Gmail クライアントサイド暗号化について

Google Workspace では、最新の暗号標準を使用して、保存データとサービス間で転送中のデータをすべて暗号化しています。また、Gmail では、他のメールサービス プロバイダとの通信に TLS（Transport Layer Security）を使用しています。Gmail クライアントサイド暗号化（CSE）を使用すると、データを Google のクラウドベース ストレージに転送または保存する前に、ブラウザ内で暗号化が行われるため、機密データや規制対象データのコンテンツの機密性保持を強化できます。これにより、目的の相手が受信するまで、メールは一様に保護されます。

準備

以下の Google Workspace エディションで、メールに対する追加の暗号化機能を適用できます。

• Enterprise Plus
• Education Plus
• Education Standard
• Frontline Plus

Assured Controls を使用している場合は、S/MIME を設定せずに、エンドツーエンドの暗号化が適用されたメールを組織内外の誰にでも送信できます。Assured Controls の詳細

• Assured Controls を使用している場合: 通常のメールと同様に、暗号化されたメールを内部受信者と外部受信者の両方に送信できます。
  • 管理者は、外部受信者による暗号化メッセージへのアクセス方法を管理できます。次のいずれかを選択できます。
    • 受信者が既存の Google アカウント（@gmail.com または Google Workspace アカウント）を使用できるようにする。
    • すべての外部受信者にゲスト アカウントの作成を強制する。
• Assured Controls を使用しておらず、S/MIME を使用している場合: 証明書を交換する必要があります。
  • 外部受信者は、各自のメールアプリでメールを読むことができます。

CSE が見つからない場合は、管理者にお問い合わせください。

クライアントサイド暗号化について

CSE がオンになっている場合:

• メールの本文（インライン画像や添付ファイルを含む）には追加の暗号化が適用されます。
• メールのヘッダー（件名、タイムスタンプ、宛先など）には追加の暗号化が適用されません。

組織の管理者が、メールのクライアントサイド暗号化がデフォルトでオンになるように設定している場合があります。

エンドツーエンドの暗号化が適用されたメールを組織内外の誰にでも送信する

重要:

• Assured Controls で Gmail を使用しており、ベータ版にアクセスできる場合は、S/MIME を設定せずに、エンドツーエンドの暗号化が適用されたメールを組織内外の誰にでも送信できます。
• メールの下書きを開始する前に、追加の暗号化を適用するかどうかを決めてください。メールの下書き中にも追加の暗号化を適用できます。その場合、作成した下書きは削除されて新しい下書きが開きます。
• 暗号化が不要になった場合は、メールの下書きを作成した後で、追加の暗号化を無効にできます。追加の暗号化を解除する前に、下書きに機密情報が含まれていないことを確認してください。

1. Gmail で [作成] をクリックします。
2. メールの右上にある、メールのセキュリティ アイコン をクリックします。
3. [追加の暗号化] で [オンにする] をクリックします。
4. 受信者、件名、メールの内容を追加します。
5. [送信] をクリックします。
6. プロンプトが表示されたら、ID プロバイダにログインします。

S/MIME を使用している場合: CSE を使用して外部ドメインにメールを送信する

CSE を使用して外部ドメインの受信者にメールを送信するには、まずデジタル署名を交換する必要があります。

重要:

• デジタル署名付きのメールには証明書と公開鍵が含まれ、受信者はこの鍵を使って、あなた宛に送信するメールを暗号化できます。
• デジタル署名を交換する場合、受信者は、受け取った署名の返信として署名済みのメールを送信します。受信者が署名済みのメールを送信すると、その鍵が自動的に保存されます。これにより、その受信者とやりとりする際に追加の暗号化を使用できるようになります。
• 連絡先ごとに一度だけデジタル署名を交換する必要があります。
• ご自身または相手が証明書を更新した場合は、もう一度デジタル署名を交換する必要があります。

メールに [デジタル署名付きメッセージ] が表示されている場合、送信者自身が本人であることを示す追加の識別情報が提供されています。メッセージがデジタル署名付きであるかどうかを確認するには、スレッド表示画面でこのアイコンを確認します。

1. Gmail で [作成] をクリックします。
2. メールの右上にある、メールのセキュリティ アイコン をクリックします。
   • 追加の暗号化がまだオンになっていないことを確認します。
3. [デジタル署名] [メッセージに署名] をクリックします。
   • 証明書を表示してダウンロードするには、[署名を表示] をクリックします。
4. 署名したメールを受信者に送信します。
5. 受信者がデジタル署名付きのメールを受信したことを確認するには、返信として署名済みのメールを送信するよう、受信者に依頼します。

デジタル署名を交換したら、CSE を利用できます。これで、その連絡先とやりとりする際に追加の暗号化を適用できます。

暗号化されたメッセージを読むためにログインする

暗号化された Gmail メッセージを読むための招待メールを受け取った場合、このメッセージを読むには、Google ゲスト アカウントを作成してサードパーティ サービスにログインする必要がある場合があります。

1. パソコンでメール クライアントを開きます。
2. 暗号化メッセージの通知メールを開き、[メッセージを表示] をクリックします。
3. メールアドレスを確認します。
   • 確認コードを受け取るには、[コードを送信] をクリックします。
4. メールを確認してコードを受け取ります。
5. コードを入力します。
6. [確認] をクリックします。
7. 画面上の指示に沿って操作します。
8. ゲスト アカウントが作成されたら、そのアカウントにログインします。
9. 利用規約に同意するには、[理解しました] をクリックします。

CSE で暗号化されたメールを読む

CSE で暗号化されたメールを受信すると、送信者名の下に [暗号化されたメッセージ] と表示されます。メールを読むには:

1. Gmail でメールを開きます。
2. プロンプトが表示されたら、ID プロバイダにログインします。
3. Gmail のブラウザ ウィンドウで、メールが自動的に復号されます。

暗号化にハードウェア キーを使用する

ハードウェア キーから証明書を追加する

重要: ハードウェア キーから証明書を追加するには、ユーザー自身または管理者が Google Workspace Hardware Key アプリケーションをインストールしておく必要があります。

1. パソコンで Gmail を開きます。
2. 右上にある設定アイコン [すべての設定を表示] をクリックします。
3. [アカウント] タブの [暗号化証明書] の横にある [証明書を管理] をクリックします。
4. ハードウェア キーをデバイスに挿入します。
5. [証明書の追加] をクリックします。
   1. Gmail にアップロードする証明書を選択します。
   2. [追加] をクリックします。
6. [有効] タブで、証明書がリストに含まれていることを確認して、[完了] をクリックします。
7. 次のデフォルト証明書を設定します。
   • デジタル署名
   • 暗号化署名
8. [デフォルトを保存] [追加] [完了] をクリックします。

デフォルトの証明書を設定する

重要: 現在の証明書の有効期限が切れたら、新しい証明書を追加してください。

1. パソコンで Gmail を開きます。
2. 右上にある設定アイコン [すべての設定を表示] をクリックします。
3. [アカウント] タブの [暗号化証明書] の横にある [証明書を管理] [証明書をアップロード] をクリックします。
4. 次のデフォルト証明書を設定します。
   • デジタル署名
   • 暗号化署名
5. [デフォルトを保存] [追加] [完了] をクリックします。

デジタル署名を確認する

1. パソコンで Gmail を開きます。
2. [作成] をクリックして新しい下書きを開きます。
3. [宛先] 欄の右側にあるメールのセキュリティ アイコン をクリックします。
4. [デジタル署名] [署名を表示] をクリックします。

添付ファイルのサイズ制限

追加の暗号化がオンになっている場合、添付ファイルとインライン画像のアップロード サイズには 5 MB という制限が適用されます。

ブロックされるファイル形式

CSE をオンにした状態で添付ファイルのあるメールを受信すると、暗号化されたメールではウイルス チェックのスキャンができないという警告メッセージが表示されます。メールの安全性に確信が持てない場合は、添付ファイルに注意してください。特定のファイル形式の添付ファイルは自動的にブロックされます。

Gmail でブロックされるファイル形式は次のとおりです。

.ade、.adp、.apk、.appx、.appxbundle、.bat、.cab、.chm、.cmd、.com、.cpl、.diagcab、.diagcfg、.diagpack、.dll、.dmg、.ex、.ex_、.exe、.hta、.img、.ins、.iso、.isp、.jar、.jnlp、.js、.jse、.lib、.lnk、.mde、.msc、.msi、.msix、.msixbundle、.msp、.mst、.nsh、.pif、.ps1、.scr、.sct、.shb、.sys、.vb、.vbe、.vbs、.vhd、.vxd、.wsc、.wsf、.wsh、.xll

機能に関する制限

追加の暗号化がオンになっている場合、次の機能は使用できません。

• 情報保護モード
• 代理アカウント
• メール レイアウト
• マルチ送信モード
• 会議日時の提案
• ポップアウト、全画面表示でのメール作成
• Google グループ宛のメール送信
• メール署名
• 絵文字
• 印刷
• Google AI プロダクト
• Gmail のスマート機能
• モバイル デバイスでの画面録画
• Android モバイル デバイスでのスクリーンショット

S/MIME 暗号化プロトコル

追加の暗号化では、安全な MIME データを送受信するために S/MIME 3.2 IETF 標準が使用されます。S/MIME では、メールの送信者と受信者の X.509 証明書が Gmail による信頼を得られるようにする必要があります。S/MIME 暗号化と S/MIME デジタル署名を組み合わせて使用することで、メールの整合性が確保されます。