コンテンツに移動
Workspace
ブログ
お問い合わせ 始める
Workspace
ブログ
お問い合わせ 始める
プロダクトの発表

PIV / CAC スマートカードとクライアントサイド暗号化で Gmail の機密性の高いメッセージを保護

2024年1月16日
https://storage.googleapis.com/gweb-cloudblog-publish/images/digital_sovereignty.max-2500x2500.png
Google Cloud Japan Team

※この投稿は米国時間 2023 年 12 月 15 日に、Google Workspace blog に投稿されたものの抄訳です。

コンプライアンスとデータ主権に関して厳格な要件に対応する必要がある政府機関、教育機関、企業の多くは、プライバシーとセキュリティを最優先事項としています。Google Workspace のクライアントサイド暗号化(CSE)は、デフォルトで有効になる暗号化を超えるレベルで、お客様のデータの機密性と保護をさらに強化します。CSE では、お客様が管理する暗号化鍵を使用してメール、ドキュメント、カレンダーの予定、ミーティングを保護できるため、お客様のデータに関する決定権はお客様だけにあり、Google や外国政府を含むサードパーティからのアクセスを防ぐことができます。

今年、Workspace のより広い範囲でクライアントサイド暗号化をご利用いただけるようにしました。2 月には、CSE の対象を、Google ドライブ、ドキュメント、スライド、スプレッドシート、Meet に加えて Gmail とカレンダーにも拡大しました。8 月には、モバイルアプリのサポートや CSE をデフォルトで設定する機能など、さらなる機能強化を追加しました。

そして今回、Gmail の CSE でハードウェア キーをご利用いただけるようになりました。これにより、PIV(Personal Identity Verification)や CAC(Common Access Card)などのスマートカードを使用する公的機関と企業のお客様のニーズを満たすことができるようになります。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/gmail-cse-card-reader_9y8imBR.gif

Windows デバイスでスマートカードを使用して Gmail のメールを暗号化

PIV / CAC スマートカードを使用したクライアントサイド暗号化の仕組み

オープン性と相互運用性を念頭に置いて設計された Gmail の CSE は、暗号化されたメッセージをメールで送信するための IETF 基準である S/MIME を利用します。CSE では、お客様のデータをクライアント デバイスで暗号化してから Google のサーバーに送信するため、Google 側では解読できません。プロセス全体がクライアント デバイスのブラウザまたはモバイルアプリで発生するため、カスタムのデスクトップ アプリケーションやブラウザの拡張機能をインストールする必要はありません。CSE は、お客様が管理する環境内で実行される鍵アクセス制御リストサービス(KACLS)を使用して暗号の処理を実行します(技術的な詳細はこちらをご覧ください)。ただし、PIV スマートカードや CAC スマートカードなどを使用して暗号化キーを管理する既存のメカニズムをすでに導入している組織もあります。そうした組織では、スマートカードの使用が推奨または必須事項である場合があるため、KACLS の代替手法としてスマートカードを採用できます。

本日以降、組織のユーザーはサポート対象の Windows デバイスとブラウザ(Google Chrome や Microsoft Edge など)から、既存の PIV / CAC スマートカードを使用して Gmail で CSE 保護されたメールの送受信を行うことができるようになります。ユーザーがメールにデジタル署名を追加したり CSE 保護されたメールを復号したりしようとすると、スマートカードを挿入して PIN を入力するよう求められます。暗号化と復号の処理はすべてクライアント デバイスで実行され、その際に既存のハードウェア キーと Windows のネイティブ暗号ライブラリが使用されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/DecryptionWithHardwareKeys.max-1600x1600.jpg
PIV / CAC スマートカードを使用して CSE 保護されたメールを Gmail で送信

「Gmail チームは、当機関内だけでなく米国政府全体で、既存のハードウェア キーを使用した通信の暗号化とセキュリティ保護を実現するよう取り組んでくれています。Google が私たちの技術要件とデータの機密性の重要さを理解していることは明らかです」と話すのは、Uniformed Services University of the Health Sciences(USU)の CTO を務める Sean Baker 氏です。この米国軍医療システムの刷新を担う機関は Google の長年のお客様でもあります。「この新機能により、効率向上とコラボレーション強化が実現するだけでなく、センシティブ データを一切公開せずにコンプライアンスを維持し、当機関の完全な管理下に置くことができます。」

使ってみる

政府機関、教育機関、企業のお客様は、Gmail のクライアントサイド暗号化で既存の PIV スマートカードや CAC スマートカードを利用してセンシティブ データの機密性と保護をさらに強化できるようになりました。詳しくは、この機能について深く掘り下げたブログ投稿Cloud Next ‘23 のブレイクアウト セッションドキュメントをご覧ください。

-Google Workspace、プロダクト マネージャー Julien Duplant

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/Security-Blog-GraphicArtboard_12x_5ymj5Rr.max-700x700.png
Product Announcements

Google Workspace の新たな生成 AI とセキュリティ イノベーションであらゆる規模の組織を支援

執筆者: Google Cloud Japan Team • 所要時間: 6 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Blog_Project_Ariel_24_6c_Optimized.max-700x700.jpg
Product Announcements

エンタープライズ グレードの Gemini が、 Google Workspace のあらゆる規模のチームで利用可能に

執筆者: Google Cloud Japan Team • 所要時間: 4 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Forrester_hero.max-700x700.jpg
Product Announcements

Google Workspace、Forrester UCaaS Wave 2023 でリーダーに選出

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/GWS_Blog_header_Digital_sovereignty_no_tit.m.max-700x700_e3COLmb.png
Product Announcements

新しいクライアントサイド暗号化パートナーによって広がる Google Workspace の選択肢

執筆者: Google Cloud Japan Team • 所要時間: 3 分