ユーザーへのクライアントサイド暗号化の割り当て

Google Workspace のクライアントサイド暗号化（CSE）で使用する外部鍵サービスを 1 つ以上管理コンソールに追加したら、そのサービスを組織部門または設定グループに割り当てる必要があります。鍵サービスを割り当てると、外部サービスの鍵アクセス制御リスト（KACL）に追加したユーザーがコンテンツを暗号化および復号できるようになります。

Gmail のクライアントサイド暗号化（CSE）用にハードウェアキー暗号化を設定した場合は、その暗号化を組織部門または設定グループに割り当てる必要があります。Requires having the Assured Controls or Assured Controls Plus add-on.

また、コンテンツを暗号化する必要があるユーザーに対して CSE をオンにすることも必要です。詳しくは、クライアントサイド暗号化をオンまたはオフにするをご覧ください。

始める前に

セクションを開く | すべて閉じる

以下の手順が完了していることを確認する

デフォルトの鍵サービスを割り当てていることを確認する

CSE サービスを組織全体で正しく動作させるには、外部鍵サービスを組織全体のデフォルトの鍵サービスにする必要があります。たとえば、あるグループに対して CSE がオンになっていても、そのグループで使用している共有ドライブの組織部門に対して CSE がオフになっている場合は、デフォルトの鍵サービスが使用されます。

管理コンソールで最初の鍵サービスを追加すると、最上位の組織部門に対してデフォルトのサービスを割り当てるよう求められます。デフォルトのサービスをまだ割り当てていない場合は、ユーザーに対して CSE をオンにする前に割り当ててください。手順については、このページで後述している組織のデフォルトの鍵サービスを設定するをご覧ください。

ユーザーごとに異なる鍵サービスを使用する場合

組織部門またはグループに対して、デフォルトのサービスとは異なる鍵サービスを割り当てることができます。たとえば、組織の所在地ごとに異なる鍵サービスを使用することなどが考えられます。

現在の鍵サービスでコンテンツがすでに暗号化されている場合は、暗号化されたコンテンツを新しいサービスに移行することをおすすめします。このページで後述している新しい鍵サービスに切り替える場合をご覧ください。

新しい鍵サービスに切り替える場合

組織部門またはグループに鍵サービスをすでに割り当てている場合は、別のサービスに切り替えることができます。現在の鍵サービスによってすでにコンテンツが暗号化されている場合は、新しいサービスにコンテンツを移行することをおすすめします。詳しくは、このページで後述している暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。

コンテンツを移行せずに新しい鍵サービスに切り替えた場合: 既存の暗号化されたコンテンツは現在のサービスによってのみ暗号化されているもので、追加した新しいサービスによって暗号化されているわけではありません。つまり、以前暗号化されたコンテンツに今後もアクセスできるようにするには、現在のサービスを引き続き使用する必要があります。

鍵サービスによる暗号化の割り当て

組織のデフォルトの鍵サービスを設定する

この操作を行うには、特権管理者としてログインする必要があります。

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [クライアントサイドの暗号化] にアクセスします。
[外部鍵サービスによる暗号化] で [割り当て] をクリックします。
左側のパネルで、[このアカウントのすべてのユーザー] または最上位の組織部門を選択します。
[鍵サービス] をクリックし、プルダウンリストから鍵サービスを選択します。
[保存] をクリックします。

ユーザーごとに異なる鍵サービスを割り当てる

管理コンソールに複数の鍵サービスを追加している場合は、組織部門またはグループに現在割り当てられているサービスとは異なる鍵サービスを選択できます。

重要: 現在の鍵サービスでコンテンツがすでに暗号化されている場合は、既存のクライアントサイド暗号化コンテンツに引き続きアクセスできるようにするために、暗号化されたコンテンツを新しいサービスに移行することをおすすめします。詳しくは、このページで後述している暗号化されたコンテンツを新しい鍵サービスに移行するをご覧ください。

この操作を行うには、特権管理者としてログインする必要があります。

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [クライアントサイドの暗号化] にアクセスします。
[外部鍵サービスによる暗号化] で [割り当て] をクリックします。
左側のパネルで、別の鍵サービスを使用する組織部門またはグループを選択します。
[鍵サービス] をクリックし、プルダウンリストから新しい鍵サービスを選択します。
親組織部門の CSE 設定が変更された場合に自分の設定を維持するには、[オーバーライド] をクリックします。
組織部門の設定がすでに [上書きされました] になっている場合は、次のいずれかを選択します。
- 継承 - 親組織と同じ CSE 設定に戻します。
- 保存 - 新しい CSE 設定を保存します（親の設定が変更された場合も含む）。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

暗号化されたコンテンツを新しい鍵サービスに移行する

既存の鍵サービスを使用して組織部門またはグループのコンテンツを暗号化する必要がなくなった場合は、新しいサービスを追加してバックアップサービスを選択し、暗号化されたコンテンツを新しいサービスに移行できます。

セクションを開く | すべて閉じる

移行を開始する前に

サポートされているサービス

現在のところ、次のサービスの暗号化されたコンテンツを移行できます。

Google ドライブとドキュメント
Google カレンダー

Gmail の CSE を別の鍵サービスに切り替えるには: Gmail API を使用して、新しい S/MIME 証明書と新しい鍵サービスでラップされた鍵をユーザーごとにアップロードする必要があります。詳しくは、Gmail のみ: クライアントサイド暗号化用の暗号鍵をアップロードするをご覧ください。

Google がコンテンツを復号することはない

移行中に Google がコンテンツを復号化することはありません。新しいサービスが、以前のサービスの暗号化レイヤをラップ解除し、新しい暗号化レイヤに置き換えます。

ユーザーへの影響はない

移行中も、コンテンツの暗号化や暗号化されたコンテンツの表示を中断なく継続できます。

移行ステータスは表示されない

進行状況を確認することはできず、問題が起きていても通知されません。

まずは少数のユーザーで移行を試す

すべてのユーザーのコンテンツを全面移行する前に、少数のユーザーで移行を試してみることをおすすめします。新しい鍵を 1 つの組織部門またはグループのみに割り当て、それらのユーザーで移行を実施して、移行に関する問題が生じるかどうかを判断します。

テスト移行の後は、新しい鍵サービスで新しいコンテンツを暗号化したり、以前に暗号化されたコンテンツにアクセスして編集できるかどうかを確認したりしてください。

短時間で移行する

現在の鍵サービスで暗号化される新しいアイテムの数を最小限に抑えるには、オフピーク時に全面移行を開始します。

手順 1: 新しい鍵サービスを管理コンソールに追加する

現在使用している鍵サービスが 1 つのみである場合: 新しい鍵サービスを追加し、現在のサービスをバックアップとして選択します。詳しくは、外部鍵サービスを追加するをご覧ください。
現在使用している鍵サービスにバックアップサービスがすでにある場合: 鍵サービスからバックアップを削除します。詳しくは、鍵サービスからバックアップを削除するをご覧ください。次に、新しい鍵サービスを追加し、バックアップとして現在のサービスを選択します。
重要: 現在、削除する必要があるバックアップからコンテンツを移行中の場合は、移行が完了するまでお待ちください。バックアップを削除すると、移行が直ちに停止します。詳しくは、このページで後述している手順 4: 移行が完了したかどうかを確認するをご覧ください。

手順 2: 現在の鍵サービスを新しい鍵サービスに置き換える

新しい鍵サービスを追加したら、この新しい鍵サービスを組織部門またはグループに割り当てます。詳しくは、上述のクライアントサイド暗号化で使用する鍵サービスを割り当てるをご覧ください。

手順 3: 移行をオンにする

組織部門またはグループに対して新しい鍵サービスを選択したら、以前暗号化された移行可能コンテンツを含むサービスについては、移行をオンにできます。

移行の所要時間は、現在の鍵サービスで暗号化されたコンテンツの量と、新しい鍵サービスの処理速度によって異なります。コンテンツの移行が完了するまで数時間から数日かかることがあります。

この操作を行うには、特権管理者としてログインする必要があります。

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [クライアントサイドの暗号化] にアクセスします。
[外部鍵サービスによる暗号化] で [割り当て] をクリックします。
左側のパネルで、新しい鍵サービスにコンテンツを移行する組織部門またはグループを選択します。
[移行] で [オン] をクリックします。
注: このオプションを使用できるのは、[移行] の下に以前暗号化したコンテンツが表示されているサービスのみです。
確認メッセージで、移行の開始後は元に戻せないことを確認するチェックボックスをオンにします。[保存] をクリックします。

移行プロセスが開始します。

手順 4: 移行が完了したかどうかを確認する

この操作を行うには、特権管理者としてログインする必要があります。

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [クライアントサイドの暗号化] にアクセスします。
[外部鍵サービスによる暗号化] で [割り当て] をクリックします。
左側のパネルで、暗号化されたコンテンツを新しい鍵サービスに移行する組織部門またはグループを選択します。
[移行] で、以前のサービス（現在はバックアップサービス）で暗号化されているアイテムの数を確認します。
暗号化されたアイテムがない場合は、移行が完了しています。

手順 5: （省略可）バックアップ鍵サービスを削除する

コンテンツの移行が完了すればバックアップサービスは不要なので、新しい鍵サービスから削除できます。詳しくは、鍵サービスからバックアップを削除するをご覧ください。

ハードウェアキーによる暗号化を割り当てる（Gmail のみ）

組織内のすべてのユーザーまたは一部のユーザーに対して Gmail の暗号化にハードウェアキー暗号化を設定した場合は、それらのユーザーにその暗号化を割り当てる必要があります。

Gmail 用の暗号鍵サービスも使用している場合: その鍵サービスの対象となっているユーザーにハードウェアキー暗号化を割り当てることができますが、それらのユーザーに対して Gmail 用の暗号鍵をどのように設定しているかに応じて、Gmail の暗号化はその鍵サービスまたはハードウェアキーのいずれかで行われることになります。詳しくは、「Gmail のみ: クライアントサイド暗号化用に Gmail API を設定する」をご覧ください。

この操作を行うには、特権管理者としてログインする必要があります。

Google 管理コンソールにログインします。
特権管理者権限のあるアカウント（末尾が @gmail.com でないもの）でログインしてください。
管理コンソールで、メニューアイコン [セキュリティ] [アクセスとデータ管理] [クライアントサイドの暗号化] にアクセスします。
[ハードウェアキーによる暗号化] で [割り当て] をクリックします。
左側のパネルで、別の鍵サービスを使用する組織部門またはグループを選択します。
[ハードウェアキー暗号化] をクリックし、チェックボックスをオンにします。
子組織部門を選択した場合は、[オーバーライド] をクリックし、親組織部門の CSE 設定が変更された場合でも設定が維持されるようにします。
組織部門の設定がすでに [上書きされました] になっている場合は、次のいずれかを選択します。
- 継承 - 親組織と同じ CSE 設定に戻します。
- 保存 - 新しい CSE 設定を保存します（親の設定が変更された場合も含む）。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。

ユーザーへのクライアントサイド暗号化の割り当て

始める前に