Googleは、Gmailのクライアントサイド暗号化のベータ版を開始した。これによって、メール本文と添付ファイルの「機密データ」が、Googleのサーバー側でも解読できないようにするための機能を、企業がテスト出来るようになっている。
- Google Workspace Updates: Client-side encryption for Gmail available in beta
- The Verge: Google is letting businesses try out client-side encryption for Gmail
Googleによると、このクライアントサイドの暗号化機能は、1月20日までワークスペース管理者が申し込むことで利用できるベータ版と言う扱いだ。
このサービスは、Google Cloudに送信または保存される前に、クライアントのブラウザで電子メールメッセージを暗号化するものだ。これにより、クラウドプロバイダーではなくGmailの顧客が暗号鍵の管理を行うことができ、Googleのサーバーが鍵にアクセスしたり、メール本文や添付ファイルとして配信される顧客データを解読したりできないようにすることが出来るようになる。ただし、デフォルトではオフになっている。
この機能を有効にし、ワークスペースのユーザーに設定すると、Web版のGmailを使用する際に追加のオプションが提供される。ユーザーは、南京錠のアイコンをクリックすると、メッセージの追加暗号化を選択できる。ただし、絵文字、署名、スマートメールなどの機能は暗号化機能を有効化した場合は使うことが出来ない。Googleは、クライアント側の暗号化がAndroidとiOS用のGmailアプリに“今後のリリースで”追加される予定であると述べている。
ちなみに、これは先日Appleが導入した、iCloudとの通信における暗号化のような、エンドツーエンド暗号化ではないことにも注目したい。エンドツーエンド暗号化では、データは送信者のデバイスで暗号化され、意図した受信者のデバイスでのみ復号化されるため、プライベートな会話に関与した2人(またはそれ以上)以外の人がその内容にアクセスすることはできないようになっている。
また、エンドツーエンド暗号化では、暗号化キーは送信者と受信者のデバイスで生成されるため、管理者はキーを制御できず、どのコンテンツが暗号化されたかを確認することもできない。
一方、クライアントサイドの暗号化(CSE)では、管理者はより多くのアクセス権を得ることができる。エンドツーエンド暗号化と同様、暗号化と復号化は送信者と受信者のデバイス(この場合はクライアントのブラウザ)でしか行われない。しかし、Googleがサポート文書で説明しているように「CSEでは、クラウドベースの鍵管理サービスで生成・保管された暗号鍵を使用するため、鍵や鍵へのアクセス権を管理することができます。例えば、あるユーザーが鍵を生成した場合でも、そのユーザーの鍵へのアクセス権を取り消すことがでます。また、CSEを使えば、ユーザーの暗号化ファイルを監視することも可能です。」とのことだ。
Google Workspace Enterprise Plus、Education Plus、Education Standardの顧客は、1月20日までベータ版に申し込むことができる。E2EEは、Google Workspace Essentials、Business Starter、Business Standard、Business Plus、Enterprise Essentials、Education Fundamentals、Frontline、Nonprofits、従来のG Suite Basic and Business顧客、および個人のGoogleアカウントを持つユーザーには提供されない。
なお、Googleはすでに、Drive、Docs、Sheets、Slides、Meet、Google Calendar(ベータ版)でクライアントサイドの暗号化を利用できるようにしている。
Googleは、エンドツーエンド暗号化を拡大するための措置も講じている。Googleメッセージは2020年後半にサポートを追加し、グループメッセージは今年初めにエンドツーエンド暗号化に対応した。ただし、Googleチャットはエンドツーエンドで暗号化されていない。
