サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較
Google Workspace クライアントサイド暗号化(CSE)の設定を開始する前に、要件、暗号鍵オプション、設定の概要を確認してください。
CSE の要件
以下のような操作を行って組織の CSE を管理するには、Google Workspace 特権管理者権限が必要です。
- 鍵サービスを追加、管理する
- 組織部門やグループに鍵サービスを割り当てる
- ユーザーに対して CSE をオンまたはオフにする
ユーザー ライセンスの要件
- ユーザーが CSE を使用して以下の操作を行うには、Google Workspace Enterprise Plus または Google Workspace for Education Plus のライセンスが必要です。
- クライアントサイド暗号化コンテンツを作成またはアップロードする
- 暗号化適用対象の会議を主催する
- 暗号化されたメールを送受信する
- 使用しているエディションにかかわらず、Google Workspace または Cloud Identity ライセンスがあれば、以下の操作を行えます。
- クライアントサイド暗号化コンテンツを表示、編集、ダウンロードする
- CSE が適用された会議に参加する
- 一般ユーザー向け Google アカウントを使用しているユーザー(Gmail のユーザーなど)は、クライアントサイド暗号化が適用されたコンテンツにアクセスしたり、暗号化されたメールを送信したり、クライアントサイド暗号化が適用された会議に参加したりすることはできません。
ブラウザの要件
クライアントサイド暗号化コンテンツを表示または編集するには、Google Chrome または Microsoft Edge(Chromium)のいずれかのブラウザを使用する必要があります。
クライアントサイド暗号化が適用されたコンテンツに外部ユーザーがアクセスできるように設定できます。外部ユーザーは S/MIME を使用するだけで、ユーザーの暗号化された Gmail のメールにアクセスできます。その他のコンテンツについては、外部アクセスを提供する方法に応じて要件が異なります。詳しくは、クライアントサイド暗号化コンテンツへの外部アクセスを提供するをご覧ください。
暗号鍵オプションについて
- Google と提携している外部の暗号鍵サービスを使用する。Google Workspace のサービスを設定する手順は、ご利用の鍵サービスから提供されます。詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
- Google Workspace CSE API を使用して独自の鍵サービスをビルドする。
Requires having the Assured Controls add-on.
CSE 設定の概要
Google Workspace のクライアントサイド暗号化を設定するために必要な手順の概要は次のとおりです。CSE の設定方法は、使用する暗号鍵の種類によって異なります。
外部の暗号鍵サービスを使用している場合
Google ドライブ、Google カレンダー、Google Meet の暗号化を設定する手順は、次のとおりです。Gmail でハードウェア暗号鍵のみを使用する場合を除き、Gmail でもこちらの手順で設定します。
| Step | 説明 | この手順の完了方法 |
|---|---|---|
| 手順 1: 外部の暗号鍵サービスを選択する |
Google の暗号鍵サービス パートナーに申し込むことも、Google Workspace CSE API を使用して独自のサービスをビルドすることもできます。この鍵サービスを使って、データを保護する最上位の暗号鍵を管理します。
|
クライアントサイド暗号化の鍵サービスを選択する |
| 手順 2: Google Workspace と ID プロバイダを接続する |
管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続します。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、IdP がユーザーの ID を確認します。 |
クライアントサイド暗号化(CSE)で使用する ID プロバイダに接続する |
| 手順 3: 外部鍵サービスを設定する | 鍵サービス パートナーと連携して、Google Workspace のクライアントサイド暗号化用のサービスを設定します。 | クライアントサイド暗号化に必要な鍵サービスを設定する |
| 手順 4: 管理コンソールに鍵サービス情報を追加する |
外部鍵サービスの URL を管理コンソールに追加して、サービスを Google Workspace に接続します。複数の鍵サービスを追加して、組織部門またはグループごとに異なる鍵サービスを割り当てることもできます。 |
クライアントサイド暗号化で使用する鍵サービスを追加、管理する |
| 手順 5: ユーザーに鍵サービスを割り当てる | 組織部門とグループに鍵サービス(複数可)を割り当てます。組織のデフォルトとして 1 つの鍵サービスを割り当てる必要があります。 | ユーザーにクライアントサイド暗号化を割り当てる |
| 手順 5: (Gmail CSE のみ)ユーザーの暗号鍵をアップロードする |
Google Cloud Platform(CGP)プロジェクトを作成し、Gmail API を有効にします。次に、組織全体に API へのアクセスを許可し、Gmail ユーザーに対して CSE を有効にして、秘密暗号鍵および公開暗号鍵を Gmail にアップロードします。 注: この手順では、API と Python スクリプトの使用経験が必要です。 |
Gmail のみ: クライアントサイド暗号化で使用する暗号鍵をアップロードする |
| 手順 6: ユーザーに対して CSE をオンにする | クライアントサイド暗号化コンテンツを作成する必要があるユーザーが属する組織内の組織部門またはグループに対して CSE をオンにできます。 | ユーザーに対して CSE をオンまたはオフにする |
| 手順 7: (省略可)外部アクセスを設定する | 外部ユーザーは S/MIME があれば、暗号化された Gmail コンテンツにアクセスできます。それ以外の場合は、組織とコンテンツに応じて 2 つの方法で外部アクセスを提供できます。 | 外部ユーザーにクライアントサイド暗号化コンテンツへのアクセスを提供する |
| 手順 8: (省略可)クライアントサイド暗号化が適用されたメールとして Gmail にメールをインポートする | 組織に別のサービスまたは別の暗号化形式のメールがある場合、管理者はそれらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。 | クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行する |
Gmail でハードウェア暗号鍵を使用している場合
Requires having the Assured Controls add-on.
すべてまたは一部の Gmail ユーザーに対して、外部鍵サービスではなくハードウェア暗号鍵を設定する場合は、次の手順で操作します。
| Step | 説明 | この手順の完了方法 |
|---|---|---|
| 手順 1: Google Workspace と ID プロバイダを接続する | 管理コンソールを使用するか、サーバーでホストされている .well-known ファイルを使用して、サードパーティの IdP または Google の ID に接続します。ユーザーがコンテンツを暗号化したり、暗号化されたコンテンツにアクセスしたりする前に、IdP がユーザーの ID を確認します。 | クライアントサイド暗号化(CSE)で使用する ID プロバイダに接続する |
| 手順 2: ハードウェア暗号鍵を設定する |
ユーザーの Windows デバイスに Google Workspace ハードウェア キー アプリケーションをインストールします。 注: この手順では、PowerShell スクリプトの使用経験が必要です。 |
Gmail のみ: ハードウェア暗号鍵を設定、管理する |
| 手順 3: ハードウェア暗号化の情報を管理コンソールに追加する | Google Workspace がユーザーの Windows デバイスのスマートカード リーダーと通信するためのポート番号を入力します。 | Gmail のみ: ハードウェア暗号鍵を設定、管理する |
| 手順 4: ユーザーにハードウェア暗号化を割り当てる | ハードウェア キー暗号化を組織部門とグループに割り当てます。 | ユーザーにクライアントサイド暗号化を割り当てる |
| 手順 5: ユーザーの公開暗号鍵をアップロードする |
Google Cloud Platform(CGP)プロジェクトを作成し、Gmail API を有効にします。次に、組織全体に API へのアクセスを許可し、Gmail ユーザーに対して CSE を有効にして、公開暗号鍵を Gmail にアップロードします。 注: この手順では、API と Python スクリプトの使用経験が必要です。 |
Gmail のみ: クライアントサイド暗号化で使用する暗号鍵をアップロードする |
| 手順 6: (省略可)クライアントサイド暗号化が適用されたメールとして Gmail にメールをインポートする | 組織に別のサービスまたは別の暗号化形式のメールがある場合、管理者はそれらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。 | クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行する |
