サポート対象エディション: Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus。 エディションの比較
Google 管理コンソールでホスト型の Secure/Multipurpose Internet Mail Extensions(S/MIME)を設定すると、組織内のユーザーをフィッシング、有害な添付ファイル、その他のメールの脅威から保護できます。S/MIME によってメールが暗号化され、デジタル署名が追加されるため、メールのセキュリティが強化されます。公開鍵と秘密鍵の組み合わせを使用してメールが復号されます
S/MIME がホストされている場合、秘密鍵は暗号化に S/MIME を使用している組織に保存されます。また、Google Workspace クライアントサイド暗号化(CSE)を使用すると、ユーザーは暗号化された S/MIME メールを送受信することもできます。CSE では秘密鍵が外部鍵サービスによって管理されるため、プライバシーとデータの保護が強化されます。CSE について詳しくはこちらをご覧ください。
Gmail の一部の設定をカスタマイズして、特定のメールに対して S/MIME を要求することもできます。詳細
手順 1: Google 管理コンソールでホスト型 S/MIME を有効にする
-
-
管理コンソールで、メニュー アイコン
[アプリ]
[Google Workspace]
- 左側の [組織] で、設定するドメインまたは組織を選択します。
重要: 高度な S/MIME 制御を使用してルート証明書のアップロードや管理を行うには、最上位の組織(通常はドメイン)で S/MIME を有効にする必要があります。詳しくは、S/MIME とルート証明書についての記事をご覧ください。
-
[S/MIME] 設定までスクロールし、[メール送受信で S/MIME 暗号化を有効にする] チェックボックスをオンにします。
-
(省略可)組織内のユーザーが証明書をアップロードできるようにするには、[ユーザーに証明書のアップロードを許可する] チェックボックスをオンにします。
-
(省略可能なその他の管理)ルート証明書をアップロードして管理するには:
- [特定のドメインに関する追加のルート証明書を受け入れてください] の横にある [追加] をクリックします。
- [ルート証明書の追加] ウィンドウで、[ルート証明書をアップロード] をクリックします。
- 証明書ファイルを参照して選択し、[開く] をクリックします。証明書の確認メッセージが表示されます。このメッセージには、サブジェクト名と有効期限が含まれています。
- [暗号化のレベル] で、この証明書で使用する暗号化レベルを選択します。
- [アドレスリスト] に、通信時にルート証明書を使用するドメインを 1 つ以上入力します。複数のドメインはカンマで区切ります。ドメイン名にはワイルドカードを含めることができます。ドメイン名にワイルドカードを使用する方法について詳しくは、RFC 6125 をご覧ください。
- (省略可)ユーザーのメインのメールアドレス以外のメールアドレスに関連付けられた証明書を使用する CSE 鍵ペアを許可するには、証明書の不一致に関するオプションを選択します(これらのドメインでは、ユーザーの現在のメールアドレスと一致しないメールアドレスの証明書を許可します)。
セキュリティ上の理由から、このオプションは組織で必要な場合にのみ使用することをおすすめします。この機能は CSE でサポートされています。ホスト型 S/MIME には対応していません。証明書の不一致について詳しくは、S/MIME の信頼できる証明書を管理するをご覧ください。
- [Done] をクリックします。
- さらに証明書チェーンをアップロードするには、上記の手順を繰り返します。
- ドメインまたは組織で SHA-1(Secure Hash Algorithm 1)を使用する必要がある場合は、[SHA-1 をグローバルに許可する(非推奨)] チェックボックスをオンにします。SHA-1 の使用について詳しくは、S/MIME の信頼できる証明書を管理するをご覧ください。
- [保存] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細 その間に送信されるメールは暗号化されません。
手順 2: ユーザーが Gmail を再読み込みする
Google 管理コンソールでホスト型 S/MIME を有効にしたら、Gmail を再読み込みするようユーザーに伝えます。メールの件名に鍵アイコンが表示されます。メールがホスト型 S/MIME で暗号化されている場合、鍵は緑色になります。
手順 3: 証明書をアップロードする
ホスト型 S/MIME 暗号化を使用するには、エンドユーザーの S/MIME 証明書を Gmail にアップロードする必要があります。証明書は現在の暗号化標準を満たし、公開鍵暗号標準(PKCS)#12 アーカイブ ファイル形式を使用する必要があります。
ここに記載されているのは Google が提供し管理している信頼できる証明書の一覧であり、Gmail for S/MIME にのみ適用されるものです。
Google では、管理者が Gmail S/MIME API を使用して証明書をアップロードすることをおすすめしています。デフォルトのユーザー鍵の表示、削除、設定のようなタスクの管理にも、Gmail S/MIME API を使用できます。詳しくは、Gmail S/MIME API に関する記事をご覧ください。
以下のように、ユーザーが Gmail の設定で証明書をアップロードできるようにすることも可能です。
- Gmail に移動します。
- [設定] アイコン
[すべての設定を表示] を選択します。
- [アカウント] タブを選択します。
- [名前] の横にある [情報を編集] を選択します。
[メールアドレスと暗号化設定を編集] ウィンドウが表示されます。このウィンドウが表示されない場合は、管理者にお問い合わせください。
- [個人証明書をアップロード] をクリックします。
- 証明書を選択して [開く] をクリックします。証明書のパスワードを入力するよう求められます。
- パスワードを入力して、[証明書を追加] をクリックします。
[すべての設定を表示] を選択します。手順 4: ユーザーが鍵を交換する
S/MIME メールの送受信を開始するには、ユーザーは次のいずれかの方法でメールの受信者と鍵を交換する必要があります。
- S/MIME 形式で署名されたメールを受信者に送信します。このメールはデジタル署名され、ユーザーの公開鍵が含まれています。受信者はこの公開鍵を使用して、ユーザーに送信するメールを暗号化できます。
- 受信者からメールを送信してもらいます。届いたメールは S/MIME 形式で署名されており、暗号化に使われた鍵は自動的に保存されて今後も使用できるようになっています。今後、受信者に送信されるメールは S/MIME で暗号化されます。
下位組織の S/MIME 設定をオーバーライドする
デフォルトでは、組織部門は最上位の組織部門から SMIME 設定を継承します。必要に応じて、組織部門に対して継承された SMIME 設定をオーバーライドできます。この機能は、組織部門の SMIME 設定を無効にしたりカスタマイズしたりする場合に便利です。
SMIME 設定をオーバーライドするには、以下の操作を行います。
-
-
管理コンソールで、メニュー アイコン
-
左側の [組織] で、設定する組織部門を選択します。
- [S/MIME] 設定までスクロールし、クリックして展開します。
S/MIME 設定ラベルの下にあるラベルには、[継承元(組織またはドメイン名)] または [上書きされました] のいずれかが表示されます。
- [オーバーライド] をクリックして、S/MIME 設定を継承している下位組織への変更を保存します。
下位組織の設定が保存されると、S/MIME 設定ラベルの下に [上書きされました] と表示されます。左側の [組織部門] 構造ツリー内のオーバーライドした下位組織の横にも「ドット」が表示されます。
ヒント: 下位組織が上位組織の設定をオーバーライドしている場合は、[継承] をクリックすると上位組織の設定を継承できます。
