この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield プラットフォームの暗号化で Salesforce データを保護
項目およびファイルの暗号化
Shield Platform Encryption の管理
暗号化のしくみ
独自の鍵を使用できるか?
暗号化可能な項目
暗号化されたファイル
権限
マスクされたデータ
暗号化フロー
バックグラウンド: 検索インデックスの暗号化のプロセス
リリース
Sandbox
用語
従来の暗号化
暗号化のベストプラクティス
暗号化のトレードオフ
組織のセキュリティの監視
Apex および Visualforce 開発のセキュリティガイドライン
PDF

バックグラウンド: Shield プラットフォームの暗号化のプロセス

ユーザがデータを送信する場合、アプリケーションサーバは、そのキャッシュから組織固有のデータ暗号化鍵を検索します。キャッシュにない場合、アプリケーションサーバは、データベースから暗号化されたテナントの秘密を取得し、鍵派生サーバに鍵の派生を要求します。次に、暗号化サービスにより、アプリケーションサーバでデータが暗号化されます。
アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。
Salesforce Classic および Lightning Experience の両方で使用できます。

Salesforce は、ハードウェアセキュリティモジュール (HSM) を使用して、主秘密およびテナントの秘密を安全に生成します。一意の鍵は、主秘密およびテナントの秘密を入力として、鍵派生関数 (KDF) の PBKDF2 を使用して派生します。

Shield プラットフォームの暗号化のプロセスフロー 暗号化のアーキテクチャとプロセスフロー。
  1. Salesforce ユーザが暗号化されたデータを保存すると、ランタイムエンジンはメタデータに基づいて、項目、ファイル、または添付ファイルをデータベースに保存する前に暗号化するかどうかを判断します。
  2. 暗号化する必要がある場合、暗号化サービスはキャッシュメモリの一致するデータ暗号化鍵をチェックします。
  3. 暗号化サービスは���が存在するかどうかを判断します。
    1. 存在する場合、暗号化サービスは鍵を取得します。
    2. 存在しない場合、サービスは派生要求を鍵派生サーバに送信し、App Cloud で実行されている暗号化サービスに返します。
  4. 鍵の取得または派生後に、暗号化サービスはランダムな初期化ベクトル (IV) を生成し、256 ビットの AES 暗号方式を使用してデータを暗号化します。
  5. 暗号文は、データベースまたはファイルストレージに保存されます。データ暗号化鍵の派生に使用されたテナントの秘密の IV と対応する ID は、データベースに保存されます。

Salesforce は、各リリースの開始時に新しい主秘密を生成します。