Data Cloud のプラットフォーム暗号化は、開発者が顧客管理鍵(CMK)を使用して Data Cloud のデータを透過的に暗号化する機能を提供します。この機能は現在、すべての地域で一般提供(GA)されています。この新機能により、企業はデータ保管時の暗号化鍵を自分たちで管理できるようになり、コンプライアンス規制をより適切に満たすことが可能になります。開発者は鍵を作成および管理するための使いやすいインターフェイスを利用できるほか、鍵に関する可視性、 設定変更履歴との統合、メール通知、セキュリティセンターとの統合といった機能も利用できます。
プラットフォーム暗号化を有効にする
Data Cloud のプラットフォーム暗号化を利用するには、Salesforce Shield バンドルまたは Shield Platform Encryption を購入いただく必要があります。
必要な前提条件を満たした後、暗号化鍵を管理する権限が付与されていることを確認してください。システム権限にあるこの権限を見つけ、権限セットを作成して自分に割り当てます。権限が正しく割り当てられたら、次に 設定 > セキュリティ > プラットフォームの暗号化> 設定に移動します。その後、暗号化ポリシー項目で “Data Cloud の鍵の管理” をオンに切り替える必要があります。
鍵を確認する
暗号化ポリシーで “Manage Data Cloud Keys” を有効にすると、最初の鍵が自動的に生成されます。このキーは、設定 > セキュリティ > プラットフォーム暗号化 > 鍵の管理 で確認できます。”Generate Root Key” ボタンをクリックすることで、新しいルート鍵を生成できます。この操作を行うと、既存のルート鍵がアーカイブされ、新しいルート鍵が作成されます。この新しい鍵により、それ以降の新しいデータが暗号化されます。すでに存在する暗号化済みデータは、元の鍵で暗号化されたままとなります。
FAQ
Q: フィールドレベルの暗号化(FLE)と Data Cloud のプラットフォーム暗号化の違いは何ですか?
A: フィールドレベルの暗号化は、各項目ごとにデータを暗号化するものです。一方、Data Cloud のプラットフォーム暗号化はデータ層で暗号化を提供します。
Q: すでに Data Cloud を使用しています。既存の Data Cloud に Data Cloud のプラットフォーム暗号化を実施した際ダウンタイムは発生しますか?
A: いいえ、Data Cloud へのデータアクセスに関してダウンタイムは発生しません。この機能を有効化しても、パフォーマンスの低下や遅延は生じません。
Q: すでに Data Cloud を使用しています。Data Cloud のプラットフォーム暗号化は既存のデータ全てを暗号化するのでしょうか。それとも今後の新しいデータのみを暗号化しますか?
A: Data Cloud のプラットフォーム暗号化を購入すると、Data Cloud のデータレイク内のすべてのデータが暗号化されます。ただし、暗号化鍵をローテーションすると、ローテーションを実施した以降のデータのみが新しい鍵で暗号化されます。既存のデータは元の鍵で暗号化されたままとなります。
Q: 暗号化されたデータはアプリケーション層でエンドユーザーにどのように表示されますか?
A: エンドユーザーは、該当データへのアクセス権がある場合、UI 上でデータをプレーンテキストで見ることができます。暗号化は、Salesforce データに不正アクセスした外部者からデータを保護するものであり、認証済みユーザーからデータを隠す方法ではありません。詳細についてはこちらのヘルプ記事をご覧ください。
Q: Data Cloud の Sandbox で暗号化は利用可能ですか?
A: Data Cloud Sandbox のデータの暗号化は、Data Cloud のプラットフォーム暗号化 GA(一般提供)と同時には利用できませんが、今後のリリースで利用可能になる予定です。その後、お客様は本番組織と同じように、Sandbox 組織でデータを暗号化できるようになります。
リソース
- ヘルプドキュメント:Shield Platform Encryptionの仕組み
- ヘルプドキュメント:Data Cloud のプラットフォーム暗号化
- ヘルプドキュメント:顧客が管理するルート鍵による Data Cloud の暗号化
- Trailhead:Get Started with Platform Encryption for Data Cloud (英語)
謝辞
このブログで参照された豊富な資料を提供してくださったプロダクトマネージャーの Cynthia Huang、Dave Hacker、Krassimira Iordanova に心より感謝いたします。
著者について
Danielle Larregui はSalesforceのシニアデベロッパーアドボケイトであり、Data Cloud Platform に注力しています。クラウド技術を学び、技術会議で講演したり参加したり、技術コミュニティとの交流を楽しんでいます。ぜひ、X (Twitter) で彼女をフォローしてください。