Salesforce セキュリティガイド
jキャッシュのみの鍵のリプレイ検出の追加
リプレイ検出は、コールアウトが不正に傍受された場合にキャッシュのみの鍵を保護します。有効化すると、リプレイ検出は、RequestIdentifier という自動生成された一意のマーカーをすべてのコールアウトに挿入します。RequestIdentifier には、鍵識別子、そのコールアウトインスタンス用に生成された nonce、エンドポイントから要求される nonce が含まれます。RequestIdentifier は、有効な各コールアウト要求のランダムな 1 回限りの識別子として機能します。RequestIdentifier を受け入れて返すように鍵サービスを設定すると、RequestIdentifier が欠落または不一致のコールアウトはすべて中止されます。
| 使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition。Salesforce Shield または Shield Platform Encryption、およびキャッシュのみの鍵サービスの購入が必要です。 |
| Salesforce Classic および Lightning Experience の両方で使用できます。 |
| 必要なユーザ権限 | |
|---|---|
| 指定ログイン情報を作成、編集、削除する | 「アプリケーションのカスタマイズ」 |
| キャッシュのみの鍵のリプレイ検出を有効にする | 「アプリケーションのカスタマイズ」 および 「暗号化鍵の管理」 |
| テナントの秘密および顧客が指定した鍵素材を生成、破棄、エクスポート、インポート、アップロード、設定する | 「暗号化鍵の管理」 |
-
コールアウトインスタンス用に生成された nonce を RequestIdentifier から抽出するように鍵サービスを更新します。nonce は次のようになります。
e5ab58fd2ced013f2a46d5c8144dd439
-
JWE で保護されたヘッダ���内に、コンテンツ暗号化鍵の暗号化に使用されるアルゴリズム、データ暗号化鍵の暗号化に使用されるアルゴリズム、キャッシュのみの鍵の一意の ID と一緒に、この nonce をそのまま含めます。次に例を示します。
1{"alg":"RSA-OAEP","enc":"A256GCM","kid":"982c375b-f46b-4423-8c2d-4d1a69152a0b","jti":"e5ab58fd2ced013f2a46d5c8144dd439"} - [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[高度な設定] を選択します。
-
[キャッシュのみの鍵のリプレイ検出を有効化] を選択します。
リプレイ検出をプログラムで有効にすることもできます。詳細は、『メタデータ API 開発者ガイド』の「EncryptionKeySettings」を参照してください。これ以降、外部の鍵サービスへのコールアウトすべてに一意の RequestIdentifier が含まれます。