暗号化されたチーム フォルダ:概要
チーム フォルダの暗号化は現在、Dropbox Business Plus、Advanced、Enterprise プランをご利用のチーム向けの機能であり、追加の規約が適用されます。
暗号化されたチーム フォルダとは、エンドツーエンドで暗号化されたチーム フォルダのことです。暗号化キーにアクセスできるのはチーム メンバーのみで、それ以外の人(Dropbox を含む)はアクセスできません。管理者は、ユーザー アクセスの問題が発生した場合に備えて、暗号化されたフォルダの回復キーを作成することもできます。
組織データは、非機密データ、機密データ、高機密データに分類できます。 非機密データはクラウドに安全に移行できますが、機密データには追加の保護対策が必要な場合があります。 高機密データには最高レベルの保護が必要であり、場合によっては規制要件を厳格に遵守する必要があります。 高機密データにはエンドツーエンドの暗号化が推奨されますが、機密性の低いデータには高度なキー マネジメントや標準的な Dropbox 暗号化などの代替ソリューションで十分な場合があります。 これらのカテゴリを理解することは、組織がデータを保護し、コンプライアンスを維持する上で役立ちます。
暗号化されたチーム フォルダは通常のチーム フォルダと同様に機能しますが、アクセスできるのは許可されたチーム メンバーのみとなります。また、暗号化されたフォルダ内のコンテンツも暗号化されます。 暗号化されたチーム フォルダは、中に鍵のある盾アイコンが付いた青色のフォルダで表示されます。ファイルとフォルダのアイコンについて詳しくはこちらをご覧ください。
チーム フォルダの暗号化を有効にする方法
チーム管理者は、チーム フォルダの暗号化を有効にできます。手順は次のとおりです。
- dropbox.com で管理者のアカウント情報を使用してログインします。
- 左側のサイドバーで[管理コンソール]をクリックします。
- [セキュリティ]をクリックします。
- [暗号化オプション]を選択します。
- [エンド ツー エンド暗号化]の横の[利用を開始]を選択します。
- ポップアップ ウィンドウで[スタート]をクリックして、選択を確定します。
- [回復キーを生成]をクリックします。
- 注:
- ロックアウトされた場合にこの回復キーがないと、暗号化されたデータを復元することはできません。
- 回復キーは再度表示されることはありませんので、必ずどこかに物理的に保管しておくかデジタルで保存するようにしてください。
- ロックアウトされた場合にこの回復キーがないと、暗号化されたデータを復元することはできません。
- 注:
- 確認のために最後の 5 文字を入力して、回復キーを保存したことを確認します。
- デバイス登録を確認します。 自動デバイス登録 (推奨) または手動キー検証による手動オプションのいずれかを選択できます。
- 自動デバイス登録を選択した場合は、[終了する]をクリックしてアクティベーションプロセスを完了します。
- 手動キー検証を選択した場合は、次の画面で[手動を設定]をクリックして確定します。チーム コードが生成され、コピーや保存、チーム メンバーとの共有が可能になります。[終了する]をクリックして有効化プロセスを完了します。 [次へ]をクリックして有効化プロセスを完了します。
- [暗号化されたフォルダを作成]をクリックして暗号化されたチーム フォルダを作成するか、[閉じる]をクリックしてポップアップ ウィンドウを閉じ、アカウントに戻ります。
暗号化されたチーム フォルダを作成する方法
チーム管理者は、チーム用に暗号化されたチーム フォルダを作成できます。手順は次のとおりです。
- dropbox.com で管理者のアカウント情報を使用してログインします。
- 左側のサイドバーで[管理コンソール]をクリックします。
- [設定]をクリックします。
- [コンテンツ]を選択します。
- [チーム フォルダを作成する]をクリックします。
- [エンド ツー エンド暗号化]を選択します。
回復キーの追加および管理方法
回復キーがあれば、キーの紛失やユーザー アクセスの問題が発生した場合でも、常にデータを取得して復号化できるようになります。チーム管理者は、異なる管理者やストレージ場所用に、複数の回復キーを作成、管理することができます。
注:すべてのチーム メンバーがロックアウトされた場合に回復キーがないと、暗号化されたデータを復元することはできません。そのため、回復キーは必ず安全な場所に保管(どこかに物理的に保管しておくかデジタルで保存)しておく必要があります。
追加の回復キーを作成するには:
- dropbox.com で管理者のアカウント情報を使用してログインします。
- 左側のサイドバーで[管理コンソール]をクリックします。
- [セキュリティ]をクリックします。
- [暗号化オプション]を選択します。
- [エンド ツー エンド暗号化]セクションで、[回復キーを管理]の横にある[新しいキーを追加]をクリックします。
- 既存の回復キーのいずれかを入力します。
- [生成]をクリックします。
- [コピーまたは印刷]をクリックして回復キーをコピーし、安全な場所に保管します。
- 注:回復キーは再度表示されることはありませんので、必ずどこかに物理的に保管しておくかデジタルで保存するようにしてください。
- [次へ]をクリックして、有効化プロセスを完了します。
- [回復キーを管理]を既存のキーを管理するか、[完了]をクリックしてポップアップ ウィンドウを閉じ、アカウントに戻ります。
既存の回復キーを編集または削除するには:
- dropbox.com で管理者のアカウント情報を使用してログインします。
- 左側のサイドバーで[管理コンソール]をクリックします。
- [セキュリティ]をクリックします。
- [暗号化オプション]を選択します。
- [エンド ツー エンド暗号化]セクションで、[回復キーを管理]の横にある[管理]ボタンをクリックします。
- 回復キーのリストがポップアップ表示されます。
- 回復キーの横にある[削除]ボタン(ゴミ箱のアイコン)をクリックすると、その回復キーを完全に削除できます。[削除]をクリックして選択内容を確定します。
回復キーを確認する方法
検証プロセスは双方向のプロセスです。 管理者はデバイスのコードを確認する必要があり、ユーザーはチーム コードを確認する必要があります。 チーム コードは、エンドツーエンドの暗号有効化プロセス中に管理者に表示されます。 管理者は、表示されたチーム コードをメールでチーム メンバーと共有できます。 ユーザー側では、チームとクライアントの両方のコードが同期通知に表示されます。 ユーザーは、表示されたチーム コードが管理者から提供されたコードと一致することを確認します。
ユーザーが共有したデバイス コードが、管理コンソールで管理者に表示される値と一致することを確認するには、次の手順を実行します。
- [設定]をクリックします。
- [暗号化オプション]をクリックします。
- [承認待ちのデバイスを確認]をクリックします。
- [承認]をクリックしてデバイスを登録します。
暗号化されたチーム フォルダに関するよくある質問
チーム内の誰でも暗号化されたチーム フォルダを作成できますか?
いいえ、暗号化されたチーム フォルダを作成および管理できるのはチーム管理者のみです。
暗号化されたチーム フォルダを他のチームのメンバーと共有することはできますか?
いいえ、これらのフォルダとそのコンテンツはチーム内でのみ共有できます。
暗号化されたチーム フォルダで作業する場合、どの機能が制限されますか?
エンド ツー エンド暗号化はセキュリティ レベルを高めるものの使いやすさの面で欠点があり、以下の機能は暗号化されたファイルやフォルダでは使用できません。
- 次を含むサーバー側の処理:
- 検索インデックスの作成(例:Dash 内)
- サムネイルの生成
- プレビューの生成
- 次を含むユーザビリティ面での制限:
- Dropbox Transfer
- コンテンツ検索
- 共有リンク
- ファイル リクエスト
- ワークフローの自動化
暗号化されたチーム フォルダは、以下に対応していません。
- クラウド コンテンツ(例:Dropbox Paper、Google ドキュメントなど)
- データ ガバナンス(法的ホールド、コンテンツのスキャン)
- ランサムウェアの検出
- データ分類
- Dropbox AI
- Dropbox API 経由でのアップロードやダウンロード
- サードパーティ開発者向けのプリビルトされたコンポーネント(Chooser、Saver、Embedder)
暗号化されたフォルダ外の別の場所にファイルを移動またはコピーするとどうなりますか?
暗号化されたチーム フォルダ以外の場所にファイルをコピーすると、暗号化の機能が失われ、その新しい場所には暗号化されていない状態で保存されます。
暗号化されたチーム フォルダのアクティビティはどこで追跡できますか?
暗号化されたチーム フォルダに関連するすべてのイベントは、アクティビティ ログに記録されます。
エンドツーエンド暗号化に関連するイベント ログ:
- チームの登録
- デバイスの登録
- デバイスキーの削除
- 回復キーの登録
- 回復キーの削除
- キーのローテーション
Dropbox はすでに暗号化されているのでは?
Dropbox はデータに対して高レベルのセキュリティを提供していますが、エンド ツー エンドの暗号化を追加することでプライバシーがさらに強化されます。暗号化キーを独占的にコントロールでき、アクセスを確実に制限することができます。ただし、エンド ツー エンドの暗号化は特定の機能(チーム外のユーザーとのファイルの共有など)を制限する場合があり、Dropbox アカウント内のすべてのファイルに適しているとは限らないことに注意してください。
暗号化キーはどこにどのような形で保存されますか?
暗号化キーは、Dropbox には分からない別のキーにより、暗号化された形で Dropbox に保管されます。
注:プライベート クライアント キーは Dropbox では保管されず、お客様のデバイスを離れることはありません。
Dropbox はチーム フォルダの暗号化にどの暗号化アルゴリズムを使用していますか?
Dropbox では Hybrid Public Key Encryption(HPKE)を使用しており、暗号化キーの管理には ECC P-256、HKDF-SHA256、AES256-GCM を使用しています。ファイル コンテンツの暗号化には AES256-GCM を使用しています。
ファイルまたはフォルダがエンドツーエンド暗号化を使用しているかどうかを確認するにはどうすればよいですか?
ファイルまたはフォルダがエンドツーエンド暗号化を使用しているかどうかを確認するには、フォルダ アイコンの横に盾アイコンが表示されているかどうかをご確認ください。
回復キーを入力する必要があるのはいつですか?
エンドツーエンド暗号化のデバイス登録が一時停止された場合、チーム管理者は登録プロセスを手動で再開できます。 これは、管理コンソールに回復キーを入力することで実行でき、これにより、保留中の登録を完了できるようになります。
チームを解散するとどうなりますか?
チームが解散を決定したイベントで、暗号化されたフォルダに遭遇すると、エラー メッセージが表示されます。 このメッセージは、解散プロセスを進める前にこれらのフォルダを削除するようチームにアドバイスします。
チームが削除された場合はどうなりますか?
管理者がチーム内のすべてのファイルとユーザーを削除することを選択した場合、暗号化されたデータも完全に消去されます。 ただし、30 日以内にファイルを復元すると、暗号化されたファイルも復元されます。 これらのファイルへのアクセスを取り戻すには、管理者が回復キーを持っている必要があります。 必要なデータの復元を容易にするため、この期間中は回復キーを保管しておくことを強くお勧めします。
エンドツーエンド暗号化と高度なキー マネジメントの違いは何ですか?
エンドツーエンドの暗号化では、特定のファイルが Dropbox サーバーに送信される前にユーザーのデバイス上で暗号化され、ファイルが保護されます。 これにより、Dropbox は秘密キーやプレーンテキスト ファイルにアクセスできなくなります。 ただし、機能と可用性に関しては制限がある場合がありますのでご注意ください。
高度なキー マネジメントは、顧客が任意で管理できる独自のチーム暗号化キーを利用して、すべてのファイルのセキュリティを強化します。 この機能によるセキュリティ強化で Dropbox のコア機能が損なわれることはありません。 機能や使いやすさに制限がなく、簡単に導入して使用できるように設計されています。
エンドツーエンド暗号化はファイルを選択的に保護するのに適しており、高度なキー マネジメントは Dropbox の重要な機能を犠牲にすることなくすべてのファイルのセキュリティを強化します。 2 つのオプションのどちらを選択するかは、チーム固有のセキュリティ ニーズと要件によって異なります。