この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield プラットフォームの暗号化
項目およびファイルの暗号化
Shield プラットフォームの暗号化の設定
操作手順
暗号化の考慮事項
暗号化可能な項目
用語
暗号化フロー
入力規則
権限
リリース
Sandbox
従来の暗号化
組織のセキュリティの監視
Apex 開発および Visualforce 開発のセキュリティのヒント
PDF

Shield プラットフォームの暗号化の用語

暗号化には、独自の特殊な用語があります。Shield プラットフォームの暗号化機能を最大限活用するために、ハードウェアセキュリティモジュール、鍵のローテーション、主秘密などの重要な用語をよく理解することをお勧めします。
アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。
Salesforce Classic および Lightning Experience の両方で使用できます。

データの暗号化
データに暗号関数を適用して暗号文にするプロセスです。プラットフォームの暗号化プロセスでは、対称鍵暗号化と 256 ビットの AES (Advanced Encryption Standard) アルゴリズムを使用して、Salesforce プラットフォームに保存されている項目レベルのデータおよびファイルを暗号化します。このアルゴリズムでは、CBC モード、PKCS5 パディング、および 128 ビットランダム初期化ベクトル (IV) が使用されます。データの暗号化と復号化のどちらもアプリケーションサーバで実行されます。
データ暗号化鍵
Shield プラットフォームの暗号化では、データ暗号化鍵を使用してデータを暗号化および復号化します。データ暗号化鍵は、鍵派生サーバで、リリースごとの主秘密と、組織の一部としてデータベースに暗号化された状態で保存されている組織固有のテナントの秘密間に、鍵生成素材を分割して抽出されます。256 ビットの派生鍵は、キャッシュから強制削除されるまでメモリ内に存在します。
保存された暗号化データ
ディスクへの保存時に暗号化されたデータです。Salesforce では、データベースに保存されている項目、ファイル、コンテンツライブラリ、および添付ファイルに保存されているドキュメント、アーカイブデータの暗号化をサポートしています。
暗号化鍵管理
鍵の作成、処理、保存など鍵管理の各側面を参照してください。テナントの秘密の管理は、システム管理者または「暗号化鍵の管理」権限を持つユーザが実行します。
ハードウェアセキュリティモジュール (HSM)
認証用の暗号処理および鍵管理を行うために使用します。Shield プラットフォームの暗号化では、秘密の素材を生成して保存したり、暗号化サービスがデータの暗号化や復号化に使用するデータ暗号化鍵を派生する関数を実行したりするために HSM を使用します。
初期化ベクトル (IV)
鍵と併用してデータを暗号化するランダムなシーケンスです。
鍵派生関数 (KDF)
擬似乱数生成機能とパスワードなどの入力を組み合わせて鍵を派生します。Shield プラットフォームの暗号化では、PBKDF2 (パスワードベースの鍵派生関数 2) に HMAC-SHA-256 を使用します。
鍵 (テ���ントの秘密) のローテーション
新しいテナントの秘密を生成して、それまで有効であったものをアーカイブするプロセスです。有効なテナントの秘密は、暗号化と復号化の両方に使用されます。新しい有効なテナントの秘密を使用してすべてのデータが再暗号化されるまでは、アーカイブされた秘密が復号化にのみ使用されます。
主 HSM
主 HSM は、Salesforce のリリース時に毎回、安全な秘密をランダムに生成するために USB デバイスを使用します。主 HSM は、Salesforce の本番ネットワークから「隔離」されており、銀行の貸金庫に安全に保管されています。
主秘密
テナントの秘密および鍵派生関数と組み合わせて、派生データ暗号化鍵を生成します。主秘密は Salesforce のリリース時に毎回更新され、リリースごとの主ラッピング鍵を使用して暗号化されます。その後、暗号化された状態でファイルシステムに保存できるように鍵派生サーバの公開鍵で暗号化されます。これは、HSM でのみ復号化できます。Salesforce の従業員は、クリアテキストのこれらの鍵にアクセスできません。
主ラッピング鍵
対称鍵が派生し、主ラッピング鍵 (鍵ラッピング鍵ともいう) として使用され、リリースごとの鍵と秘密のバンドルをすべて暗号化します。
テナントの秘密
組織固有の秘密で、主秘密および鍵派生関数と組み合わせて、派生データ暗号化鍵を生成します。組織のシステム管理者が鍵をローテーションする��、新しいテナントの秘密が生成されます。API 経由でテナントの秘密にアクセスする場合は、TenantSecret オブジェクトを参照してください。Salesforce の従業員は、クリアテキストのこれらの鍵にアクセスできません。