Shield Platform Encryption のしくみ
Shield Platform Encryptionは、管理する鍵を使用してデータを暗号化するのに役立ちます。データを保護するために、鍵派生と直接暗号化の 2 つの方法が使用されます。FLE およびデータベースの暗号化では、制御する一意のテナントの秘密と Salesforce で保持する主秘密で構成される派生鍵が使用されます。EKM、検索インデックス、BYOK for Data 360 では、データを直接暗号化するデータ暗号化鍵 (DEK) をラップするルート鍵が使用されます。ルート鍵を制御します。
必要なエディション
重要 可能な場合は、Equality の会社の値に一致するように、含めない用語を変更しました。顧客の実装に対する影響を回避するために、一部の用語は変更されていません。
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
| 使用可能なエディション: Salesforce Shield または Shield Platform Encryption ライセンスが付属する Enterprise Edition、Performance Edition、および Unlimited Edition。 |
| Developer Edition で無料で使用できます。 |
メモ このコンテンツは、Shield Platform Encryption に関連します。「Implementing field-level encryption using Shield Extension in Own from Salesforce」を参照してください。
ファイル、項目、および添付ファイルの暗号化は、組織のストレージ制限に影響しません。
メモ このページは、従来の暗号化ではなく Shield Platform Encryption について書かれています。相違点
テナントの秘密とルート鍵は、常に各自で管理します。BYOK、EKM、またはキャッシュのみの鍵を使用して独自の鍵素材を提供することもできます。いずれの場合も、提供された DEK または派生した DEK のみを使用して、ユーザーが Salesforce に入力したデータを暗号化します。承認されたユーザーがデータを必要なときに、これらの情報を使用してデータを復号化します。
- Shield Platform Encryption の用語
暗号化には、独自の特殊な用語があります。Shield Platform Encryption 機能を最大限活用するために、重要な用語をよく理解することをお勧めします。 - 鍵の派生に関与するコンポーネント
暗号化鍵は、ハードウェアセキュリティモジュール (HSM) と鍵派生サーバーの組み合わせで取得されます。 - 従来の暗号化と Shield Platform Encryption の違い
Shield Platform Encryptionでは、データの暗号化に項目レベルの暗号化とデータベースの暗号化の2つのパスが提供されます。どちらも鍵素材を制御し、Classic Encryption よりも幅広いデータを暗号化します。Shield Platform Encryptionオプションごとに、さまざまなデータ カバレッジ、鍵管理オプション、およびフィルタリングや並び替えなどの機能のサポートが提供されます。暗号化要件に最も適したオプションを判断するには、この記事の比較表を使用してください。 - 鍵素材の保存方法
セキュリティプラットフォーム暗号化アーキテクチャの重要なコンポーネント (KDF の秘密、KDF ソルト、ラッピング鍵、DEK) は、ラッピング鍵、署名、鍵派生を組み込んだ階層構造を使用して保護されます。 - バックグラウンド: テナントの秘密のShield Platform Encryptionプロセス
項目レベルの暗号化では、ユーザーがデータを送信すると、アプリケーションサーバーはキャッシュ内で組織固有のデータ暗号化鍵 (DEK) を検索します。キャッシュにない場合、アプリケーションサーバーは、データベースから暗号化されたテナントの秘密を取得し、地域鍵管理サーバー (KMS) に鍵の派生を要求します。Shield Platform Encryption サービスは、次にアプリケーションサーバーのデータを暗号化します。鍵派生を除外した場合、または外部鍵管理サービスまたはキャッシュのみの鍵サービスのいずれかを使用した場合、暗号化サービスは顧客が指定したデータ暗号化鍵をデータに直接適用します。 - データベース暗号化プロセス
Salesforce のデータベース暗号化はフラグメントレベルで動作し、通常は 64KB 以下のチャンクでデータを暗号化および復号化します。 - バックグラウンド: 検索インデックスの暗号化のプロセス
Apache Solr と Apache Lucene を搭載した Salesforce の検索エンジンでは、レコードデータが拡張性の高いパーティション分割検索インデックスで整理されます。検索の暗号化では、一意のAES-256ビット鍵を使用して、組織固有の検索インデックスファイル(.fdt、.tim、.tipファイルの種類)を保護します。この暗号化はセグメントレベルで実行されるため、メモリ内のすべてのインデックス操作が暗号化されます。暗号化された検索インデックスとキー キャッシュへのアクセスは、厳密にはプログラムAPIを介して行われます。 - Sandbox での Shield Platform Encryption のしくみ
本番組織から Sandbox を更新すると、本番組織の正確なコピーが作成されます。本番組織で Shield Platform Encryption が有効になっている場合、本番で作成されたテナントの秘密を含め、すべての暗号化設定が Sandbox にコピーされます。これは、すべてのShield Platform Encryption機能に当てはまります。 - Bring Your Own Key を使用する理由
Shield Platform Encryption の Bring Your Own Key (BYOK) を使用することで、重要なデータへの不正アクセスが発生した場合に、より強固に保護できます。また、財務、健康、個人データの取り扱いに伴う規制要件を満たすこともできます。鍵素材の設定が完了したら、通常に Salesforce 組織内で保存データの暗号化を行うのと同じように Shield Platform Encryption を使用できます。 - 暗号化されたデータがマスクされない理由
Shield Platform Encryptionサービスを使用できない場合、一部の暗号化フィールドの種別でデータをマスキングできます。データのマスキングは、データへのユーザーアクセスを制御するのではなく、暗号化鍵の問題のトラブルシューティングに役立ちます。一部のユーザーに表示したくないデータがある場合は、そのユーザーの項目レベルセキュリティ設定、レコードアクセス設定、オブジェクト権限を再確認します。 - Hyperforce の Shield プラットフォームの暗号化
Shield プラットフォームの暗号化は、ボリュームレベルの暗号化と並行して機能します。Hyperforce は、デフォルトでボリュームレベルの暗号化を保存されたデータに対して適用します。ボリュームレベルの暗号化は、Salesforce が所有および管理する 1 つの暗号化鍵により、ディスク上のすべてのデータを保護します。Shield プラットフォームの暗号化を使用することで、独自に制御および管理している一意の鍵を使って Hyperforce 内のデータを暗号化できます。また、組織が Hyperforce を使用している場合は、データベース暗号化を使用してトランザクション データベース全体を暗号化できます。 - Shield Platform Encryption を有効にしたアプリケーションのリリース
開発者は、Visual Studio Code 向け Salesforce 拡張機能、移行ツール、Postman などのツールを使用して、組織にアプリケーションをリリースできます。アプリケーションをリリースするとき、[暗号化項目] 属性の設定は、対象組織での設定によって決まります。
この記事で問題は解決されましたか?
ご意見をお待ちしております。
