暗号化鍵素材の循環
鍵素材のライフサイクルを制御することで、データ暗号化鍵のライフサイクルを制御します。Shield Platform Encryption の新しい鍵素材の生成またはアップロードを定期的に行うことをお勧めします。テナントの秘密、データ暗号化鍵 (DEK)、またはルート鍵を循環する場合、Salesforce が生成した鍵素材または指定した鍵素材で置き換えます。
必要なエディション
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
| 使用可能なエディション: Salesforce Shield または Shield Platform Encryption ライセンスが付属する Enterprise Edition、Performance Edition、および Unlimited Edition。 |
| Developer Edition で無料で使用できます。 |
| 必要なユーザー権限 | |
|---|---|
| テナントの秘密および顧客が指定した鍵素材を生成、破棄、エクスポート、インポート、アップロード、設定する | 「暗号化鍵の管理」 |
循環する頻度を決定するには、セキュリティポリシーを確認します。鍵素材を循環できる頻度は、種別と環境に応じて異なります。制限のある秘密の場合、テナントの秘密を間隔ごとに 1 回循環できます。
| 鍵素材 | キー種別 | 本番環境 | Sandbox 環境 |
|---|---|---|---|
| 項目とファイル (確率的) | テナントの秘密 | 24 時間 | 4 時間 |
| 項目 (確定的) | テナントの秘密 | 7 日 | 4 時間 |
| データベース全体 | データベーステナントの秘密 | 3 か月 | 3 か月 |
| 分析 | テナントの秘密 | 24 時間 | 4 時間 |
| イベントバス | テナントの秘密 | 7 日 | 7 日 |
| 検索インデックス | テナントの秘密 | 7 日 | 7 日 |
| 検索インデックス | DEK | 7 日 | 7 日 |
| Salesforce | ルートキー | 制限なし | 制限なし |
| Salesforce (Data 360 データ用) | ルートキー | 3 か月 | 3 か月 |
| キー種別 | 主要な状況 |
|---|---|
| AWS ルート | 有効、有効化待機中、アーカイブ済み、キャンセル済み、無効 |
| Salesforce ルート (Data 360 データ用) | 有効、アーカイブ済み |
| Salesforce ルート | 有効、アーカイブ済み、無効 |
| DEK の検索 | 有効、アーカイブ済み、破棄済み |
| テナントの秘密 | 有効、アーカイブ済み、破棄済み |
キーの状況は、キー種別に関係なく同じことを意味します。
- 有効
- この鍵を使用して、新規および既存のデータを暗号化および復号化できます。
- 有効化待機中
- 鍵は Salesforce で生成されますが、別のプロセスが有効化を完了するまで待機しています。
- アーカイブ済み
- 鍵で新しいデータを暗号化することはできません。この鍵が有効であったときにこの鍵を使用して以前に暗号化されたデータを復号化する場合に使用できます。
- キャンセル
- ルート鍵の有効化プロセスがキャンセルされます。
- Destroyed (破棄済み)
- 鍵でデータを暗号化または復号化することはできません。鍵が有効であったときにこの鍵を使用して暗号化されたデータを復号化することはできません。この鍵で暗号化したファイルおよび添付ファイルはダウンロードできません。
- 無効
-
ルート鍵は存在するが無効なため、制御する DEK はデータを暗号化および復号化できません。
ルート鍵とデータ暗号化鍵の循環
Shield Platform Encryptionは、ルート キーとDEK(データ暗号化キー)で構成されるキー ペアを使用して一部のデータ ストアを暗号化します。データストアに応じて、1 つの鍵ペアの一方または両方の鍵を循環できます。DEK を保護するルート鍵を循環すると、鍵の処理に関するコンプライアンス要件を満たすことができます。検索インデックスなど、顧客が管理する DEK を使用できるデータストアでは、DEK を循環させることもできます。ルート鍵を循環すると、新しいルート鍵が有効なルート鍵になります。アーカイブされたルート鍵は、引き続き既存の DEK を保護します。DEK を循環する場合、有効なルート鍵によって保護されます。
- [設定] から、[クイック検索] ボックスに「鍵の管理」と入力し、[鍵の管理] を選択します。
- [ルート鍵インベントリ] で、ルート鍵種別タブを選択します。[Generate Root Key (ルート鍵を生成)] をクリックし、プロンプトに従って新しいルート鍵を生成します。新しいルート鍵が有効なルート鍵になり、新しい DEK を保護するために使用されます。アーカイブされたルート鍵では、それらのルート鍵が有効なときに生成された古い DEK が引き続き保護されます。
- [鍵の管理のテーブル] で鍵種別タブを選択します。そのキー種別で DEK がサポートされている場合、DEK を循環させるオプションが表示されます。[Generate DEK (DEK を生成)] をクリックします。新しい DEK が有効な DEK になります。有効なルート鍵によって保護され、それ以降の新しいデータが暗号化されます。アーカイブされた DEK は、暗号化していたデータを引き続き復号化します。アーカイブされた DEK は、DEK の生成時に有効だったルート鍵によって保護されます。
テナントの秘密の循環
他の鍵素材と同様に、Shield Platform Encryption のテナントの秘密を循環させて、セキュリティとコンプライアンスの義務に準拠するようにします。
鍵派生関数では主秘密 (KDF シード、以前の主秘密) が使用されます。主秘密は、Salesforce のメジャーリリース時に毎回循環されます。テナントの秘密を循環するまで、主秘密は暗号化鍵や暗号化されたデータに影響しません。
- [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[鍵の管理] を選択します。
- [鍵の管理のテーブル] で鍵種別を選択します。
- そのデータ型のテナントの秘密の状況を確認します。
-
[テナントの秘密を生成] または [Bring Your Own Key] をクリックします。独自のテナントの秘密を使用している場合は、暗号化されたテナントの秘密とテナントの秘密ハッシュをアップロードします。
メモ
有効およびアーカイブされたテナントの秘密は種別ごとに最大 50 件まで使用できます。たとえば、[項目とファイル (確率的)] のテナントの秘密については有効なテナントの秘密を 1 件、アーカイブされたテナントの秘密を 49 件使用でき、Analytics テナントの秘密も同じ数を使用できます。この制限には、Salesforce が生成した鍵素材と、顧客が指定した鍵素材が含まれます。データベーステナントの秘密はこの制限に含まれません。
制限に達した場合、別の鍵を再度有効化、再度アーカイブ、またはコールアウトを作成するには、既存の鍵を破棄します。鍵を破棄する前に、有効な鍵で暗号化するデータを同期します。
- 新しい [項目 (確定的)] テナントの秘密を生成すると、ウィンドウが開きます。ウィンドウの情報を読み、要件とデータ同期のリスクを確認する 2 つのチェックボックスをオンにします。次に、[Generate Tenant Secret (テナントの秘密を生成)] をクリックします。
- 有効な鍵素材を使用して項目値を再度暗号化する場合は、新規および既存の暗号化データを最新の鍵のもとで同期します。[設定] の [暗号化統計およびデータ同期] ページからデータを同期できます。
