Gmail、強固な暗号化メール機能　画期的に簡単

Googleは、エンタープライズ向けに提供しているGmailにおいて、より安全で機密性の高い、暗号化されたメールを誰にでも送信できるようにした「E2EE」機能を提供する。

「E2EE」(End to End Encryption、エンドツーエンド暗号化)は、Eメールを送信した人と受信した人だけが中を見られる、強固な暗号化機能。従来のE2EEは、送信と受信のどちらも対応する環境を用意する必要があるため、そのニーズに反して普及しておらず、政府機関と取引する企業など、限られた環境でしか利用されていなかった。代替手段として提供されているメール暗号化サービスも、中間の復号化・暗号化サーバーの経由で厳密に秘匿性を確保することが難しかったり、独自のソフトウェアやブラウザ拡張機能で複雑になったりするなど、多くの課題が残されていた。

今回の対応により、エンタープライズのGmailのユーザーは、数クリックの操作で、厳密に暗号化されたメールを送信できるようになる。高い秘匿性を持ったE2EEとして機能し、中間のGoogleのサーバーでは復号化できない(中身を解読できない)メールとして送信される。

あらかじめ暗号化・復号化に関連する証明書を交換したり、ブラウザの拡張機能を導入したりする必要がないほか、組織の管理者はS/MIMEといった暗号化関連の設定や、証明書の管理も不要になる。

メールの受信者がGmailユーザー(エンタープライズ、個人)の場合、メールはE2EEメールとして送信される。メールは相手のGmailの受信ボックスで自動的に復号化され、使い勝手も従来のGmailと同じ。

受信者がGmailユーザーでない場合、E2EEメールを「制限付きバージョンのGmail」で表示する“招待状”が相手に送信される。招待状メールの受信者は、ゲストのGoogle Workspaceアカウントを使用し、制限付きバージョンのGmailにアクセスして受信したメールを表示でき、返信も行なえる。

受信者が暗号化プロトコルのS/MIMEを設定している場合、Gmailは現在の仕様と同様に、S/MIME経由でE2EEメールを送信する。

このほか、組織の管理者は設定により、メールの受信者が「制限付きバージョンのGmail」のみにアクセスするよう設定することも可能。これにより、Google ドライブで共有したドキュメントのように、送信したデータを相手側のデバイスに保存されるのを防いだり、アクセス権を後から変更したりできるなど、セキュリティポリシーを適用しやすくなる。

一連の新機能は、Google Workspaceに搭載される「CSE」(client-side encryption、クライアント側暗号化)機能により実現されている。CSEはGoogleのサーバーに送信される前に機能するため、Googleやサードパーティは解読できない。これらは、輸出管理に使う場合などの規制要件も満たすものになるという。

このほか、E2EEメールに加えて、組織のデータ保護やコンプライアンス維持に役立つという、多くのセキュリティ機能が提供される。組織の管理者は、E2EEメールの送信をデフォルトに設定できるほか、気密性に関連する分類ラベル。分類ラベルの自動適用や送信のブロック、スパムやフィッシングメールの受信を抑止する新しい脅威保護AIモデルなどが提供される。