保存時の暗号化 - 従来の暗号化

コントロール名

Classic Encryption - カスタム項目の暗号化

推奨設定

Classic 暗号化の設定:

オブジェクトマネージャー>項目とリレーション>テキスト (暗号化): [すべての文字をマスク] のマスキング種別を有効にします。

次に、項目を参照できる関連プロファイルを確認して、[プロファイルの項目レベルセキュリティ] の表示を設定します。

制御の概要

Classic Encryption でマスキングするように機密カスタム項目を設定します。

設定されていない場合のセキュリティリスク

未承認の従業員は、社会保障番号や銀行の詳細などの機密 PII (個人識別情報) を参照できる可能性があります。厳格に規制された顧客の場合、機密データの暗号化を有効にしないと、非特権ユーザーの画面上で機密データを難読化する必要がある規制要件へのコンプライアンス違反につながる可能性があります。

脅威のシナリオ

Classic Encryption を使用しない場合、「すべてのデータの参照」権限 (システム管理者または上級管理者に共通) を持つユーザーは、組織のすべてのプレーンテキストデータを表示できます。脅威アクターが「すべてのデータの参照」権限を持つユーザーにアクセスできる場合、そのユーザーはデータを表示できます。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

カスタム項目に保存されている機密データと、データにアクセスできるユーザーまたはインテグレーションユーザーに応じて異なります。

より高いリスク

機密データはカスタム項目に保存され、カスタム項目へのアクセスは定期的に確認されません。

Low or No Risk When (低リスクまたは無リスクの場合)

この制御は、次のいずれか 1 つ以上が実装されている場合は、低リスクとみなすことができます。

• カスタム項目に機密データが保存されない
• Periodic Review of Access To Sensitive Custom Fields (機密カスタム項目へのアクセスの定期的なレビュー): ロールと権限のレビューを通じて、項目へのアクセス権を持つユーザーを定期的にレビューします。

ビジネスと統合に関する考慮事項

顧客は、カスタム項目に機密データが含まれていることのビジネス上の正当性を評価する必要があります。

推奨される修復

機密データをカスタム項目に保存したり、Salesforce Shield Platform Encryption を使用して機密データを標準項目で保護したりしないでください。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

Security Health Reviewでは、Salesforceで暗号化なしで設定されたカスタム項目が特定されるため、お客様はSalesforceが推奨するセキュリティ ベースラインとZero Trustの原則に従って、潜在的なデータ損失リスクを特定し、機密データへの不正アクセスを防止できます。