Salesforce セキュリティガイド
j暗号化鍵のローテーション
定期的に新しいテナントの秘密を生成して、それまで有効であったものをアーカイブする必要があります。組織のテナントの秘密のライフサイクルを制御することで、派生データの暗号化鍵のライフサイクルを制御します。
| アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。 |
| Salesforce Classic および Lightning Experience の両方で使用できます。 |
| 必要なユーザ権限 | |
|---|---|
| テナントの秘密を破棄する | 「暗号化鍵の管理」 |
組織のセキュリティポリシーを参照して、テナントの秘密をローテーションする頻度を決定します。本番組織では 24 時間ごとに、Sandbox 環境では 4 時間ごとにローテーションできます。
鍵派生関数では主秘密が使用されます。主秘密は、Salesforce のメジャーリリース時に毎回ローテーションされます。テナントの秘密をローテーションするまで、暗号化鍵や暗号化されたデータに影響はありません。
-
組織の鍵の状況を確認するには、[設定] に移動し [クイック検索] ボックスを使用してプラットフォームの暗号化設定ページを探します。鍵の状況には [有効]、[アーカイブ済み]、[破棄済み] があります。
- 有効
- 新規または既存のデータを暗号化および復号化する場合に使用される可能性があります。
- アーカイブ済み
- 新しいデータを暗号化できません。鍵が有効であったときにこの鍵を使用して以前に暗号化されたデータを復号化する場合に使用される可能性があります。
- 破棄済み
- データを暗号化および復号化することはできません。鍵が有効であったときにこの鍵を使用して暗号化されたデータを復号化することはできません。この鍵で暗号化したファイルおよび添付ファイルはダウンロードできません。
- [設定] で、[クイック検索] ボックスを使用して [プラットフォームの暗号化] 設定ページを見つけます。
- [新しいテナントの秘密を生成] をクリックします。
-
既存の項目値を新規生成したテナントの秘密で再度暗号化する場合は、Salesforce サポートに問い合わせてください。
API 経由でオブジェクトをエクスポートするか、レコード ID を含むレポートを��行して、更新するデータを取得します。この操作により、暗号化サービスが、最新の鍵を使用して既存のデータを再度暗号化します。