保存時の暗号化 - Shield Platform Encryption(アドオン)

Salesforce Shield Platform Encryptionは、Salesforceのアドオン セキュリティ機能であり、チームが必要とする機能(検索やワークフローなど)を損なうことなく、保存中の機密データを暗号化します。

Shield Platform Encryptionには、保存データを暗号化する次の機能があります。

• AES 256 ビット暗号化: 256 ビット鍵で業界標準の Advanced Encryption Standard を使用します。
• 柔軟な鍵管理:
  • Salesforce 生成: 鍵のライフサイクルは Salesforce に任せます。
  • Bring Your Own Key (BYOK): Salesforce の外部で独自の「テナントの秘密」を生成および管理します。
  • キャッシュのみの鍵: 鍵は独自の外部鍵管理システム (KMS) に保存され、必要なときにのみ Salesforce メモリに一時的に「キャッシュ」されます。ディスクにキャッシュされることはありません。
• 2 つの暗号化スキーム:
  • 確率スキーム
  • 確定的スキーム
• 広範な対応: Shield では、標準項目 (名前や電話など)、カスタム項目、ファイル、添付ファイル、さらには検索インデックスまで暗号化できます (一部のカスタム項目のみを処理する「Classic」暗号化とは異なります)。

Shield Platform Encryptionを構成すると、保存時のデータ漏洩のリスクに対処し、機密情報をアプリケーション レベルだけでなくデータベースおよびインフラストラクチャ レベルで不正アクセスから保護できます。ディスクに書き込まれるデータを暗号化することで、未加工データを閲覧しているバックエンドユーザーやサービスプロバイダーの「内部脅威」を軽減しながら、データ保管の証明を要求する厳格な規制コンプライアンス要件 (HIPAA、GDPR、FINRA など) も満たします。さらに、企業が暗号化鍵を排他的に制御できるようにすることで、データ主権リスクに対処し、マルチテナントクラウド環境であっても、特定のテナントの秘密から派生した鍵を持たないユーザーは最も重要な PII を読み取れないようにします。

• Shield Platform Encryption(アドオン)暗号化ポリシー - Salesforce管理鍵
  テナントの秘密を有効にして定期的に循環します。
• Shield Platform Encryption(アドオン)暗号化ポリシー:データベースの暗号化
  テナントの秘密を有効にして定期的に循環します。
• Shield Platform Encryption (アドオン) Encryption ポリシー - サポートされる機能での暗号化の有効化
  サポートされている機能で暗号化を有効にします。
• Shield Platform Encryption (アドオン) Encryption ポリシー:Data 360 鍵の管理
  Data 360 暗号化を有効にして鍵を管理します。
• Shield Platform Encryption (アドオン) Encryption ポリシー - 暗号化ポリシー設定へのアクセスの制限
  暗号化関連の権限の定期的なレビュー。
• Shield Platform Encryption (アドオン) Encryption ポリシー - 鍵派生のオプトアウトと BYOK の有効化
  Bring Your Own Key (BYOK) 機能を最終的なデータ暗号化鍵として使用し、機密データを暗号化します。