と Google との間で送信されるメディア ストリーム(動画と音声データ)

CSE で暗号化されないデータはどのようなデータですか?

Google ドライブ:

  • ファイルのタイトル
  • ファイルのメタデータ(オーナー、作成者、最終更新日時など)
  • Google ドライブのラベル(別名: ドライブのメタデータ)
  • Googl ドキュメントまたはドライブ以外のリンク先のコンテンツ(Google ドキュメントからリンクされた YouTube 動画など)
  • ユーザー設定(Google ドキュメントのヘッダーのスタイルなど)

Google Meet(ベータ版)

メディア ストリーム(音声と動画)以外のデータ

既存のファイルを別の暗号鍵で再度暗号化することはできますか?
この機能は、今後のリリースで利用可能になる予定です。
書き出したファイルを復号するにはどうすればよいですか?
データ エクスポート ツールまたは Google Vault を使用して書き出した CSE ファイルを復号する場合は、復号ツールとしてコマンドライン ユーティリティを使用してください。詳しくは、エクスポートされたクライアントサイド暗号化ファイルを復号するをご確認ください。
Google Vault で暗号化されたファイルの保持、検索、書き出しは可能ですか?
はい。ご利用の Google Workspace エディションに Google Vault が含まれている場合は、Vault で CSE ファイルを保持、検索、書き出すことができます。クライアントサイド暗号化ファイルは、タイトルやオーナーなどのメタデータにより検索できます。ただし、その内容を検索したり、ファイル形式で検索したり、内容をプレビューしたり、プレビュー表示からダウンロードしたりすることはできません。詳しくは、クライアントサイド暗号化ファイルを Vault で使用するをご確認ください。

CSE ファイルのスキャン

Google ドライブでは、セキュリティ上の脅威を検出するために、CSE ファイルが自動的にスキャンされますか?
Google のサーバーは CSE ファイルのコンテンツにアクセスできないため、こうしたファイルに対してフィッシングやマルウェアを検出するためのスキャンが実行されることはありません。
CSE ファイルのコンテンツに対して DLP スキャンを実行することはできますか?
データ損失防止(DLP)スキャンは、クライアントサイド暗号化が適用されたファイルのコンテンツにはアクセスできません。ただし、DLP スキャンはファイルのメタデータ(ファイルのタイトルや Google ドライブのラベルなど、暗号化されていない要素)にはアクセスできるため、機密データの漏洩防止対策としては引き続き効果があります。

パソコン版ドライブでの CSE の使用

パソコン版ドライブでは CSE ファイルは同期されますか?
パソコン版ドライブでは、同期された暗号化ファイルが Windows のショートカットまたは Mac のシンボリック リンクとして表示されます。
パソコン版ドライブでは、ダウンロードした CSE ファイルがドライブに再同期される場合、再暗号化されますか?
いいえ。ドライブと同期されるローカル フォルダにダウンロードおよび復号した CSE ファイルは、ドライブ内にクリアテキストで保存されます。

復号した機密情報をドライブに保存しない: ドライブで [ダウンロードと復号] オプションを使用する場合は、ドライブと同期しているローカル フォルダに復号されたファイルを保存しないよう、パソコン版ドライブを使用するユーザーに伝えます。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false
false