サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較
ここでは、Google Workspace クライアントサイド暗号化(CSE)に関してよく寄せられる質問とその回答をご紹介します。
暗号化について
Google のデフォルトの暗号化に関する情報はどこで確認できますか?
Google のデフォルトの暗号化の詳細については、Google Cloud サイトをご確認ください。
Gmail の標準暗号化について詳しくは、Gmail ヘルプセンターの送受信時のメールの暗号化をご覧ください。
CSE とエンドツーエンド(e2e)の暗号化の違いは何ですか?
エンドツーエンド(e2e)の暗号化の場合、常に送信元デバイスと送信先デバイス(インスタントメッセージをやりとりする携帯電話など)で暗号化と復号が行われます。暗号鍵はクライアント上で生成されるため、管理者はクライアント上の鍵や、その鍵を使用するユーザーを制御することはできません。また、ユーザーがどのコンテンツを暗号化したのかを確認することもできません。
クライアントサイド暗号化(CSE)でも常に送信元デバイスと送信先デバイスで暗号化と復号が行われますが、この場合のデバイスはクライアントのブラウザです。CSE では、クラウドベースの鍵管理サービスで生成、保存された暗号鍵が使用されるため、管理者は鍵とその鍵にアクセスするユーザーを制御できます。たとえば、ユーザに付与されている鍵のアクセス権を、たとえそのユーザーが当該の鍵の生成者であっても、取り消すことができます。また、CSE では、各ユーザーの暗号化されたファイルをモニタリングすることも可能です。
CSE のユーザー エクスペリエンスについて
CSE を使用してデータを暗号化するにはどうすればよいですか?
ユーザーは、サポートされているサービスのオプションを選択して CSE をオンにできます。ユーザーがウェブアプリとモバイルアプリで CSE を有効にする方法について詳しくは、クライアントサイド暗号化のユーザー エクスペリエンスの概要をご覧ください。
CSE を使用するユーザーになんらかの制限はありますか?
はい。CSE を有効にすると、Google サービスの一部の機能が利用できなくなります。詳しくは、クライアントサイド暗号化のユーザー エクスペリエンスの概要をご覧ください。
CSE の設定
暗号鍵とは何ですか?どのように取得すればよいですか?
暗号鍵は、データを読み取り不能な形式に変換し、ランダムに表示させるために使用されます。これにより、データの読み取りが許可されていない人やアプリケーションに対して、データを非公開にすることができます。暗号化されたデータを読み取るには、データを元の形式に変換するための鍵が必要です。
暗号鍵を使用して組織の Google Workspace データに暗号化レイヤを追加するには、Google と提携している鍵管理サービスを使用するか、Google の CSE API を使用して独自の鍵サービスを作成する必要があります。または、Gmail に限り、ハードウェア キー暗号化を使用することもできます。この暗号化方法では、ユーザーの暗号鍵がスマートカードに保存されます。
パートナーの鍵管理サービスのうち、CSE で使用できるのはどれですか?
Google は、CSE に対応しているいくつかの鍵管理サービスと提携しています。サービスの一覧については、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
Google を鍵管理サービスとして使用することはできますか?
いいえ。Google Workspace のクライアントサイド暗号化を設定するには、外部の鍵管理サービスを使用する必要があります。CSE では、ユーザーが独自の暗号鍵を自分で管理するため、Google が暗号鍵にアクセスしてデータを復号することはできません。
複数の鍵サービスを使用できますか?
はい。複数の鍵サービスを使用して、組織部門またはグループごとに異なる鍵サービスを使用するよう選択できます。または、暗号化されたコンテンツを鍵サービス間で移行することもできます。
注: 管理コンソールでは、Gmail クライアントサイド暗号化用の鍵サービスを 1 つ設定できます。その他の鍵管理オプションについては、Google Workspace Client-side Encryption API をご覧ください。
CSE でスマートカードを使用できますか?
はい。組織でスマートカードを使用して施設やシステムにアクセスしている場合は、Gmail CSE に対してハードウェア キー暗号化を設定できます。Requires having the Assured Controls add-on. ユーザーは、秘密暗号鍵が格納されたスマートカードを使用してメールを暗号化できます。詳しくは、Gmail のみ: クライアントサイド暗号化でハードウェア キー暗号化を設定して管理するをご覧ください。
Gmail で鍵サービスとハードウェア暗号鍵の両方を使用できますか?
はい。Gmail CSE には鍵サービスとハードウェア暗号鍵の両方を設定できます。Requires having the Assured Controls add-on.また、鍵サービスとハードウェア キー暗号化は、同じユーザーに割り当てます。ただし、ユーザーが Gmail で使用できる暗号化は 1 種類のみです。これは、管理者が Gmail に秘密暗号鍵を設定する方法によって異なります。詳しくは、Gmail のみ: クライアントサイド暗号化で使用する暗号鍵をアップロードするをご覧ください。
別の鍵サービスに切り替えることはできますか?
はい。別の鍵サービスに切り替えることができます。その際は、現在の鍵サービスで暗号化されたコンテンツを新しい鍵サービスに移行することをおすすめします。詳しくは、新しい鍵サービスに切り替える場合をご覧ください。
外部の鍵サービスにアクセスできるユーザーまたはグループを制限するにはどうすればよいですか?
外部の鍵サービスを通じて暗号鍵の鍵アクセス制御リスト(KACL)を管理してください。KACL には、コンテンツを暗号化または復号(閲覧または編集)する必要があるすべてのユーザーを含める必要があります。詳しくは、ご利用の暗号化プロバイダにお問い合わせください。
また、データを暗号化する必要があるユーザーに対して CSE をオンにする必要があります。詳しくは、ユーザーのクライアントサイド暗号化をオンまたはオフにするをご覧ください。
特定のユーザーに対して CSE の使用を必須にできますか?
Gmail、Google ドライブ、Google カレンダーでは、特定の組織部門に対して CSE がデフォルトでオンになるように指定できます。Requires having the Assured Controls add-on.
CSE がデフォルトでオンになるように指定した場合でも、ユーザーは必要に応じて CSE をオフにできます。
詳しくは、ユーザーのクライアントサイド暗号化をオンまたはオフにするをご覧ください。
共有ドライブに対して CSE を設定するにはどうすればよいですか?
共有ドライブ専用の CSE を設定する必要はありません。管理コンソールで設定した外部の鍵サービスは、マイドライブと共有ドライブに保管されているファイルに対しても機能します。
CSE の設定中にアラートが表示された場合はどうすればよいですか?
CSE の設定中に問題が発生した場合は、アラートの詳細を表示するで詳細をご確認ください。
CSE を使用して既存のメールをインポートして暗号化できますか?
はい。クライアントサイド暗号化が適用されたメールとして Gmail にメールを移行するを参照してください。
外部ユーザーに組織のクライアントサイド暗号化コンテンツへのアクセスを許可できますか?
はい。クライアントサイド暗号化コンテンツへの外部アクセスを提供するを参照してください。
クライアントサイド暗号化が適用されたコンテンツの操作
既存のファイルを別の暗号鍵で再度暗号化することはできますか?
クライアントサイド暗号化が適用されたファイルを、新しい鍵サービスに移行することができます。詳しくは、新しい鍵サービスに切り替える場合をご覧ください。
ファイルに適用されている暗号化を Google のデフォルトの暗号化に切り替えることはできますか?
はい。Google ドキュメント、スプレッドシート、プレゼンテーションでクライアントサイド暗号化を解除できます。詳しくは、ドキュメントの暗号化を解除するをご覧ください。
書き出したドライブのファイルやメールを復号するにはどうすればよいですか?
データ エクスポート ツールまたは Google Vault を使用して書き出した CSE ファイルを復号する場合は、復号ツールとしてコマンドライン ユーティリティを使用してください。詳しくは、エクスポートされたクライアントサイド暗号化ファイルを復号するをご覧ください。
Google Vault で暗号化されたファイルやメールの保持、検索、書き出しは可能ですか?
はい。ご利用の Google Workspace エディションに Google Vault が含まれている場合は、Vault でクライアントサイド暗号化を適用したドライブ ファイルや Gmail メールの保持、検索、書き出しを行うことができます。
クライアントサイド暗号化ファイルは、タイトルやオーナーなどのメタデータにより検索できます。ただし、その内容を検索したり、ファイル形式で検索したり、内容をプレビューしたり、プレビュー表示からダウンロードしたりすることはできません。
詳しくは、Google Vault ヘルプセンターをご覧ください。
クライアントサイド暗号化が適用されたファイルやメールのスキャン
Google ドライブと Gmail では、セキュリティ上の脅威を検出するために、クライアントサイド暗号化コンテンツが自動的にスキャンされますか?
Google のサーバーはこうしたコンテンツにアクセスできないため、クライアントサイド暗号化が適用されたファイルやメールに対してフィッシングやマルウェアを検出するためのスキャンが実行されることはありません。
クライアントサイド暗号化が適用されたファイルやメールに対して、DLP スキャンを実行することはできますか?
データ損失防止(DLP)スキャンは、ファイルやメールのクライアントサイド暗号化コンテンツにはアクセスできません。しかし、DLP ルールを作成することで次のことが可能になります。
- ファイルのタイトルやドライブのラベルなど、ドライブ ファイルの暗号化されていないメタデータをスキャンします。これは、機密データの漏洩防止に役立ちます。
- ドライブ ファイルをスキャンしてクライアントサイド暗号化が行われているかどうかを調べます。これを行うには、ルール条件の [ファイルの暗号化ステータス] > [次の値と一致] > [クライアントサイド暗号化] または [クライアントサイド暗号化なし] を選択します。
ドライブの DLP ルールの作成方法について詳しくは、ドライブの DLP ルールとカスタム コンテンツ検出項目を作成するをご覧ください。
CSE に対応していない Google Workspace エディションに切り替える
ユーザーのライセンスで CSE を使用できなくなった場合、暗号化されたコンテンツはどうなりますか?
CSE が含まれない Google Workspace ライセンスに切り替えても、ユーザーはクライアントサイド暗号化が適用されたアイテム(ファイルやメールなど)にアクセスして編集できます。ただし、新しいアイテムを作成する際にクライアントサイド暗号化を適用することはできません。
CSE が不要になった場合、コンテンツから暗号化を削除できますか?
CSE の使用を停止してファイルやメールなどのアイテムを復号する場合は、まずデータ エクスポート ツールを使用してそれらのアイテムをエクスポートする必要があります。その後、復号ユーティリティを使用して CSE を削除します。
