クライアントサイド暗号化をオンまたはオフにする

サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較

暗号化されたコンテンツを以下のサービスで作成する必要があるユーザーに対して、Google Workspace のクライアントサイド暗号化（CSE）をオンにできます。

Google ドライブ - クライアントサイド暗号化が適用されたドキュメント、スプレッドシート、プレゼンテーションを作成する必要があるユーザー、またはクライアントサイド暗号化が適用されたファイルを Google ドライブにアップロードする必要があるユーザーに対してのみ CSE をオンにします。共有されたファイルを閲覧、編集するだけのユーザーに対して CSE をオンにする必要はありません。
Gmail - 暗号化されたメールを送受信する必要があるユーザーに対してのみ CSE をオンにします。
Gmail で CSE をオンにする前に: Gmail API を有効にし、ユーザーの暗号鍵をアップロードしておいてください。詳しくは、Gmail のみ: クライアントサイド暗号化用の暗号鍵をアップロードするをご覧ください。
Google カレンダー - クライアントサイド暗号化が適用されたカレンダーの予定を作成する必要があるユーザーに対してのみ CSE をオンにします。また、これらのユーザーがクライアントサイド暗号化が適用されるドキュメントを添付したり、クライアントサイド暗号化が適用される会議を主催したりできるようにするには、ドライブと Meet に対して CSE をオンにする必要があります。予定の招待者に対して CSE をオンにする必要はありません。
Google Meet - クライアントサイド暗号化が適用されたオンライン会議を主催する必要があるユーザーに対してのみ CSE をオンにします。会議の他の参加者に対して CSE をオンにする必要はありません。

暗号化されたコンテンツを閲覧または編集するだけのユーザーについては、次のようにします。

内部ユーザーの場合、鍵サービスの鍵アクセス制御リスト（KACL）に登録する。詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
外部ユーザーの場合、ID プロバイダ（IdP）を鍵サービスの許可リストに登録する。詳しくは、CSE の要件をご覧ください。

始める前に

セクションを開く | すべて閉じる

以下の手順が完了していることを確認する

鍵サービスを選択します。
ご利用の ID プロバイダ（IdP）を接続します。
外部鍵サービスまたはハードウェアキー暗号化を設定します。
組織部門またはグループに鍵サービスまたはハードウェアキー暗号化を割り当てます。
複数の鍵サービスを使用している場合は、それぞれのサービスが適切な組織部門または設定グループに割り当てられていることを確認します。

サポートされているサービスで CSE を使用する場合の制限事項を確認する

CSE の使用を選択した場合に利用できなくなる機能について詳しくは、CSE のユーザーエクスペリエンスをご覧ください。

必要に応じて組織部門とグループにユーザーを追加する

すべてのまたは特定のサービスで CSE をオンにする組織部門またはグループにユーザーが配置されていることを確認します。

組織部門の作成について詳しくは、組織部門を追加するをご覧ください。
設定グループの作成と使用について詳しくは、設定グループを使用してサービスの設定をカスタマイズするをご覧ください。

CSE をユーザーアプリのデフォルト設定にする

Requires having the Assured Controls add-on.

組織部門に対して CSE を有効にする際に、以下のサービス（ウェブアプリとモバイルアプリの両方を含む）に対して CSE をデフォルトに設定できます。

Gmail - ユーザーがメールを作成、返信、転送する際に、コンテンツがデフォルトで暗号化されます。
Google ドライブ - ユーザーがドキュメント、スプレッドシート、プレゼンテーションなどの新しいファイルを作成する際に、コンテンツがデフォルトで暗号化されます。
Google カレンダー - ユーザーが予定を作成する際に、予定の説明がデフォルトで暗号化されます。Google Meet の会議もデフォルトで暗号化されます。

管理者が CSE をデフォルトでオンにしても、ユーザーは必要に応じて暗号化をオフにできます。セキュリティ調査ツールを使用して、ドライブとカレンダーの CSE をオフにするユーザーの操作を監視できます。詳しくは、クライアントサイド暗号化のログとレポートを確認するをご覧ください。

注: 現在のところ、CSE をサービスのデフォルトとして設定できるのは組織部門のみで、設定グループではできません。

ユーザーに対して CSE をオンまたはオフにする

ユーザーに対して CSE をオンにするには、そのユーザーが所属する組織部門または設定グループに対して CSE をオンにする必要があります。CSE に対するユーザーアクセスをオンにすると、ユーザーはコンテンツを暗号化するかどうかを選択できるようになります。

組織部門に対して CSE を有効にする際に、ウェブアプリとモバイルアプリの両方の Gmail、Google ドライブ、Google カレンダーに対して CSE をデフォルトに設定できます。Requires having the Assured Controls add-on.

ユーザーがコンテンツを暗号化できないようにするには、そのユーザーが所属する組織部門または設定グループに対して CSE をオフにします。ユーザーに対して CSE をオフにしても、クライアントサイド暗号化が適用されている既存のコンテンツはそのまま暗号化され、アクセスできる状態が維持されます。

この操作を行うには、特権管理者としてログインする必要があります。

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [クライアントサイドの暗号化] にアクセスします。
[アプリ] セクションで、ユーザーに対して CSE をオンまたはオフにする Google サービス名をクリックします。
または、[外部鍵サービスによる暗号化] または [ハードウェアキーによる暗号化] で [割り当て] をクリックします。次に、[アプリによる暗号化] で、CSE をオンにする Google サービスを選択します。
左側のパネルで、CSE をオンまたはオフにする組織部門またはグループを選択します。
[ユーザーアクセス] で [オン] または [オフ] を選択します。
ポップアップメッセージで、選択内容を確定します。
（組織部門の場合のみ省略可）デフォルトで Google サービスを使用して Gmail、ドライブ、カレンダーのコンテンツを暗号化するには、[クライアントサイド暗号化をデフォルトで有効にする] チェックボックスをオンにします。ユーザーは暗号化をオフにできます。
Requires having the Assured Controls add-on.
親組織部門の CSE 設定が変更された場合に自分の設定を維持するには、[オーバーライド] をクリックします。
組織部門の設定がすでに [上書きされました] になっている場合は、次のいずれかを選択します。
- 継承 - 親組織と同じ CSE 設定に戻します。
- 保存 - 新しい CSE 設定を保存します（親の設定が変更された場合も含む）。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

Gmail に対して CSE をオンにした場合

Gmail で CSE を使用するユーザーごとに、S/MIME 証明書と、暗号化された秘密鍵メタデータを準備して Gmail にアップロードする必要があります。詳しくは、ユーザーに対して Gmail CSE を設定するをご覧ください。

CSE の使用で問題が発生した場合

ユーザーが CSE を使用する際に問題が発生する場合は、アラートセンターで確認してください。詳しくは、クライアントサイド暗号化サービス使用不可をご覧ください。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。