GmailのエンドツーエンドEメール暗号化について:企業ユーザー向けガイド

ブログ

グーグルは、クライアントサイド暗号化(CSE)を利用したエンドツーエンドの暗号化(E2EE)メールをGmailの企業ユーザー向けに展開する。

byMilena Baghdasaryan

読書時間 5
GmailのエンドツーエンドEメール暗号化について:企業ユーザー向けガイド
目次-

Googleは先日、Client-Side Encryption (CSE)によるエンドツーエンドの暗号化メール(E2EE)をすべての企業ユーザーに提供すると発表した。まだベータ版ではあるが、企業ユーザーはすでに同じ組織内のGmailユーザーに暗号化されたメールを送ることができる。しかし、 グーグルはは次のように述べている今後数週間で、ユーザーはどのGmailの受信トレイにもE2EEメールを送信できるようになり、今年後半にはどのメールの受信トレイにも送信できるようになる" と述べている。 この機能は、すべての組織や個人/無料のGmailアカウントではまだ利用できない。

この新しい暗号化方式は、E2EEを支える技術を簡素化することを目的としている。同社は、企業環境における複雑さとオーバーヘッドで知られるS/MIMEの代替として、この暗号化を提案している。

主なポイント

  • グーグルの暗号化イニシアチブGoogleは、特定のGoogle Workspaceエディションを使用している組織向けに、エンドツーエンドの暗号化された電子メールを導入しています。 特定のGoogle Workspaceエディション.
  • 簡易暗号化:この方式はS/MIMEプロトコルに代わるもので、電子メールのセキュリティをより身近なものにすることを目的としている。
  • 実装:組織は、Google Workspace CSEまたはサードパーティの暗号化ツールやブラウザ拡張機能を使用して、Gmailでエンドツーエンドの暗号化を有効にすることができます。
  • 他のプロバイダーProtonMail、Tuta、Mailfenceなどのメールサービスもエンドツーエンドの暗号化をサポートしています。
  • セキュリティ上の利点:暗号化はフィッシングを直接防ぐものではありませんが、メッセージの内容を傍受や改ざんから守ります。DMARCのようなメール認証プロトコルと組み合わせることで、全体的な防御が強化されます。

Gmailはエンド・ツー・エンドの暗号化を提供しているか?

デフォルトでは、GmailはTLS(トランスポート・レイヤー・セキュリティ)を使用して転送中のメールを暗号化します。しかし、TLSはメールサーバー間のメッセージを保護するだけで、コンテンツレベルでは保護しません。Googleのようなプロバイダーやハッカーによるサーバーサイドのアクセスを防ぐことはできません。 

2019年、Gmailは コンフィデンシャルモードを追加プライバシーレイヤーとして導入し、有効期限とアクセス制限を可能にした。しかし、このモードは真のエンドツーエンドの暗号化には該当しない:

  • グーグルはメッセージの内容にアクセスできる。
  • スクリーンショット、コピー&ペースト、回避策は、コンフィデンシャルモードのコントロールをバイパスすることができます。

真のエンドツーエンドの暗号化とは、送信者と受信者のみがメッセージにアクセスできることを意味し、グーグルでさえもアクセスできない。

最近、Gmailは、Google Workspaceの対応エディションを使用している企業ユーザー向けにエンドツーエンドの暗号化を利用できるようにした。無料のGmailアカウントではまだ利用できないが、より広範なアクセスがロードマップ上にある。

Gmailに組み込まれた暗号化の仕組み 

TLSは輸送中の暗号化を保証します。Confidentialモードでは、有効期限やアクセス権の取り消しが可能です。ただし、メッセージは暗号化されずにグーグルのサーバーに保存されます。

しかし、コンフィデンシャル・モードには大きな制限がある:

  • ユーザーがスクリーンショットを撮ることを妨げることはない。
  • 受信者は、簡単なトリックを使用して、電子メールのコンテンツをダウンロードまたはコピーすることができます:
    • 電子メールのコンテンツをダウンロードするには、「名前を付けてページを保存」を使用します。
    • Firefoxでは、スタイルエディターで@printメディアルールを無効にし、印刷を再度有効にしてください。
    • 添付ファイルをスクリーンショットするか、Googleドライブの「コピーを作成」を使って保護されたPDFを複製する。

さらに、Gmailユーザー以外にEメールを送信する場合、受信者はリンクとパスコードを使ってアクセスしなければならない。これらが共有されると、メッセージはもはや機密ではなくなります。

GmailでEnd-to-End暗号化を有効にする方法 

Gmailでエンドツーエンドの暗号化を有効にするには、Google Workspace CSEまたはサードパーティの暗号化ツールを使用できます。 

Google Workspace クライアントサイド暗号化 (CSE)

有効にするには Google Workspace クライアント側暗号化(CSE)を有効にするには、以下の手順に従います:

  1. 外部暗号化キー・サービスを選択する必要があります。これにより、データを保護するためのトップレベルの暗号化キーが管理されます。
  2. 次に、Google Workspace を ID プロバイダ(サードパーティの IdP または Google ID)に接続する必要がある。IdPは、暗号化されたコンテンツへの暗号化またはアクセスを許可する前に、ユーザーのIDをチェックする。 
  3. 第三に、鍵サービス・プロバイダーと協力する必要がある。その目的は、Google Workspaceクライアント側の暗号化サービスを確立することである。
  4. 上記の手順を完了したら、管理コンソールに外部キーサービスのURLを追加するとともに、キーサービスの情報を追加する必要があります。これにより、サービスを Google Workspace に接続することができます。 
  5. サービスをGoogle Workspaceに接続した後、キーとなるサービスを組織単位に割り当てる必要があります。
  6. このステップを完了するには、APIとPythonスクリプトに関する技術的なノウハウが必要であることに注意してください。必要な知識とスキルがある場合は、以下の手順に従ってください:
    1. Google Cloud Platform(GCP)プロジェクトの作成
    2. Gmail APIを有効にする
    3. APIにアクセスできるようにする
    4. GmailユーザーにCSEを有効にする
    5. Gmailへの秘密鍵および公開暗号鍵のアクセス設定
  7. クライアント側で暗号化されたコンテンツを作成する必要があるユーザーのために、CSEをオンにします。完了したら、準備完了です! 

最後のオプションのステップには、S/MIMEによる外部アクセスの設定や、GmailへのCSEメールとしてのメッセージのインポートなどがあります。

:有効化 CSEを有効にすると、Gmailのネイティブ機能の一部が無効になる場合があります。

サードパーティ製暗号化ツールの使用

  • 以下のようなツール フロークリプトなどのツールは、GmailにPGP(Pretty Good Privacy)暗号化を追加します。これにより、電子メール通信のセキュリティが強化されます。PGPとは、暗号化された電子メールを送信するために使用される暗号化システムのことです。また、機密ファイルの暗号化にも使用されます。1991年に発明され、すぐにメールセキュリティのデファクトスタンダードとなりました。
  • メール封筒 は、Mailvelope Key Server、ファイル暗号化、フォーム暗号化機能を提供します。不足している暗号化・復号化機能をUIに追加します。これにより、電子メール通信を迅速かつ効果的に暗号化できます。このプラットフォームは、Google Workspace、Microsoft 365、Nextcloudなどのクラウドソリューションと統合されています。また、PGPアプリケーションとも互換性があります。

しかし、電子メール・プロバイダーや独自のポイント・ソリューションの暗号化機能を使用する際には、常に注意が必要である。

エンドツーエンドの暗号化をサポートするその他の電子メールプロバイダー

エンド・ツー・エンドの暗号化をサポートする他の電子メール・プロバイダーには、ProtonMail、Tuta、Mailfenceなどがある。 

プロトンメール 

ProtonMailは、エンドツーエンドの暗号化された電子メールを内蔵しており、あなた自身のデータをコントロールするのに役立ちます。また、VPN、クラウドストレージ、パスワードマネージャー、カレンダー、ウォレットなどの他のサービスも提供しています。エンドツーエンドの暗号化とゼロアクセス暗号化により、メールへのアクセスはあなただけに制限され、プロトン自身にも制限されません。

トゥータ 

Tutaは、量子抵抗暗号を使用したエンドツーエンドの暗号化電子メールサービスを提供する初期のプロバイダーの1つである。このプラットフォームは、GDPR規制に厳格に従ったゼロ知識アーキテクチャを活用しています。 

メールフェンス 

Mailfenceは、第三者の広告やマーケティングトラッカーを使用していません。また、広告も一切含まれていません。厳格なプライバシー規制に従い、エンドツーエンドの暗号化を提供しています。つまり、Mailfence自身でさえ、お客様のEメールにアクセスしたり、読んだりすることはできません。 

電子メールのセキュリティにエンドツーエンドの暗号化が重要な理由 

エンドツーエンドの暗号化は、電子メールのセキュリティに多くの利点をもたらします。 

フィッシングやメール傍受からの保護

Gmailはまた、数十億のエンドポイントからの相当数のシグナルを組み合わせてチェックし、評価する新しいAIモデルを追加する。この高度な評価により、システムは初期段階でフィッシングを検知し、対処できるようになる。これと適切な DMARCセットアップメールのセキュリティを強化し、ドメインを保護することができます。

データプライバシー法(GDPR、HIPAAなど)の遵守

多くのコンプライアンス要件がある。例えばGDPRでは、欧州の消費者のデータを扱うすべてのクラウドサービスプロバイダーに対してデータ処理契約が義務付けられている。 Gmailの新しいエンドツーエンドの暗号化は、既存の標準に準拠するための一歩となり得る。これらの国際的な規制の多くは、メール認証プロトコルも要求しているため、DMARCと組み合わせることで最も効果的となる。 

機密データの安全な通信

E2EEは、許可された関係者のみにアクセスを制限することで、機密データの保護に役立ちます。つまり、メール内のデータにアクセスできるのは、送信者と対象となる受信者のみです。電子メールは送信される前にクライアント側で暗号化されるため、Googleでさえ暗号化されたデータにアクセスすることはできません。 

ヒューマン・リスク・エラーの最小化

エンド・ツー・エンドの暗号化は、暗号化プロセスを簡素化することで人的ミスを減らす。S/MIMEプロトコルではそうであった、証明書の交換やコンフィギュレーションの確認はもはや必要ありません。 

巻末資料 

Gmailが新しいエンド・ツー・エンドの暗号化メカニズムを発表したことは有望である。しかし、この取り組みはまだ初期段階である。時間が経って初めて、この新技術の真の有効性を評価することができるだろう。それまでの間、すべての企業はさらなる暗号化方法を模索し、ベストプラクティスを実践すべきである。 

電子メールの暗号化に加え、電子メール認証を使用することで、電子メールのなりすましやフィッシングのリスクを大幅に軽減することができます。PowerDMARCのような電子メールとドメイン名セキュリティの信頼できる企業は、以下のサービスを提供しています。 DMARCマネージドサービス.これにより、技術的な複雑さを伴うことなく、エラーのないDMARC実装を実現することができます。

CTA

最新記事 by Milena Baghdasaryan(全て見る)
最高のメール配信ツールグーグル、ヤフー、マイクロソフト、アップルのiCloudメールの一括メール送信者ルール