クライアントサイド暗号化で使用する鍵サービスを追加、管理する

サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較

Google Workspace のクライアントサイド暗号化(CSE)用に外部鍵サービスを設定している場合は、その外部鍵サービスを管理コンソールに追加する必要があります。そうすることで Google Workspace が外部鍵サービスに接続され、暗号鍵を使用してコンテンツを暗号化できるようになります。

外部鍵サービスについて詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。

必要に応じて、複数の鍵サービスを追加して、ある鍵サービスで暗号化されたコンテンツを別の鍵サービスに移行したり、ユーザーごとに異なる鍵サービスを割り当てたりすることも可能です。

注: Gmail の CSE では、鍵サービスの代わりにハードウェア暗号鍵を使用できます。Requires having the Assured Controls or Assured Controls Plus add-on.詳しくは、Gmail のみ: ハードウェア暗号鍵を設定、管理するをご覧ください。

鍵サービスを追加する

セクションを開く  |  すべて閉じる

始める前に

鍵サービスを初めて追加する場合

最上位の組織部門にデフォルトの鍵サービスを割り当てるよう促すメッセージが表示されます。デフォルトの鍵サービスの割り当てはいつでも行えます。割り当てを行うと、コンテンツを暗号化または復号化する必要があるすべてのユーザーが暗号化を利用できるようになります。詳しくは、組織のデフォルトの鍵サービスを設定するをご覧ください。

2 つ目の鍵サービスを追加する場合

現在のサービスをバックアップ サービスにする必要があります。バックアップは、2 つ目の鍵サービスと同じコンテンツを暗号化します。暗号化されたコンテンツを 2 つ目のサービスに移行する場合は、バックアップが必要です。詳しくは、後述のバックアップ鍵サービスについてをご覧ください。

すでに 2 つ以上の鍵サービスがあり、さらに別のサービスを追加する場合

現在のメインのサービスからバックアップ サービスを削除したうえで、新しいサービスのバックアップを選択する必要があります。バックアップを設定せずに新しいサービスを追加することも可能です。詳しくは、後述の鍵サービスにバックアップがある状態で別の新しいサービスを追加するをご覧ください。

鍵サービスを複数使用する場合の命名規則を検討する

命名規則を設けることで、鍵サービスおよびそれらの適用対象サービスとユーザーを簡単に識別できるようになります。たとえば、次のように地域、組織部門、鍵サービスを示す名前にすることが考えられます。

  • NORTHAM-R&D-Key-service1
  • EUROPE-HR-Key-service2
バックアップ鍵サービスについて
管理コンソールに複数の鍵サービスを追加する場合は、一方の鍵サービスが他方のサービスのバックアップとなる必要があります。

バックアップ サービスを使用するのはコンテンツ移行時

暗号化されたコンテンツを新しい鍵サービスに移行する場合(つまり、現在のサービスによって暗号化されたコンテンツを再暗号化する場合)は、現在の鍵サービスを新しいサービスのバックアップにする必要があります。バックアップの鍵サービスはメインのサービスと同じコンテンツを暗号化するため、コンテンツの移行時に問題が発生した場合でもコンテンツへのアクセスを行えます。移行について詳しくは、暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。
重要: バックアップ鍵サービスを使用する鍵サービスは一度に 1 つだけです。

Gmail CSE の例外

管理コンソールで新しい鍵サービスを追加して、現在のサービスをバックアップにする場合、メッセージの暗号化を行うのはバックアップ サービスのみであり、新しい鍵サービスは使用されません。Gmail の鍵サービスを切り替えるには、Gmail API を使用して、新しい証明書と、新しいサービスでラップされた秘密鍵のメタデータをアップロードする必要があります。Gmail の鍵サービスを切り替える方法については、Gmail CSE の鍵サービスを別のサービスに切り替えるをご覧ください。
外部鍵サービスを追加する

この操作を行うには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [アクセスとデータ管理] 次に [クライアントサイドの暗号化] にアクセスします。
  3. [外部鍵サービスによる暗号化] で、次のいずれかを行います。
    • 鍵サービスを初めて追加する場合は、[外部鍵サービスを追加する] をクリックする。
    • 鍵サービスをさらに追加する場合は、[追加] をクリックする。
  4. 登録した鍵サービス(または CSE API を使用して構築した鍵サービス)の次の情報を入力します。

    名前 - 任意の名前を入力します。この名前は、Google Workspace が外部鍵サービスにアクセスできない場合にユーザーに送られる一部のメッセージに記載されます。このことにより、問題は使用中の Google サービスではなく暗号化サービスにあることがわかります。

    URL - 鍵サービスから提供される URL。この URL を入力する前に、インターネットからその URL にアクセスできることを確認してください。

  5. 2 つ目の鍵サービスを追加した場合は、[バックアップ鍵サービスの選択] をクリックして、使用可能なバックアップ鍵サービスを選択します。これにより、暗号化されたコンテンツを新しい鍵サービスに移行できます。

    新しい鍵サービスへのコンテンツの移行について詳しくは、クライアントサイド暗号化で使用する鍵サービスを割り当てるをご覧ください。

  6. すでに 2 つ以上の鍵サービスがあり、さらに別の鍵サービスを追加した場合は、バックアップなしで新しい鍵サービスを追加するかどうかを選択します。オプションについて詳しくは、後述の鍵サービスにバックアップがある状態で別の新しいサービスを追加するをご覧ください。

    オプションを選択せずに [外部鍵サービスを追加する] ダイアログを閉じるには、[キャンセル] をクリックします。

  7. Google Workspace が外部鍵サービスと通信できることを確認するには、[接続をテスト] をクリックします。
  8. 接続が確立したら、ページ右下の [追加] または [サービスを追加] をクリックします。

鍵サービスを初めて追加する場合:

  • 最上位の組織部門にデフォルトの鍵サービスを割り当てるよう促すメッセージが表示されます。デフォルトの鍵サービスの割り当てはいつでも行えます。割り当てを行うと、コンテンツを暗号化または復号化する必要があるすべてのユーザーが暗号化を利用できるようになります。詳しくは、組織のデフォルトの鍵サービスを設定するをご覧ください。
  • クライアントサイド暗号化を利用できるように Google Workspace と ID プロバイダ(IdP)が接続されていることを確認します。
鍵サービスにバックアップがある状態で別の新しいサービスを追加する

すでに管理コンソールに 2 つ以上の鍵サービスを追加している場合、一方のサービスは他方のサービスのバックアップになっています。バックアップを持つことができる鍵サービスは一度に 1 つだけであるため、さらに鍵サービスを追加する場合に、追加した鍵サービス用のバックアップを選択することはできません。このため、新しい鍵サービスを追加する際は、その用途に応じてオプションを選択する必要があります。

使用する鍵サービスを新しいものに切り替える場合

新しい鍵サービスを追加するときに、[[鍵サービス] からバックアップを削除] を選択してから、[バックアップを削除] をクリックします。

これで、新しい鍵サービスを追加してバックアップ サービスを選択できるようになります。その後は、暗号化されたコンテンツを新しい鍵サービスに移行できます。詳しくは、暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。

推奨: このオプションは、現在の鍵サービスによるコンテンツの暗号化に問題がない場合にのみ選択してください。また、バックアップ鍵サービスを使用してコンテンツを現在のメインのサービスに移行している場合は、移行が完了していることを確認してください。移行中にバックアップを削除すると、移行は直ちに停止します。詳しくは、暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。

暗号化されたデータを移行せずに新しい鍵サービスを使用する場合

新しい鍵サービスを追加するときに、[バックアップのない鍵サービスを追加] を選択し、[サービスを追加] をクリックします。

推奨: このオプションは、別の鍵サービスによって暗号化されているコンテンツがまだない組織部門またはグループにこの鍵サービスを使用する場合にのみ選択してください。コンテンツがすでに暗号化されている場合は、暗号化されたコンテンツにアクセスできるように既存の鍵サービスを維持する必要があります。

鍵サービスを編集する

セクションを開く  |  すべて閉じる

鍵サービスの名前を変更する

この操作を行うには、特権管理者としてログインする必要があります。

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [アクセスとデータ管理] 次に [クライアントサイドの暗号化] にアクセスします。
  3. [外部鍵サービス] セクションで、変更する鍵サービスの名前をクリックします。
  4. 鍵サービスの名前を編集します。
  5. [続行] をクリックします。
鍵サービスの URL を変更する

この操作を行うには、特権管理者としてログインする必要があります。

鍵サービスによって暗号化されたコンテンツにユーザーがアクセスできない場合は、鍵サービスに新しい暗号化 URL をリクエストしてください。新しい URL を取得したら、管理コンソールで元の URL を新しい URL に置き換えて、ユーザーがコンテンツを復元できるようにします。

ユーザーが鍵サービスで新しいコンテンツを暗号化できない場合は、問題が発生している組織やグループに別の鍵サービスを割り当ててみてください。

URL を別の鍵サービスから取得した URL に置き換えた場合: 以前の鍵サービスですでに暗号化されているファイルは復号できず、それらのコンテンツにユーザーがアクセスすることもできません。

鍵サービスの URL を変更するには:

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [アクセスとデータ管理] 次に [クライアントサイドの暗号化] にアクセスします。
  3. [外部鍵サービス] セクションで、URL を変更する鍵サービスの名前をクリックします。
  4. [問題が生じた場合] 次に [新しい URL を追加] をクリックします。
  5. Google Workspace が外部鍵サービスと通信できることを確認するには、[接続をテスト] をクリックします。
  6. 接続が確立したら、ページ右下の [続行] をクリックします。
鍵サービスからバックアップを削除する

鍵サービスからバックアップ鍵サービスを削除するのは次のような場合です。

  • コンテンツの移行に不要になった。
  • 別の鍵サービスを追加し、バックアップ サービスを選択して、暗号化されたコンテンツを新しいサービスに移行できるようにしたい。

コンテンツの移行について詳しくは、暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。

バックアップ鍵サービスを削除するには:

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [アクセスとデータ管理] 次に [クライアントサイドの暗号化] にアクセスします。
  3. [外部鍵サービス] で、バックアップを削除する鍵サービスの名前をクリックします。
  4. [バックアップを削除] をクリックします。
  5. [バックアップを削除するにあたり、以下の点をご理解ください] チェックボックスをオンにします。
  6. [バックアップを削除] をクリックします。
バックアップがある鍵サービスを無効にする

バックアップ鍵サービスがあれば、メインの鍵サービスを無効にできます。たとえば、暗号化されたコンテンツにアクセスできなくなった場合や、新しいコンテンツを暗号化できなくなった場合は、メインの鍵サービスを無効にしてバックアップを使用することをおすすめします。メインの鍵サービスを無効にしてもバックアップがあるため、クライアントサイド暗号化が適用されたコンテンツには引き続きアクセスできます。

メインの鍵サービスを無効にして、代わりにバックアップを使用するには:

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [アクセスとデータ管理] 次に [クライアントサイドの暗号化] にアクセスします。
  3. [外部鍵サービス] で、バックアップを削除する鍵サービスの名前をクリックします。
  4. [無効にしてバックアップを使用] をクリックします。
  5. [無効にするにあたり、以下の点をご理解ください] チェックボックスをオンにします。
  6. [無効にしてバックアップを使用] をクリックします。

鍵サービスに問題がある場合

セクションを開く  |  すべて閉じる

暗号化されたコンテンツにユーザーがアクセスできない
コンテンツの復号化に使用されている鍵に問題がある可能性があります。鍵サービスに連絡し、新しい URL をリクエストしてください。鍵サービスの URL の変更について詳しくは、前述の鍵サービスの URL を変更するをご覧ください。
鍵サービスにバックアップ サービスがある場合は、代わりにバックアップを使用してください。詳しくは、前述のバックアップがある鍵サービスを無効にするをご覧ください。
ユーザーが新しいコンテンツを暗号化できない

コンテンツの暗号化に使用されている鍵に問題がある可能性があります。現在の鍵サービスに連絡し、新しい URL をリクエストしてください。鍵サービスの URL の変更について詳しくは、前述の鍵サービスの URL を変更するをご覧ください。

または、次の方法をお試しください。

新しい鍵サービスへの移行後、暗号化されたコンテンツへのアクセスや、新しいコンテンツの暗号化ができなくなった

代わりにバックアップ鍵サービスを使用してみてください。詳しくは、前述のバックアップがある鍵サービスを無効にするをご覧ください。

それでも暗号化されたコンテンツにアクセスできない場合や、新しいコンテンツを暗号化できない場合は、バックアップ鍵に問題があります。詳しくは、ご利用の鍵サービスにお問い合わせください。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
5877976244568744608
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false