サポート対象エディション: Enterprise Plus、Education Standard、Education Plus。 エディションの比較
管理者は、暗号化されたコンテンツを以下のサービスで作成する必要があるユーザーに対して、Google Workspace のクライアントサイド暗号化(CSE)をオンにできます。
| サービス | 次の場合に CSE をオンにする |
|---|---|
| Google ドライブ |
クライアントサイド暗号化が適用されるドキュメント、スプレッドシート、プレゼンテーションを作成する必要があるユーザー、またはクライアントサイド暗号化が適用されたファイルを Google ドライブにアップロードする必要があるユーザー。 共有されたファイルを閲覧、編集するだけのユーザーに対して CSE をオンにする必要はありません。 |
| Gmail | 暗号化されたメッセージを送受信する必要があるユーザー。
Gmail で CSE をオンにする前に: Gmail API を有効にし、ユーザーの暗号鍵をアップロードしておいてください。詳しくは、Gmail のみ: クライアントサイド暗号化用の暗号鍵をアップロードするをご覧ください。 |
| Google カレンダー |
クライアントサイド暗号化が適用されたカレンダーの予定を作成する必要があるユーザー。また、これらのユーザーがクライアントサイド暗号化が適用されるドキュメントを添付したり、クライアントサイド暗号化が適用される会議を主催したりできるようにするには、ドライブと Meet に対して CSE をオンにする必要があります。 予定の招待者に対して CSE をオンにする必要はありません。 |
| Google Meet |
クライアントサイド暗号化が適用されるオンライン会議を主催する必要があるユーザー。 会議の他の参加者に対して CSE をオンにする必要はありません。 |
暗号化されたコンテンツを閲覧または編集するだけのユーザーについては、次のようにします。
- 内部ユーザーの場合、鍵サービスの鍵アクセス制御リスト(KACL)に登録する。詳しくは、クライアントサイド暗号化に必要な鍵サービスを設定するをご覧ください。
- 外部ユーザーは、クライアントサイド暗号化が適用されたコンテンツにアクセスできます。詳しくは、クライアントサイド暗号化コンテンツへの外部アクセスを提供するをご覧ください。
始める前に
- 鍵サービスを 1 つ選択します。
- ご利用の ID プロバイダ(IdP)に接続します。
- 外部鍵サービスまたはハードウェア キー暗号化を設定します。
- 組織部門またはグループに鍵サービスまたはハードウェア キー暗号化を割り当てます。
複数の鍵サービスを使用している場合は、それぞれのサービスが適切な組織部門または設定グループに割り当てられていることを確認します。
すべてのまたは特定のサービスで CSE をオンにする組織部門またはグループにユーザーが配置されていることを確認します。
- 組織部門の作成について詳しくは、組織部門を追加するをご覧ください。
- 設定グループの作成と使用について詳しくは、設定グループを使用してサービスの設定をカスタマイズするをご覧ください。
Requires having the Assured Controls or Assured Controls Plus add-on.
組織部門に対して CSE を有効にする際に、以下のサービス(ウェブアプリとモバイルアプリの両方を含む)に対して CSE をデフォルトに設定できます。
- Gmail - ユーザーがメールを作成、返信、転送する際に、コンテンツがデフォルトで暗号化されます。
- Google ドライブ - ユーザーがドキュメント、スプレッドシート、プレゼンテーションなどの新しいファイルを作成する際に、コンテンツがデフォルトで暗号化されます。
- Google カレンダー - ユーザーが予定を作成する際に、予定の説明がデフォルトで暗号化されます。Google Meet のミーティングも、デフォルトで暗号化されます。
管理者が CSE をデフォルトでオンにしても、ユーザーは必要に応じて暗号化をオフにできます。セキュリティ調査ツールを使用して、ドライブとカレンダーの CSE をオフにするユーザーの操作を監視できます。詳しくは、クライアントサイド暗号化のログとレポートを確認するをご覧ください。
注: 現在のところ、CSE をサービスのデフォルトとして設定できるのは組織部門のみで、設定グループではできません。
ユーザーに対して CSE をオンまたはオフにする
ユーザーに対して CSE をオンにするには、そのユーザーが所属する組織部門または設定グループに対して CSE をオンにする必要があります。CSE に対するユーザー アクセスをオンにすると、ユーザーはコンテンツを暗号化するかどうかを選択できるようになります。
組織部門に対して CSE を有効にする際に、ウェブアプリとモバイルアプリの両方の Gmail、Google ドライブ、Google カレンダーに対して CSE をデフォルトに設定できます。Requires having the Assured Controls or Assured Controls Plus add-on.
ユーザーがコンテンツを暗号化できないようにするには、そのユーザーが所属する組織部門または設定グループに対して CSE をオフにします。ユーザーに対して CSE をオフにしても、クライアントサイド暗号化が適用されている既存のコンテンツはそのまま暗号化され、アクセスできる状態が維持されます。
この操作を行うには、特権管理者としてログインする必要があります。
-
- 管理コンソールで、メニュー アイコン
[セキュリティ]
[アクセスとデータ管理]
- [アプリ] セクションで、ユーザーに対して CSE をオンまたはオフにする Google サービス名をクリックします。
または、[外部鍵サービスによる暗号化] または [ハードウェア キーによる暗号化] で [割り当て] をクリックします。次に、[アプリによる暗号化] セクションで、CSE をオンにする Google サービスを選択します。
- 左側のパネルで、CSE をオンまたはオフにする組織部門またはグループを選択します。
- [ユーザー アクセス] で [オン] または [オフ] を選択します。
- ポップアップ メッセージで、選択内容を確定します。
- (組織部門のみ、省略可)Google サービスで Gmail、ドライブ、カレンダーのコンテンツをデフォルトで暗号化するには、[クライアントサイド暗号化をデフォルトで有効にする] チェックボックスをオンにします。ユーザーは暗号化をオフにできます。
Requires having the Assured Controls or Assured Controls Plus add-on. - 親組織部門の CSE 設定が変更された場合に自分の設定を維持するには、[オーバーライド] をクリックします。
- 組織部門の設定がすでに [上書きされました] になっている場合は、次のいずれかを選択します。
- 継承 - 親組織と同じ CSE 設定に戻します。
- 保存 - 新しい CSE 設定を保存します(親の設定が変更された場合も含む)。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
Gmail に対して CSE をオンにした場合
Gmail で CSE を使用するユーザーごとに、S/MIME 証明書と、暗号化された秘密鍵メタデータを準備して Gmail にアップロードする必要があります。詳しくは、ユーザーに対して Gmail CSE を設定するをご覧ください。
CSE の使用で問題が発生した場合
ユーザーが CSE を使用する際に問題が発生する場合は、アラート センターで確認してください。詳しくは、クライアントサイド暗号化サービス使用不可をご覧ください。
