この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
暗号化できる項目
暗号化のしくみ
暗号化ポリシーの設定
確定的暗号化を使用した暗号化データの絞り込み
鍵の管理と循環
鍵素材の操作
鍵の循環
テナントの秘密のバックアップ
暗号化カバー率に関する統計情報の取得
データ暗号化の同期
鍵の破棄
鍵管理での 2 要素認証の義務付け
Bring Your Own Key (BYOK)
Bring Your Own Key の概要
BYOK 互換の証明書の生成
BYOK 鍵素材の生成とラッピング
BYOK のテナントの秘密を生成するためのサンプルスクリプト
BYOK テナントの秘密のアップロード
BYOK を使用した鍵派生の除外
BYOK 鍵の適切な管理
Bring Your Own Key のトラブルシューティング
キャッシュのみの鍵サービス
Shield Platform Encryption のカスタマイズ
暗号化のトレードオフ
組織のセキュリティの監視
リアルタイムイベントモニタリング
Apex および Visualforce 開発のセキュリティガイドライン
PDF

Bring Your Own Key のトラブルシューティング

次に紹介するよくある質問を、Shield Platform Encryption の Bring Your Own Key サービスで問題が発生した場合のトラブルシューティングに役立ててください。
アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。
Salesforce Classic および Lightning Experience の両方で使用できます。

提供されたスクリプトを使用しようとしていますが、実行できません。
オペレーティングシステムに適したスクリプトを実行していることを確認します。Windows マシンで作業している場合は、Linux エミュレータをインストールして Linux スクリプトを使用することができます。次の問題によってスクリプトを実行できない場合もあります。
  • スクリプトを実行しようとしているフォルダでの更新権限がない。更新権限を持っているフォルダからスクリプトを実行するようにします。
  • スクリプトが参照する証明書が存在しない。適切に証明書を生成したことを確認します。
  • 証明書が存在しないか、正しい名前で参照されていない。スクリプト内で証明書の正しいファイル名を入力したことを確認します。
提供されたスクリプトを使用したいのですが、独自の乱数ジェネレータも使用する必要があります。
Salesforce が提供するスクリプトでは、乱数ジェネレータを使用して、テナントの秘密として使用するランダムな値を作成します。別のジェネレータを使用する場合は、head -c 32 /dev/urandom | tr '\n' = (Mac バージョンでは head -c 32 /dev/urandom > $PLAINTEXT_SECRET) を、希望するジェネレータを使用して乱数を生成するコマンドに置き換えます。
テナントの秘密をハッシュするために独自のハッシュプロセスを使用したい場合はどうなりますか?
問題ありません。結果が次の要件を満たすようにしてください。
  • SHA-256 アルゴリズムを使用している。
  • base64 でエンコードされたハッシュ済みのテナントの秘密が作成される。
  • 暗号化する前に乱数のハッシュを生成する。
これらの 3 つの条件のいずれかが満たされていない場合は、テナントの秘密をアップロードできません。
テナントの秘密を Salesforce にアップロードする前に、どのように暗号化する必要がありますか?
提供されたスクリプトを使用している場合は、暗号化プロセスは問題なく処理されます。提供されたスクリプトを使用しない場合は、テナントの秘密を暗号化するときに OAEP パディング方式を指定します。暗号化されたテナントの秘密ファイルとハッシュされたテナントの秘密ファイルが base64 を使用してエンコードされているようにします。これらの条件のいずれかが満たされていない場合は、テナントの秘密をアップロードできません。
提供されたスクリプトを使用しない場合は、ヘルプトピック「テナントの秘密の生成とラッピング」の手順に従ってください。
暗号化されたテナントの秘密とハッシュされたテナントの秘密をアップロードできません。
いくつかのエラーによりファイルをアップロードできない場合があります。次の表を使用して、テナントの秘密と証明書に問題がないことを確認してください。
考えられる原因 解決方法
期限切れの証明書を使用してファイルが生成された。 証明書の日付を確認します。期限が切れている場合は、証明書を更新するか、別の証明書を使用できます。
証明書が無効になっているか、有効な Bring Your Own Key 証明書ではない。 証明書の設定に Bring Your Own Key 機能との互換性があることを確認します。[証明書] ページの [証明書と鍵の編集] セクションで、4096 ビット証明書サイズを選択し、エクスポート可能な非公開鍵を無効にし、プラットフォームの暗号化を有効にします。
暗号化されたテナントの秘密とハッシュされたテナントの秘密の両方を添付していない。 暗号化されたテナントの秘密とハッシュされたテナントの秘密の両方を添付していることを確認します。これらの両方のファイルのサフィックスが .b64 になっている必要があります。
テナントの秘密またはハッシュされたテナントの秘密が正しく生成されていない。 このエラーの原因となる問題はいくつかあります。通常は、テナントの秘密またはハッシュされたテナントの秘密が、正しい SSL パラメータを使用して生成されていないことが原因です。OpenSSL を使用している場合は、スクリプトを参照して、テナントの秘密の生成とハッシュに使用する正しいパラメータの例を確認できます。OpenSSL 以外のライブラリを使用している場合は、そのライブラリのサポートページでテナントの秘密の生成とハッシュの両方の正しいパラメータを見つけるためのヘルプ情報を確認してください。

まだ問題が解決しない場合は、Salesforce のアカウントエグゼクティブにお問い合わせください。Salesforce の支援担当者をご紹介します。
まだ鍵に関する問題があります。どこに問い合わせすればよいですか?
まだ質問がある場合は、アカウントエグゼクティブにお問い合わせください。この機能を専門とするサポートチームをご紹介します。