エクスポートされたクライアントサイド暗号化ファイルやメールを復号する（ベータ版）

組織で Google Workspace のクライアントサイド暗号化（CSE）を使用している場合は、CSE が適用されたファイルやメールをデータエクスポートツールまたは Google Vault で書き出して、復号ツール（ベータ版）で復号することができます。復号ツールはコマンドラインから実行できます。

復号ツールを実行するときに、コマンドラインフラグを使用して、IdP 認証情報、暗号化されたファイルのロケーション、復号したファイルの出力先ロケーション、その他のオプションを指定します。構成（config）ファイルを作成して、よく使う復号フラグを保存することもできます。

注: Google ドキュメント、スプレッドシート、スライドのファイルを復号化する場合、ファイル名の末尾には .gdoc がつきます。まだファイルを DOCX、XLSX、PPTX に変換することはできません。

システム要件

Microsoft Windows 7、Vista、8、10、11（64 ビット版）

注: 復号ツールは今後のリリースで Mac と Linux でも使用できるようになる予定です。

復号ツールをダウンロードする

クライアントサイド復号化ユーティリティをパソコンにダウンロードします。

はじめに構成ファイルを作成する

CSE の設定は頻繁に更新されるわけではないため、はじめに構成ファイルを作成して、使用するフラグをより簡単に入力できるようにしておきます。構成ファイルのフラグの詳細については、後述の構成作成フラグと構成更新フラグをご覧ください。

例: Google IdP の構成ファイルを作成します:

> decrypter.exe -action createconfig -config C:\gaia-oauth.conf -email [email protected] -client_id my-client-id.apps.googleusercontent.com -issuer https://accounts.google.com

次に、構成を更新して、認証コード付与フローで OAuth クライアントシークレットを追加します。

> decrypter.exe -action updateconfig -config C:\gaia-oauth.conf -client_secret my-client-secret

CSE ファイルやメールを復号する

作成した構成ファイルを使用して、書き出されたファイルやメールを復号できます。復号するには、解凍した CSE ファイルのディレクトリで復号ツールを実行し、復号したファイルを別のディレクトリに保存します。

ドライブの例

> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files

Gmail の例

Gmail CSE のエクスポートを復号するには、ドメイン全体の証明書を含める必要があります。

> decrypter.exe -config C:\my_organization.conf -input C:\exported_files -output C:\decrypted_files -credential serviceaccount.json

復号フラグ

復号フラグには、先頭に 1 つまたは 2 つのハイフンを含めることができます。たとえばヘルプ情報を表示するフラグの場合、次のどちらでも使用できます。

-help

--help

注: フラグに使用できるのはハイフンのみです。スラッシュ（/）は使用できません。

文字列引数のフラグの場合、等号またはスペースを使用して引数を指定できます。たとえば、次のフラグは同じ意味になります。

-action=decrypt

-action decrypt

ヘルプフラグ

フラグ	説明
`-version`	バージョン文字列を出力します。サポートにお問い合わせいただく際は、お使いの復号ツールのバージョンをお知らせください。
`-help`	参照用にすべてのフラグの画面を出力します。
`-logfile`	実行ログが書き込まれる出力ファイルを指定します。ファイル名のテキスト [TIMESTAMP] は実行開始時間に置き換えられます。

復号化フラグ

フラグ	説明
`-action decrypt`	省略可能。ユーティリティのモードとして、CSE ファイルの復号を指定します。これがデフォルトのモードです。
`-email <email_address>`	省略できます。ブラウザで開く IdP 認証画面に事前入力されるメールアドレスです。
`-issuer <uri>`	構成ファイルに含まれない場合は必須。IdP の OAuth 発行者検出 URI（https://accounts.google.com など）です。詳しくは、クライアントサイド暗号化で使用する ID プロバイダに接続するをご覧ください。
`-client_id <oauth_client_id>`	構成ファイルに含まれない場合は必須。`-issuer` フラグで指定された IdP から取得した OAuth クライアント ID です。詳しくは、クライアントサイド暗号化で使用する ID プロバイダに接続するをご覧ください。
`-client_secret <oauth_client_secret>`	省略可能ですが、IdP によっては必須の場合あり。`-client_id` フラグで指定されたクライアント ID に対応する OAuth クライアントシークレットの部分です。
`-pkce -nopkce`	認証コードの付与フローで PKCE（Proof Key for Code Exchange）を有効または無効にします。どちらのフラグも指定されていない場合は、デフォルトで有効になります。
`-input <directory_or_file>`	必須。入力ディレクトリまたはエクスポートファイルです。ディレクトリを指定すると、復号ツールはディレクトリツリー全体を再帰的に走査し、エクスポートされたすべての CSE ファイルを探します。このオプションを使用して、拡張したエクスポートアーカイブからエクスポートされたファイルをすべて一括で復号します。エクスポートされた CSE ファイルを 1 つ指定すると、復号ツールがそのファイルだけを復号します。指定したファイルが CSE ファイルではない場合、復号ツールによって IdP への認証が要求されますが、ファイルの復号は行われません。
`-output <directory>`	必須。復号されたファイルが保存されるディレクトリです。
`-overwrite -nooverwrite`	既存の復号されたクリアテキスト出力ファイルの上書きを有効または無効にします。無効（デフォルト）になっていて、クリアテキストファイルがすでに存在する場合、復号ツールは暗号テキストファイルの復号をスキップします。
`-workers <integer>`	省略可能。同時進行が可能な復号ツールの数です。このフラグを使用しない場合、オペレーティングシステムによって報告されたプロセッサコアとハイパースレッドの数が復号ツールのデフォルトの値になります。ファイルの復号時にコンピュータでパフォーマンスの問題が発生したり、マルチ処理エラーが発生したりする場合は、このフラグを 1 に設定して、並列処理を無効にしてください。
`-config <file>`	省略可能。保存されているフラグの値を含む構成ファイルです。構成ファイルを使用することで、ファイルを復号するたびに同じコマンドラインフラグを貼り付けなくても済むようにします。詳細については、後述の構成作成フラグと構成更新フラグをご覧ください。コマンドラインで設定したフラグの値は、構成の値よりも優先されます。注: 構成で指定したファイルが見つからない場合は、エラーが発生します。
`-credential <file>`	省略可能。ドメイン全体のサービスアカウントの秘密鍵を含む JSON ファイルを指定します。指定した場合、Gmail CSE メールの復号により、各ユーザーの S/MIME 証明書と鍵アクセス制御リストサービス（KACLS）のメタデータに対して Gmail API にクエリが実行されます。

構成作成フラグ

これらのフラグを使用して、使用頻度の高い復号コマンドラインフラグを構成ファイルに保存して再使用できるようにします。構成ファイルは JSON 形式で、人間が読み取り可能なテキストが含まれています。

フラグ	説明
`-action createconfig`	必須。デフォルトの実行モードをオーバーライドして、構成ファイル作成モードを実行します。
`-config file`	必須。構成を保存する出力先ファイル名を指定します。ファイルがすでに存在する場合は、警告なく上書きされます。
`-email <email_address> -discovery_uri <uri> -client_id <oauth_client_id> -client_secret <oauth_client_secret> -pkce -nopkce`	省略可能。指定したフラグの値は構成ファイルに保存され、再使用できます。

構成更新フラグ

これらのフラグを使用して、構成ファイル内のフラグの値を更新します。

フラグ説明

-action updateconfig 必須です。デフォルトの実行モードをオーバーライドして、構成ファイル更新モードを実行します。

-config file 必須。更新する構成ファイルです。ファイルが存在しない場合は、エラーが発生します。

フラグ	説明
`-action updateconfig`	必須です。デフォルトの実行モードをオーバーライドして、構成ファイル更新モードを実行します。
`-config file`	必須。更新する構成ファイルです。ファイルが存在しない場合は、エラーが発生します。
`-email <email_address> -discovery_uri <uri> -client_id <oauth_client_id> -client_secret <oauth_client_secret> -pkce -nopkce`	すべて省略可能。コマンドラインで指定したフラグの値が上書きされます。構成内のフラグのその他の値は保持されます。保存されているフラグの設定を解除するには、空の値を指定します。注: 編集によって JSON 形式が破損した場合、復号ツールで構成を使用するときにエラーが発生する可能性があります。

-email <email_address>

            -discovery_uri <uri>

            -client_id <oauth_client_id>

            -client_secret <oauth_client_secret>

            -pkce

            -nopkce

すべて省略可能。コマンドラインで指定したフラグの値が上書きされます。構成内のフラグのその他の値は保持されます。保存されているフラグの設定を解除するには、空の値を指定します。

注: 編集によって JSON 形式が破損した場合、復号ツールで構成を使用するときにエラーが発生する可能性があります。

情報フラグ

CSE ファイルに関する読み取り可能な情報を出力するには、これらのフラグを使用します。

フラグ 説明

-action info （必須）情報モードで実行するデフォルトの実行モードをオーバーライドします

-input directory_or_file

（必須）入力ディレクトリまたはエクスポートファイルを指定します

ディレクトリを指定すると、ユーティリティはディレクトリツリー全体を再帰的にスキャンし、すべての CSE エクスポートファイルを探します。ファイルを指定すると、ユーティリティはそのファイルのみに関する情報を出力します。

このフラグを繰り返すことで、追加の入力ディレクトリやファイルを指定できます。例:

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。