Shield Platform Encryption の用語
暗号化には、独自の特殊な用語があります。Shield Platform Encryption 機能を最大限活用するために、重要な用語をよく理解することをお勧めします。
必要なエディション
重要 可能な場合は、Equality の会社の値に一致するように、含めない用語を変更しました。顧客の実装に対する影響を回避するために、一部の用語は変更されていません。
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
| 使用可能なエディション: Salesforce Shield または Shield Platform Encryption ライセンスが付属する Enterprise Edition、Performance Edition、および Unlimited Edition。 |
| Developer Edition で無料で使用できます。 |
メモ このコンテンツは、Shield Platform Encryption に関連します。「Implementing field-level encryption using Shield Extension in Own from Salesforce」を参照してください。
| 用語 | 定義 |
|---|---|
| キャッシュ鍵暗号化鍵 (キャッシュ KEK) | データ暗号化鍵は、最終的なデータ暗号化鍵を取得するために、暗号化された鍵キャッシュに一時的に存在します。キャッシュ KEK は、キャッシュ内にあるこれらのコンポーネントを暗号化します。 |
| データの暗号化 | データに暗号関数を適用して暗号文にするプロセスです。Shield Platform Encryption のプロセスでは、対称鍵暗号化と 256 ビットの AES (Advanced Encryption Standard) アルゴリズムを使用して、CBC (暗号ブロックチェーン) モードおよび 128 ビットランダム初期化ベクトル (IV) を使用して、Salesforce Platform に保存されているデータを暗号化します。データの暗号化と復号化はアプリケーションサーバーで実行されます。 |
| データ暗号化鍵 (DEK) | Shield Platform Encryption では、DEK を使用してデータを暗号化および復号化します。DEK は鍵管理サーバー (KMS) で取得されます。リリースごとの主秘密と、データベースに暗号化された状態で保存されている組織固有のテナントの秘密の間で分割された鍵素材を使用します。256 ビット派生鍵は鍵派生関数 (KDF) を使用し、キャッシュから削除されるまでメモリに存在します。DEK は、制御する外部鍵サービスによって外部鍵管理サービスを使用して提供されることもあります。 |
| 保存された暗号化データ | ディスクに保持されるときに暗号化されるデータ。Salesforce では、データベースに保存されている項目の暗号化、ファイル、コンテンツ、ライブラリ、および添付ファイルに保存されているドキュメントの暗号化、検索インデックスファイルの暗号化、CRM Analytics データセットの暗号化、アーカイブデータの暗号化をサポートしています。 |
| 暗号化鍵管理 | 鍵の生成、処理、保存など、鍵管理のすべての側面。「暗号化鍵を管理」権限を持つシステム管理者またはユーザーは、Shield Platform Encryption の鍵素材を操作できます。 |
| ハードウェアセキュリティモジュール (HSM) | 認証用の暗号化処理と鍵管理を提供する安全なネットワークアプライアンス。Shield Platform Encryptionは、HSMを使用して主秘密資料とリリースごとの秘密資料を生成および保存します。HSM は、暗号化サービスによってデータの暗号化と復号化に使用される DEK を取得する鍵派生関数も実行します。Salesforce では、FIPS 140-2 レベル 3 認定の HSM デバイスを使用します。HSM はプライマリおよび地域の鍵管理サーバ (KMS) 内にあります。 |
| 高保証バーチャルセレモニー (HAVC) | Salesforce 暗号化担当者間の安全なミーティング。HAVC 中、暗号担当者は安全な施設で招集し、プライマリ HSM を使用してリリースごとの秘密資料を生成します。その後、リリースごとの秘密はプライマリ KMS 内に保存されます。 |
| 初期化ベクトル (IV) | 検索インデックスとも呼ばれます。鍵と併用してデータを暗号化するランダムなシーケンスです。Shield Platform Encryption IV のサイズは一般に 128 ビット (16 バイト) です。 |
| 鍵派生 | 安全性の高い鍵素材コンポーネントから安全性の高い暗号化鍵を作成するプロセス。データの暗号化、署名、復号化に使用される鍵 (データ暗号化鍵) は、最大 3 つの暗号化コンポーネント (KDF シード、テナントの秘密、初期化ベクトル) を使用して取得されます。これらのコンポーネントは別々の安全な場所に保存されます。派生鍵はディスクに保存されないため、セキュリティが向上します。 |
| 鍵派生関数 (KDF) | Shield Platform Encryption が DEK の生成に使用する暗号化アルゴリズム。KDF は 1 つ以上の秘密とランダムな IV を入力して DEK を取得します。Shield Platform Encryption では、HMAC-SHA-256 でパスワードベースの鍵派生関数 2 (PBKDF2) を使用します。 |
| 鍵の循環 | 新しいテナントの秘密を生成して、それまで有効であったものをアーカイブするプロセスです。有効なテナントの秘密は、暗号化と復号化に使用されます。新しい有効なテナントの秘密を使用してすべてのデータが再暗号化されるまでは、アーカイブされた秘密が復号化にのみ使用されます。 |
| 鍵ラッピング鍵 (KWK) | 安全な保存と転送のために他の鍵を暗号化するために使用する派生対称鍵。プライマリ KWK は、トランザクションレイヤーセキュリティ (TLS) の KDF シード、KDF ソルト、テナントラッピング鍵、中継ラッピング非公開鍵を暗号化してから、それらを地域の KMS に保存するために使用されます。 |
| プライマリ HSM | プライマリ鍵管理サーバ (KMS) に存在する HSM。Salesforce リリースごとに安全でランダムな秘密が生成されます。プライマリ HSM は厳格なアクセスプロトコル下にあり、複数の信頼できる暗号担当者の調整されたアクションを介してのみ秘密を作成できます。 |
| プライマリ初期化ベクトル (KDF Salt) | プライマリ HSM によって各リリースが作成された初期化ベクトル。これは、組織のテナントの秘密と組み合わせて、データ暗号化鍵を派生するために使用されます。 |
| 主秘密 (KDF シード) | 以前は主秘密でした。テナントの秘密および鍵派生関数と組み合わせて、派生データ暗号化鍵を生成します。(顧客は鍵派生を除外できます)。主秘密は、HSM を使用してリリースごとに循環されます。Salesforce の従業員は、クリアテキストのこれらの鍵にアクセスできません。 |
| ルートキー | データ暗号化鍵を保護および制御するために Salesforce で使用される鍵。ルート鍵は、Salesforce 内または外部の鍵管理サービスを介して生成および管理できます。機能とサービスに応じて、ルート鍵で制御されるデータ暗号化鍵を、Shield KMS で顧客が管理または代理で管理できます。 |
| テナントの秘密 | 組織固有の秘密で、主秘密および鍵派生関数 (KDF) と組み合わせて、派生データ暗号化鍵 (DEK) を生成します。Salesforce の従業員は、クリアテキストのこれらの鍵にアクセスできません。 |
関連項目:
この記事で問題は解決されましたか?
ご意見をお待ちしております。
