組織に別のサービスまたは別の暗号化形式のメールがある場合、管理者はそれらのメールをクライアントサイド暗号化が適用された S/MIME 形式のメールとして Gmail に移行できます。
デジタル署名と暗号化が含まれる移行済みのメールは、インライン画像、ハイパーリンク、添付ファイルが見える状態で、Gmail 上に安全に表示されます。
一部のサービスでは、ユーザーがデジタル署名なしで S/MIME メールを作成でき、既知の脆弱性が存在する場合があります。このような「暗号化のみ」のメッセージが Gmail にインポートされると、そのメッセージは、脆弱性利用型不正プログラムを抑制する安全な形式で表示されます。つまり、ユーザー インターフェースにインライン画像、ハイパーリンク、添付ファイルは表示されませんが、基になるメッセージは引き続きすべての内容が保持されます。
S/MIME で暗号化されたメールの移行
Gmail CSE は、Microsoft やその他のメールサービスでも使用されている標準の S/MIME メッセージ暗号化形式をネイティブにサポートしています。暗号化された S/MIME メールを Microsoft サービスから Gmail に移行する場合は、暗号化されたメールを変更せずに移行できます。
以前 Microsoft サービスにあった S/MIME メッセージを Gmail CSE で復号して表示するには、Gmail のユーザー アカウントに、Microsoft 環境で使用していたのと同じ S/MIME ユーザー証明書を設定する必要があります。また、Microsoft サービスに存在するのと同じ証明書を使用して、ユーザーに対して Gmail API と Gmail CSE を設定する必要があります。詳しくは、Gmail のみ: クライアントサイド暗号化で使用する暗号鍵をアップロードするをご覧ください。
Gmail アカウントに S/MIME 証明書を設定したら、Microsoft サービスから Gmail にメールを移行できます。詳しくは、Google Workspace へのデータの移行をご覧ください。
S/MIME 以外の形式と書式なしテキスト アーカイブの移行
S/MIME 以外の形式で暗号化されたメールや、移行前に暗号化したい書式なしテキスト アーカイブが組織にある場合は、Gmail CSE 移行ユーティリティを使用してメールを Gmail CSE で使用される S/MIME 形式に変換します。
移行ユーティリティを使用してメールを転送するには:
- 暗号化されたメールをサービス プロバイダからエクスポートします。
- メールが暗号化されている場合は、S/MIME 以外の暗号化ベンダーが提供するツールを使用してメールを平文に復号します。
- 平文に復号した後、そのメールを Gmail CSE 移行ユーティリティを使用してローカルで暗号化し、Gmail CSE に移行します。
Gmail を使用している場合:
移行ユーティリティを使用してメールを転送するには、Google データ エクスポートまたは Google Workspace Vault を使用して、暗号化されたメールを Gmail から書き出します。S/MIME 以外の暗号化ベンダーから提供されているツールを使用して、メールを平文に復号します。
Gmail CSE 移行ユーティリティによって平文メッセージが処理されます。Google Vault を介してメッセージを書き出す場合は、書き出し時に mbox ファイル形式を使用してください。Vault で生成された PST ファイルでは、メールを Gmail に再挿入するための情報が不足しています。
インポートされた各メールにおいて、元のメールに加えて S/MIME で暗号化されたメールのコピーが Gmail CSE 移行ユーティリティによって追加されます。Gmail を使用する各ユーザー アカウントには、メールのコピーを挿入するための十分な空き容量が必要です。
システム要件
- Windows 10/11 x86_64
- Linux x86_64
- macOS 12 以降、x86_64 または M
サポートされているファイル形式
Gmail CSE 移行ユーティリティによって平文メッセージが処理されます。メッセージが次のいずれかのファイル形式であることを確認してください。
- PST
- Mbox
現在のところ、Gmail CSE 移行ユーティリティは MSG ファイル形式には対応していません。サポートされている形式の詳細については、ファイル形式のドキュメントをご覧ください。
始める前に
移行ユーティリティを使用してメッセージを移行する前に、ユーザーの Gmail API と Gmail CSE を設定してください。詳しくは、Gmail のみ: クライアントサイド暗号化で使用する暗号鍵をアップロードするをご覧ください。
移行では、Gmail CSE 設定時に使用した Google サービス アカウントの API 認証情報が再利用されます。
Gmail CSE 移行ユーティリティをダウンロードする
- Gmail CSE 移行ユーティリティをデバイスにダウンロードします。
Gmail CSE 移行ユーティリティを実行する
移行ユーティリティを使用するには、ターミナルまたはコマンド プロンプトで次のコマンドを入力します。プレースホルダをフラグとファイル名に置き換えます。
Windows
> gmail-cse-migrate.exe [オプションのフラグ] -api-credential=<ファイル名> -input=<ファイル名>
たとえば、input.pst という名前のファイルから Gmail CSE にメールを移行するには、次のコマンドを入力します。
> gmail-cse-migrate.exe -api-credential=my-api-credential.json -input=input.pst
Linux、macOS
$ ./gmail-cse-migrate [オプションのフラグ] -api-credential=<ファイル名> -input=<ファイル名>
たとえば、input.pst という名前のファイルから Gmail CSE にメールを移行するには、次のコマンドを入力します。
$ ./gmail-cse-migrate -api-credential=my-api-credential.json -input=input.pst
注:
- コマンドを実行するときに、次の必須フラグを指定します。
-api-credential=<ファイル名> と -input=<ファイル名> - 必須フラグの機能の詳細を得るには、「gmail-migrate.exe -help」と入力します。
- 移行ユーティリティは、単一の入力ファイルとディレクトリの両方で動作できます。
- 入力ディレクトリの場合、移行ユーティリティは再帰的にディレクトリを走査して、拡張子が .pst と .mbox のファイルを検索します。
- 1 回の実行で複数の入力ファイルとディレクトリを指定できます。
移行をテストする
メールを Gmail ストレージに追加する前に、移行プロセスのドライランを実行しておくことを強くおすすめします。これにより、移行が失敗する原因となる可能性のある問題を特定して修正できます。たとえば、CSE 鍵ペアが設定されていない場合、移行中に一部のメッセージが暗号化されないことがあります。ドライランを行うことで、移行が失敗する要因を事前に特定しやすくなります。
ドライランを実行するには、-dryrun フラグを使用します。たとえば、Google サービス アカウントの秘密鍵が c:\my_svc_acct.json2 にある場合は、次のコマンドを入力します。
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json -dryrun
この例では、2 つの入力ファイル user1.pst と user2.pst に対して、移行プロセスのドライランを実行します。ドライランでは、次のことが確認されます。
- ファイルのメッセージを解析できる。
- 移行準備のためにメッセージを暗号化できる。
移行を完了する
ドライランの後、次のコマンドを入力して移行を完了します。
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json
移行を確認する
メールの移行が正常に完了すると、S/MIME 以外の形式で暗号化された元のメールとともに、S/MIME で暗号化されたメールのコピーがメール所有者の Gmail アカウントに挿入されます。移行ユーティリティによって元のメッセージが削除されることはありません。
ユーザー アカウントを検査して S/MIME コピーが Gmail CSE で使用できることが判明した場合、アカウント所有者または企業の管理者は、非 S/MIME 形式で暗号化された元のメールを削除できます。これらのメールが見つかりやすいように、Gmail CSE 移行ユーティリティによって、「Gmail CSE Migration Source Messages」という名前のカスタム ユーザーラベルが元の各メールに追加されます。
Gmail の UI を使用してメールを削除するときは注意してください。デフォルトのインターフェースでは、メールがスレッドまたは会話にまとめられており、1 通のメールを削除すると、暗号化されていないメールおよび挿入された CSE メールのコピーを含む会話全体が削除されます。そのため、まず Gmail の設定ペインでスレッド表示を無効にし、スレッドではなく個々のメールに削除が適用されるようにします。
移行に失敗した場合
- 失敗の原因を特定する手順は次のとおりです。
- ログファイルでエラー メッセージを確認します。
- PST ファイルと Gmail アカウントにアクセスするために必要な権限が移行ツールに付与されていることを確認します。
- API 認証情報が有効であることを確認します。
- PST ファイルが破損していないことを確認します。
- 移行が失敗した原因に対処するために必要な変更を加えます。
- 移行コマンドを再実行します。
注: 移行ユーティリティでは、前回の試行で正常に移行されたメッセージはスキップされます。
移行ツールのフラグ
移行ツールのフラグは、スラッシュではなく、先頭に 1 つまたは 2 つのハイフンを使用して指定できます。たとえば Windows では、ヘルプ情報を表示するフラグを次のいずれかに指定できます。
-help
--help
文字列の引数を受け入れるフラグの場合は、等号またはスペースを使用して指定し、引数を定義できます。たとえば、次のフラグは同等です。
-input=<ファイル名>.pst
-input <ファイル名>.pst
ヘルプフラグ
| フラグ | 説明 |
|---|---|
| -version |
バージョン文字列を出力します。 サポートにお問い合わせの際は、問題が発生しているバージョンをお知らせください。 |
| -help | すべてのフラグの使用状況画面を出力します。 |
| -logfile |
実行ログが書き込まれる出力ファイルを指定します。 ファイル名に特殊テキスト TIMESTAMP が存在する場合は、 |
移行フラグ
| フラグ | 説明 |
|---|---|
| input <ディレクトリまたはファイル> | 必須。入力ディレクトリまたはメールファイルを指定します。 |
| -api-credential <ファイル> | 必須。ドメイン全体へのアクセスを委任された Google サービス アカウントに 秘密鍵が含まれる JSON ファイルを指定します。 |
| -dryrun | 省略できます。移行ツールがメールファイルを処理し、 それらのメールを移行する準備ができることを確認するために指定します。 |
