Salesforce セキュリティガイド
jShield Platform Encryption の一般的な考慮事項
| アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。 |
| Salesforce Classic および Lightning Experience の両方で使用できます。 |
リード
リードとケースの割り当てルール、ワークフロールール、および入力規則は、リード項目が暗号化されていても正常に機能します。リードのインポート中のレコードの照合と重複排除は、確定的暗号化では機能しますが、確率的暗号化では機能しません。Einstein リードスコアリングは使用できません。
Apex のリードの取引開始は正常に機能しますが、PL-SQL ベースのリードの取引開始はサポートされていません。
フローとプロセス
フローとプロセスのほとんどの場所で、暗号化項目を参照できます。ただし、次の絞り込みまたは並び替えのコンテキストでは、暗号化項目を参照できません。
| ツール | 絞り込みの有効性 | 並び替えの有効性 |
|---|---|---|
| プロセスビルダー | [レコードを更新] アクション | なし |
| Flow Builder |
レコード選択肢セットリソース レコードを取得要素 レコードの削除要素 レコード更新要素 |
レコード選択肢セットリソース レコードを取得要素 |
変数に暗号化項目の値を保存し、フローのロジックでその値を操作できます。暗号化項目の値を更新することもできます。
- ユーザがフローを一時停止する
- フローが一時停止要素を実行する
- プロセスがスケジュール済みアクションの実行を待機している
Next Best Action Recommendations
確率的暗号化を使用する場合、おすすめを読み込むための条件を指定するときに [おすすめの説明] などの暗号化項目は使用できません。
カスタム項目
条件に基づく共有ルールでは、暗号化されたカスタム項目は使用できません。
一部のカスタム項目は暗号化できません。
- [一意] あるいは [外部 ID] 属性のある項目、または以前に暗号化されたカスタム項目に基づいてこれらの属性が含まれる項目 (確率的暗号化スキームを使用する項目にのみ適用されます)
- 外部データオブジェクトの項目
- 取引先と取引先責任者のリレーションで使用されている項目
スキーマビルダーを使用して暗号化カスタム項目を作成することはできません。
Shield Platform Encryption はカスタムメタデータ型には使用できません。
SOQL/SOSL
- 確率的暗号化スキームを使用して暗号化された項目を、次の SOQL や SOSL の句および関数に含めることはできません。
- MAX()、MIN()、COUNT_DISTINCT() などの集計関数
- WHERE 句
- GROUP BY 句
- ORDER BY 句
SOQL および SOSL と確定的暗号化との互換性については、Salesforce ヘルプの「確定的暗号化を使用する場合の考慮事項」を参照してください。
- 暗号化データを照会すると、予測されるMALFORMED_QUERY ではなく、無効な文字列によって INVALID_FIELD エラーが返されます。
Pardot
Pardot では、Pardot インスタンスがいくつかの条件を満たしている場合に限り、Shield Platform Encryption によって暗号化された連絡先メールアドレスをサポートします。組織は、同一メールアドレスの複数のプロスペクトを許可する必要があります。この機能が有効化されると、連絡先メールアドレス項目を暗号化ポリシーに追加できます。
連絡先メールアドレスは権限オブジェクトに表示されるため、ユーザにプロスペクトオブジェクトを参照する権限が必要です。
連絡先メールアドレス項目を暗号化する場合、Salesforce-Pardot コネクタはプロスペクトの 2 番目の一致基準としてメールアドレスを使用できません。詳細については、「Salesforce-Pardot コネクタの設定」を参照してください。
ポータル
組織でポータルが有効になっている場合、標準項目を暗号化することはできません。すべてのカスタマーポータルとパートナーポータルを無効にして、標準項目の暗号化を有効にします (コミュニティはサポートされています)。
カスタマーポータルを無効にするには、[設定] のカスタマーポータル設定ページに移動します。パートナーポータルを無効にするには、[設定] のパートナーページに移動します。
Salesforce B2B Commerce
Shield Platform Encryption では、Salesforce B2B Commerce 管理パッケージのバージョン 4.10 以降をサポートしています (一部の動作には違いがあります)。考慮事項の完全なリストは、「B2B Commerce 向け Shield Platform Encryption」を参照してください。
検索
鍵を使用して項目を暗号化し、その後鍵を破棄しても、対応する検索語は検索インデックスに残ります。ただし、破棄した鍵に関連付けられたデータは復号化できません。
取引先、個人取引先、および取引先責任者
- 名前
- 説明
- 電話
- Fax
- 名前
- 説明
- 住所(郵送先)
- 電話
- Fax
- モバイル
- 自宅電話
- その他の電話
- メール
[取引先名] または [取引先責任者名] 項目が暗号化されている場合、マージ対象の重複する取引先または取引先責任者を検索しても、結果が返されません。
取引先責任者の [名] または [姓] 項目を暗号化すると、名または姓で絞り込んでない場合にのみカレンダーの招待のルックアップにその取引先責任者が表示されます。
メール不達処理
不達処理では、暗号化されたメールアドレスがサポートされません。メール不達処理が必要な場合は、標準の [メール] 項目を暗号化しないでください。
活動の件名
大文字と小文字を区別しない暗号化を使用して、[活動の件名] 項目を暗号化できます。項目を暗号化する鍵素材を破棄すると、項目の絞り込みで一致が表示されません。
[活動の件名] 項目を暗号化し、その項目がカスタムの選択リストで使用されている場合は、その値に対して削除および置換アクションは使用できません。選択リストから [活動の件名] 値を削除するには、その値の選択を解除します。
本番組織の Sandbox コピーを作成するとき、OrgID が含まれる [活動の件名] 項目はコピーされません。
Salesforce for Outlook
Salesforce for Outlook のデータセットの検索条件と同じ項目を暗号化すると、Salesforce for Outlook は同期しません。Salesforce for Outlook が再び同期するようにするには、暗号化された項目をデータセットの検索条件から削除します。
キャンペーン
暗号化項目で検索する場合、キャンペーンメンバーの検索はサポートされません。
メモ
新しいメモツールで作成されたメモの本文テキストは暗号化できます。ただし、古いメモツールで作成されたプレビューファイルおよびメモはサポートされません。
項目監査履歴
以前にアーカイブされた項目監査履歴のデータは、プラットフォームの暗号化を有効にしても暗号化されません。たとえば、組織で項目監査履歴を使用して、電話番号項目などの取引先項目に対してデータ履歴保持ポリシーを定義するとします。その項目の暗号化を有効にすると、新しい電話番号レコードが作成時に暗号化されます。[取引先履歴] 関連リストに保存された電話番号項目への以前の更新も暗号化されます。ただし、FieldHistoryArchive オブジェクトにアーカイブ済みの電話番号履歴データは、暗号化されずに保存されます。以前にアーカイブしたデータを暗号化するには、Salesforce にお問い合わせください。
コミュニティ
[取引先名] 項目を暗号化し、個人取引先を使用していない場合は、暗号化によってシステム管理者に対するユーザのロールの表示方法に影響します。通常、コミュニティユーザのロール名は、ユーザの取引先名とユーザプロファイル名の組み合わせで表示されます。[取引先名] 項目を暗号化すると、取引先名の代わりに取引先 ID が表示されます。
たとえば、[取引先名] 項目が暗号化されていない場合、「Acme」という取引先に属し、「カスタマーユーザ」プロファイルを使用するユーザには、[Acme カスタマーユーザ] というロールが設定されます。[取引先名] 項目が暗号化されている (かつ個人取引先が使用されていない) 場合は、[001D000000IRt53 カスタマーユーザ] のようなロールが表示されます。
データインポートウィザード
データインポートウィザードを使用して、主従関係を使用する照合や、確率的暗号化スキームを使用する項目を含むレコードの更新を行うことはできません。ただし、新しいレコードを追加することはできます。データインポートウィザードは、確定的暗号化スキームを使用して暗号化されたデータと互換性があります。データインポートウィザードを使用して暗号化データを本番組織にインポートする前に、Sandbox 環境でこのウィザードをテストすることをお勧めします。
レポート、ダッシュボード、およびリストビュー
- 暗号化項目の値を表示するレポートグラフおよびダッシュボードコンポーネントが、暗号化されていない状態でキャッシュされることがあります。
- 暗号化されたデータを含む項目でリストビューのレコードを並び替えることはできません。
Chatter の暗号化
リッチパブリッシャーアドオンを使用して Chatter フィードにカスタムコンポーネントを埋め込むと、そのアドオンに関連するデータはエンコードされますが、Shield Platform Encryption サービスで暗号化されません。リッチパブリッシャーアドオンで暗号化されないデータとして、拡張 ID、テキスト表現、サムネイル URL、タイトル、およびペイロードバージョン項目に保存されたデータがあります。
重複管理で使用されるカスタム一致ルールの暗号化
カスタム一致ルールは、確定的暗号化スキームで暗号化された項目のみを参照できます。確率的暗号化はサポートされません。鍵を循環する場合、暗号化項目を参照するカスタム一致ルールを無効化してから再有効化する必要があります。鍵素材の更新後にこのステップを実行しないと、一致ルールはすべての暗号化データを検出しません。
Shield Platform Encryption を使用する項目を含む標準一致ルールは、重複を検出しません。標準一致ルールに含まれる項目を暗号化する場合は、標準ルールを無効にします。
サービス保護は、システム全体で負荷が分散されるようにします。マッチングサービスでは、すべての一致が最大 200 件見つかるまで一致候補が検索されます。Shield Platform Encryption では、サービス検索での候補の最大数は 100 件です。暗号化を使用している場合、検出される重複の可能性があるレコードの数が少なくなったり、まったく検出されなかったりすることがあります。
重複ジョブはサポートされません。
セルフサービスバックグラウンド暗号化
セルフサービスバックグラウンド暗号化では、7 日ごとに 1 回、データを暗号化できます。この制限には、[暗号化��計およびデータ同期] ページから開始された同期プロセス、項目に対する暗号化を無効化すると自動的に実行される同期、お客様の要求により Salesforce カスタマーサポートが実行する同期が含まれます。
- オブジェクトのレコード数が 1,000 万を超えている
- 組織の鍵素材が破棄されている
- オブジェクトのデータがすでに同期されている
- 同期プロセスが、お客様によって、またはお客様の要求により Salesforce カスタマーサポートによって開始され、すでに実行中である
- 統計情報が収集されている
- 暗号化ポリシーの変更 (項目またはデータ要素に対する暗号化の有効化など) が処理中である
一般情報
- 暗号化項目は、以下では使用できません。
- 条件に基づく共有ルール
- 類似商談検索
- 外部参照関係
- 確率的暗号化スキームを使用して暗号化された項目は、データ管理ツールの検索条件に使用できません。絞り込みを保持した確定的暗号化特有の考慮事項については、「確定的暗号化を使用する場合の考慮事項」を参照してください。
- Web-to-ケースはサポートされていますが、[Web 会社名]、[Web メール]、[Web 氏名]、[Web 電話] 項目は保存時に暗号化されません。