ホスト型 S/MIME を有効化してメールの安全性を高める

この機能は、G Suite EnterpriseG Suite Enterprise for Education でのみご利用いただけます。

ホスト型 S/MIME(Secure/Multipurpose Internet Mail Extensions)を有効にすると、組織で扱われるメールの整合性と機密性を高めることができます。S/MIME 暗号化が機能するためには、送信者と受信者それぞれで S/MIME が有効に設定されている必要があります。また、相手を一意に識別するために、「鍵」と呼ばれる情報を交換する必要があります。

管理者は、特定の条件に当てはまるメールが S/MIME 方式で暗号化または署名されていない場合に、それらのメールを送受信できないように設定できます。詳しくは、コンテンツ コンプライアンス ルールの設定ホスト型 S/MIME でメールのセキュリティを強化するをご覧ください。

対応しているクライアントや高度な暗号化について詳しくは、ホスト型 S/MIME に関するよくある質問をご覧ください。

ホスト型 S/MIME の設定

ホスト型 S/MIME を使用するには、Google 管理コンソールで有効化してから、プログラムまたは Gmail の設定を使用して Gmail に証明書をアップロードします。変更はユーザーが Gmail を再読み込みしたときに反映されます。必要に応じてユーザーがカスタムの証明書をアップロードし、相互に交換して利用できるように設定することもできます。

手順 1: ホスト型 S/MIME を有効にする

次の手順では、S/MIME を有効化し、必要に応じて信頼できる S/MIME 証明書の高度な管理を使用してルート証明書をアップロード、管理する方法について説明します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次に [G Suite] 次に [Gmail] 次に [ユーザー設定] にアクセスします。
  3. 左側の [組織] で、設定するドメインまたは組織を選択します。

    重要: ルート証明書をアップロードして管理するために S/MIME の高度な管理を設定する場合は、最上位の組織(通常はドメイン)を選択する必要があります。

  4. [S/MIME] 設定までスクロールし、[メール送受信で S/MIME 暗号化を有効にする] チェックボックスをオンにします。

  5. (省略可)ユーザーが証明書をアップロードできるようにするには、[独自証明書のアップロードをユーザーに許可する] チェックボックスをオンにします。

  6. (省略可能なその他の管理)ルート証明書をアップロードして管理する場合は、信頼できる S/MIME 証明書の管理を使用します。

    1. [特定のドメインに関する追加のルート証明書を受け入れてください] の横にある [追加] をクリックします。
    2. [ルート証明書をアップロード] をクリックします。
    3. 証明書ファイルを参照して選択し、[開く] をクリックします。サブジェクト名と有効期限を含む証明書の確認メッセージが表示されます。証明書に問題がある場合は、エラー メッセージが表示されます。
    4. [暗号化のレベル] で、この証明書で使用する暗号化レベルを選択します。
    5. [アドレスリスト] に、通信時にルート証明書を使用するドメインを 1 つ以上入力します。ドメイン名には、RFC 標準に準拠しているワイルドカードを使用できます。複数のドメインはカンマで区切ります。
    6. [保存] をクリックします。
    7. 証明書チェーンを追加する場合は、この手順を繰り返します。
  7. ドメインや組織で SHA-1(Secure Hash Algorithm 1)を使用する必要がある場合にのみ、[SHA-1 をグローバルに許可する(非推奨)] チェックボックスをオンにします。
  8. [保存] をクリックします。

重要: 変更がすべてのユーザー アカウントに反映されるまでには、最長で 1 時間ほどかかる場合があります。この間に送信されたメールは暗号化されません(S/MIME を無効にして再度有効にした場合も同様です)。

手順 2: ユーザーが Gmail を再読み込みする

管理者がホスト型 S/MIME を有効にした後、ユーザーが Gmail を再読み込みすると変更が反映されます。再読み込み後は、メールの件名に鍵アイコンが表示されます。メールがホスト型 S/MIME で暗号化されている場合、鍵は緑色になります。

手順 3: 証明書をアップロードする

ホスト型 S/MIME 暗号化を使用するには、エンドユーザーの S/MIME 証明書を Gmail にアップロードする必要があります。証明書は現在の暗号化の基準を満たし、PKCS(Public-Key Cryptography Standards)#12(個人情報の交換構文)アーカイブ ファイル形式を使用する必要があります。PKCS #12 について詳しくは、Internet Engineering Task Force のドキュメントをご覧ください。

Google が提供、管理している信頼できる証明書のリストは、Gmail for S/MIME にのみ適用されます。リストにある CA は Google が独自の裁量で信頼できると判断したものであり、理由の有無を問わず Google はいつでもルート CA を削除する権利を保持しています。

管理者が Gmail S/MIME API を使用してプログラムで証明書をアップロードすることをおすすめします。デフォルトのユーザー鍵の表示、削除、設定といった管理にも、Gmail S/MIME API を使用できます。証明書のアップロードを許可されたユーザーは、Gmail の設定を使ってアップロードできます。

Gmail で証明書をアップロードするには:

  1. Gmail の受信トレイで、設定アイコン 次に [設定] を選択します。
  2. [アカウント] タブをクリックします。
  3. [名前] の [情報を編集] をクリックします。

    メッセージ ウィンドウに高度な暗号化(S/MIME)オプションが表示されます(管理コンソールで S/MIME と [独自証明書のアップロードをユーザーに許可する] が有効になっていない場合は、このオプションは表示されません)。

  4. [個人証明書をアップロード] をクリックします。
  5. 証明書を選択して [開く] をクリックします。証明書のパスワードを入力するよう求められます。
  6. パスワードを入力して、[証明書を追加] をクリックします。

手順 4: ユーザーが鍵を交換する

ユーザーは、次のいずれかの方法でメールの受信者と鍵を交換する必要があります。

  • S/MIME 形式で署名されたメールを受信者に送信します。メールにはデジタル署名が付き、その署名にはユーザーの公開鍵が含まれるようになります。メールの受信者はこの公開鍵を使って、相手に送信するメールを暗号化できるようになります。
  • 受信者からメールを送信してもらいます。届いたメールは S/MIME 形式で署名されており、暗号化に使われた鍵は自動的に保存されて今後も使用できるようになっています。これ以降、この受信者宛のメールは S/MIME で暗号化されます。

ホスト型 S/MIME を有効にした後

ホスト型 S/MIME を有効にしたら、S/MIME 方式で暗号化または署名されていない場合に、特定の条件に当てはまるメールが送受信されないように設定できます。この設定は、コンプライアンス ルールやルーティング ルールを作成する際に行います。詳しくは、ホスト型 S/MIME でメールのセキュリティを強化するをご覧ください。

ドメインの既存の S/MIME インフラストラクチャに準拠するように、特定のセキュリティ制限を緩和できます。たとえば、デフォルトの厳密なセキュリティ ガイドラインに準拠していないルート認証局(CA)をアップロードすることができます。

信頼できる S/MIME 証明書の高度な管理

Google では S/MIME 証明書の要件を設定しています。ただし、お使いの証明書がこれらの標準を満たしていない場合、設定によっては特定のメールが「信頼されない」可能性があります。その場合は、信頼する CA から追加されるルート証明書を許可するように選択することもできます。

追加のルート証明書を許可するには、そのルート証明書をアップロードしてから、証明書を適用するドメインを 1 つ以上指定します。必要に応じて、証明書の暗号化レベルまたは検証プロファイルを調整することもできます。

ルート証明書のガイドライン

アップロードする証明書ファイルの作成

証明書のガイドライン

  • 証明書には .pem 形式を指定する必要があり、1 つのルート証明書のみを含めることができます。
  • 証明書チェーンには、少なくとも 1 つの中間証明書を含める必要があります。
  • 各証明書チェーンには、エンドユーザー証明書を含める必要があります。含まれていない場合は、Google で最小限の検証のみを行います。
  • エンドユーザー証明書には秘密鍵を含めないでください。

重要: 少なくとも 1 つの中間 CA 証明書がチェーン内に存在する必要があります。つまり、ルート CA がエンド エンティティ証明書を直接発行することは許可されていません

Google が提供、管理している信頼できる証明書のリストは、Gmail for S/MIME にのみ適用されます。リストにある CA は Google が独自の裁量で信頼できると判断したものであり、理由の有無を問わず Google はいつでもルート CA を削除する権利を保持しています。

アップロードの問題のトラブルシューティング

アップロード エラーを特定して解決するには、次の項目を確認してください。

  • この証明書は、信頼されるための最小要件を満たしていません。証明書が自己署名されていたり失効したりしていないこと、鍵の長さが 1,024 ビット以上であることを確認して、もう一度試してください。
  • 証明書に無効な署名があります。証明書の署名が有効なものであることを確認して、もう一度試してください。
  • 証明書の期限が切れています。証明書の日付が、[開始時刻] 欄と [終了時刻] 欄で指定した期間内の日付であることを確認して、もう一度試してください。
  • アップロードした証明書チェーンには、無効な証明書が 1 つ以上含まれています。証明書の形式が正しいことを確認して、もう一度試してください。
  • アップロードした証明書には複数のルート証明書が含まれています。証明書に含まれているルート証明書が 1 つのみであることを確認して、もう一度試してください。
  • 証明書を解析できませんでした。証明書の形式が正しいことを確認して、もう一度試してください。
  • サーバーが証明書を解析できなかった、またはサーバーから不明な応答がありました。証明書の形式が正しいことを確認して、もう一度試してください。
  • 証明書をアップロードできません。サーバーとの通信中に問題が発生しました。これは一時的な問題である可能性が高いため、数分後にもう一度試してください。引き続きアップロードが失敗する場合は、証明書の形式が正しいことを確認してください。
  • ルート証明書を編集します。証明書を編集して、アドレスリストのドメインを変更することができます。たとえば、カスタム証明書をアップロードしているにもかかわらず、「信頼できない」とみなされてエラー メッセージが表示される場合は、許可されたドメインのリストを変更してみてください。

アドレスリストのドメインの変更

  1. 追加のルート証明書のリストで、変更する証明書を選択して [編集] をクリックします。
  2. 変更を加えたら、[保存] をクリックします。

: 証明書の有効期限を変更したり、編集によって証明書を置き換えたりすることはできません。証明書を削除して新しい証明書をアップロードする必要があります。ルート証明書を削除しても、すでにアップロード済みのエンドユーザー証明書には影響しません。

ルート証明書の削除

追加のルート証明書のリストで、変更する証明書を選択して [削除] をクリックします。

SHA-1 の許可が必要になるケース

Gmail 以外の一部のメール クライアントでは、SHA-1 ハッシュ形式の署名が認められる場合があります。SHA-1 はセキュリティ上の理由により、すでに廃止されたハッシュ関数であるため、これらの署名はデフォルトでは信頼できない署名として認識されます。S/MIME によるメール セキュリティ対策のアルゴリズムとして SHA-1 暗号化ハッシュ関数を組織で使用しており、SHA-1 形式で署名されたメールを信頼できるメールとして表示させたい場合のみ、[SHA-1 をグローバルに許可する(非推奨)] チェックボックスをオンにしてください。このチェックボックスをオンにすると、この署名アルゴリズムを使用する相手からのメールに添付された S/MIME 証明書を、Gmail が信頼できるものとして認識するようになります。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。