Shield Platform Encryption によるデータのセキュリティの強化

重要 可能な場合は、Equality の会社の値に一致するように、含めない用語を変更しました。顧客の実装に対する影響を回避するために、一部の用語は変更されていません。

メモ このコンテンツは、Shield Platform Encryption に関連します。「Implementing field-level encryption using Shield Extension in Own from Salesforce」を参照してください。

Shield Platform Encryption は、Salesforce のすべてのライセンス保有者に標準搭載されている従来の暗号化オプションに基づいて作成されています。データは暗号化されるため、他の防衛線が侵害された場合でも保護されます。トランザクションデータベース全体を暗号化できます。また、多くの標準項目やカスタム項目、ファイル、検索インデックス、添付ファイルなど、個別の項目を暗号化することもできます。

鍵素材が保存または組織間で共有されることはありません。Salesforce で鍵素材を生成するか、独自の鍵素材をアップロードするかを選択できます。デフォルトでは、Shield Platform EncryptionはKDF(鍵派生関数)を使用して、プライマリ秘密と組織固有の鍵素材からデータ暗号化鍵をオンデマンドで派生します。次に、その派生データ暗号化鍵 (DEK) を暗号化鍵キャッシュに保存します。DEK はディスクに保存されず、組織固有の鍵素材は常にラップされます。

鍵派生は鍵ごとにオプトアウトできます。または、DEK を Salesforce 外に保存し、外部鍵管理サービスまたはキャッシュのみの鍵サービスで、制御する鍵サービスからオンデマンドで取得することもできます。指定した DEK は常にラップされます。鍵を管理する方法に関わらず、Shield Platform Encryption によって暗号化プロセスのすべての段階で鍵素材の安全性が確保されます。

Shield Platform Encryption は、Developer Edition 組織で無料で試すことができます。本番組織にプロビジョニングされると、Sandbox で使用できるようになります。

ヒント Shield Platform EncryptionとClassic Encryptionのどちらを使用しているかに関係なく、組織全体の暗号化ポリシーの状況を追跡できます。セキュリティセンターアプリケーションを使用する簡単なプロセスで、多くの便利なセキュリティ総計値を取得できます。「Take Charge of Your Security Goals with Security Center (セキュリティセンターを使用したセキュリティ目標の管理)」を参照してください。

• 暗号化できる項目
  Shield Platform Encryptionは、Salesforce全体で保存中の機密データを保護する堅牢なオプションを提供し、さまざまなコンプライアンスと規制の要件への対応を支援します。データベース暗号化を選択して、トランザクションデータベース内のほとんどのデータを暗号化できます。より対象を絞った保護と詳細な鍵管理制御のために、項目レベルの暗号化 (FLE) では、特定の標準項目とカスタム項目を個別に暗号化できます。
• オンボードから Shield Platform Encryption
  さまざまなShield Platform Encryption機能へのオンボーディングに影響する状況はいくつかあります。これらは、採用している暗号化ポリシーと、Shield Platform Encryption機能をすでに使用しているかどうかによって異なります。
• プラットフォームの暗号化に関する Q&A
  プラットフォームの暗号化に関するよくある質問を次に示します。
• Shield Platform Encryption のしくみ
  Shield Platform Encryptionは、管理する鍵を使用してデータを暗号化するのに役立ちます。データを保護するために、鍵派生と直接暗号化の 2 つの方法が使用されます。FLE およびデータベースの暗号化では、制御する一意のテナントの秘密と Salesforce で保持する主秘密で構成される派生鍵が使用されます。EKM、検索インデックス、BYOK for Data 360 では、データを直接暗号化するデータ暗号化鍵 (DEK) をラップするルート鍵が使用されます。ルート鍵を制御します。
• 暗号化ポリシーの設定
  暗号化ポリシーは、Shield Platform Encryption でデータを暗号化するための計画です。暗号化の実装方法を選択できます。たとえば、データベース暗号化を使用してトランザクションデータベース全体を暗号化できます。高度な鍵管理が必要な場合は、項目レベルの暗号化を使用して個々の項目を暗号化し、それらの項目に異なる暗号化スキームを適用できます。またファイルや添付ファイル、Chatter のデータ、検索インデックスなど、他のデータ要素を暗号化することもできます。暗号化は、項目レベルセキュリティやオブジェクトレベルセキュリティとは異なります。これらの制御は、暗号化ポリシーを実装する前に実施します。
• 確定的暗号化を使用した暗号化データの絞り込み
  確定的暗号化を使用して Shield Platform Encryption で保護したデータを絞り込むことができます。レポートやリストビュー内のレコードの基盤となる項目が暗号化されている場合でも、ユーザーはそれらのレコードを絞り込むことができます。大文字と小文字を区別する確定的暗号化または大文字と小文字を区別しない完全一致の暗号化を、項目単位でデータに適用できます。
• 鍵の管理と循環
  Shield Platform Encryption を使用すると、データの暗号化に使用される鍵素材の管理および循環が可能になります。Salesforce を使用してテナントの秘密を生成し、それをリリースごとの主秘密と結合してデータ暗号化鍵を抽出できます。この派生データ暗号化鍵は、暗号化と復号化の機能で使用されます。Bring Your Own Key (BYOK) サービスを使用して、独自の鍵素材をアップロードすることもできます。または、鍵素材を Salesforce の外部に保存することもできます。外部鍵管理サービスまたはキャッシュのみの鍵サービスを使用して、鍵素材をオンデマンドで取得します。
• Shield Platform Encryption のカスタマイズ
  機能と設定の中には、暗号化データを操作する前に調整を必要とするものがあります。
• Shield Platform Encryption のトレードオフおよび制限事項
  Shield Platform Encryptionほど強力なセキュリティ ソリューションには、いくつかのトレードオフがあります。データが暗号化されている場合、一部のユーザーに機能が制限され、一部の機能がまったく使用できなくなる可能性があります。暗号化戦略を設計するときは、ユーザーとビジネスソリューション全体への影響を考慮してください。