Gmailのエンドツーエンド暗号化、モバイルアプリにも対応
GmailのE2EE(エンドツーエンド暗号化)がiOS・Androidアプリでも使えるようになりました。暗号化キーを自社管理しながら、スマホからも安全にメールを送れます。対象はEnterprise Plus等の上位エディション。
要約
Gmailのエンドツーエンド暗号化(E2EE)が、iOS・Androidアプリにも対応しました。これまでブラウザ版でしか使えなかった機能が、スマホからも使えます。対象はEnterprise Plus、Education Plus、Education Standardの3エディションです。
何が変わるのか
これまで
E2EEはブラウザ版Gmailだけの機能でした。外出先で暗号化メールを送りたいとき、わざわざスマホのブラウザでGmailを開く必要があった。正直、面倒ですよね。
これから
Gmailアプリから直接、暗号化メールを送受信できます。操作もブラウザ版と同じで、メール作成時に「追加の暗号化」をタップするだけ。
そもそもE2EEって何がうれしいのか
「Gmailは標準でも暗号化されてるんじゃないの?」と思うかもしれません。
たしかに、Gmailは転送中のデータをTLSで暗号化しています。ただ、Googleのサーバー上ではデータが復号された状態になっています。つまり、理論上はGoogleがメール内容にアクセスできる状態です。
E2EEでは、暗号化キーを自社で管理します。送信者のデバイスで暗号化して、受信者のデバイスで復号する。Googleのサーバーを経由する間もずっと暗号化されたまま。Google側からもメール内容は読めません。
S/MIMEより手軽
従来のメール暗号化はS/MIMEが主流でした。ただ、全社員分の証明書を認証局から取得して管理する必要があって、IT部門にとってはかなりの負担でした。
GmailのE2EEはクライアントサイド暗号化(CSE)の仕組みを使っていて、証明書を個別管理する必要がありません。管理コンソールから一括設定できるので、導入のハードルはだいぶ低いです。
相手がGmail以外でも送れる
相手も同じ組織のGmailの場合
受信者が同じGoogle Workspace組織内のユーザーなら、暗号化メールは自動で復号されます。相手側は何もしなくてOK。
別の組織のGoogle Workspaceユーザーに送る場合は、相手側の環境によってはゲストアクセスでの閲覧になることがあります。
相手がGmail以外の場合
Outlookなど他のメールサービスを使っている相手には、メール内にリンクが届きます。リンクを開くと制限付きのGmail画面が表示されて、ゲストアカウントでサインインすれば内容を確認できます。返信もそこから。
社外の取引先にも暗号化メールを送れるのは、実務では大きいポイントです。
管理者の設定手順
CSEの有効化
管理コンソールで3ステップです。
- Admin console > セキュリティ > アクセスとデータ管理 > クライアントサイド暗号化
- 外部のキー管理サービス(IdP)を設定
- 対象ユーザーまたはグループにCSEを割り当て
外部キー管理サービスが必要
E2EEでは暗号化キーをGoogleの外部で管理します。FlowCrypt、Fortanix、Thales、Virtruなどの対応サービスとの連携が必要です。ここが導入の最大のポイントになるかもしれません。
デフォルト有効化もできる
特定のチームやOU(組織部門)に対して、CSEをデフォルトの暗号化モードに設定できます。機密情報を扱う法務や経理部門には、デフォルトで有効にしておくと安心です。
ユーザーの操作は4ステップ
モバイルアプリでの使い方はとてもシンプルです。
- Gmailアプリでメールを新規作成
- 鍵アイコンをタップ
- 「追加の暗号化」を選択
- 通常通りメールを作成して送信
添付ファイルも暗号化されます。特別なアプリは不要です。
対象エディション
使えるのは以下の3エディションです。
- Enterprise Plus
- Education Plus
- Education Standard
Business StarterやBusiness Standardでは使えません。
E2EE展開のこれまでの流れ
Googleは段階的にE2EEの範囲を広げてきています。
| 時期 | アップデート内容 |
|---|---|
| 2023年2月 | CSEがGmailで一般提供開始(デスクトップ) |
| 2023年9月 | モバイルアプリでCSE対応(読み取り専用) |
| 2024年2月 | CSEをデフォルトモードに設定可能(モバイル含む) |
| 2025年10月 | E2EEメールを外部宛先にも送信可能に |
| 2026年4月 | E2EEの送受信がモバイルアプリで対応(今回) |
こうして見ると、年1〜2回のペースで着実に機能が広がっています。
中小企業は今どうすべきか
正直なところ、E2EEは上位エディション限定なので、Business StandardやBusiness Plusを使っている中小企業には今のところ関係ありません。
ただ、Googleは段階的に対象を広げてきているので、将来的にBusiness系でも使えるようになる可能性はあります。
今すぐできるセキュリティ対策としては、2段階認証の徹底やDLPポリシーの設定が現実的です。E2EEが将来使えるようになったとき、すぐ導入できるよう足元のセキュリティを固めておきましょう。
Kz Point
中小企業での活用度: 1/5
E2EEは上位エディション限定で、外部キー管理サービスの導入も必要です。Business StandardやBusiness Plusでは使えないため、多くの中小企業にとっては現時点で導入対象外です。ただし、Googleは段階的にCSE機能の対象を広げてきているので、動向はウォッチしておく価値があります。