この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
暗号化できる項目
暗号化のしくみ
暗号化ポリシーの設定
確定的暗号化を使用した暗号化データの絞り込み
鍵の管理と循環
鍵素材の操作
鍵の循環
テナントの秘密のバックアップ
暗号化カバー率に関する統計情報の取得
データ暗号化の同期
鍵の破棄
鍵管理での多要素認証の義務付け
Bring Your Own Key (BYOK)
キャッシュのみの鍵サービス
キャッシュのみの鍵のしくみ
キャッシュのみの鍵の前提条件と用語
鍵素材の作成およびアセンブル
キャッシュのみの鍵のコールアウト接続の設定
キャッシュのみの鍵のリプレイ検出の追加
キャッシュのみの鍵の接続の確認
キャッシュのみの鍵の破棄
キャッシュのみの鍵の再有効化
キャッシュのみの鍵に関する考慮事項
キャッシュのみの鍵のトラブルシューティング
Shield Platform Encryption のカスタマイズ
暗号化のトレードオフ
組織のセキュリティの監視
リアルタイムイベントモニタリング
Apex および Visualforce 開発のセキュリティガイドライン
PDF

キャッシュのみの鍵の前提条件と用語

Shield Platform Encryption のキャッシュのみの鍵サービスでは、鍵素材をより詳細に制御できます。キャッシュのみの鍵を使用すると、より多くの鍵の管理タスクを制御できます。サービスの使用を開始する前に、Salesforce の BYOK サービスと互換性のある方法で鍵素材を作成およびホストする方法を理解します。

前提条件

  1. Salesforce 組織を準備します。組織に、Salesforce が生成したか、顧客が指定した有効な「Salesforce のデータ」鍵が少なくとも 1 つあることを確認します。[設定] の [鍵の管理] ページで [テナントの秘密を生成] をクリックすることで、テナントの秘密を作成できます。

  2. 鍵素材を生成してホストします。キャッシュのみの鍵の交換プロトコルと形式では、鍵が所定の JSON Web Encryption (JWE) でラップされている必要があります。この形式では、鍵の暗号化に RSAES-OAEP、��ンテンツの暗号化に AES GCM を使用します。

    鍵素材の生成、保存、バックアップにはセキュアで信頼できるサービスを使用します。

  3. 信頼できる高可用性の鍵サービスを使用および維持します。受け入れ可能なサービスレベル契約 (SLA)、事前定義されたメンテナンス手順、ビジネス継続性へのあらゆる潜在的な影響を軽減するプロセスを備えた高可用性の鍵サービスを選択します。

    Salesforce と鍵サービス間の接続が切断されると、キャッシュのみの鍵サービスは、鍵素材がキャッシュ内にある限り、データの暗号化と復号化ができます。ただし、鍵がキャッシュ内にある時間はそれほど長くありません。キャッシュは 72 時間ごとに定期的に消去されますが、一部の Salesforce 操作では 24 時間ごとにキャッシュが消去されます。

    鍵素材がキャッシュ内になく、鍵サービスとの接続が切断された場合、ユーザはレコードの暗号化と復号化ができません。Salesforce がいつでも接続できる鍵サービスを必ず使用してください。これは、年度末や四半期末のような繁忙期には特に重要です。

  4. セキュアなコールアウトエンドポイントを維持します。キャッシュのみの鍵の交換プロトコルでは、鍵が所定の JSON 形式でラップされている必要があります。鍵応答内のラップされた鍵を Salesforce が要求できる場所でホストします。

    キャッシュのみの鍵サービスは、指定ログイン情報を使用して、許可された IP アドレスとドメインへのセキュアな認証済み接続を確立します。広く使われている認証形式 (Mutual TLS や OAuth など) を使用するように指定ログイン情報を設定できます。これらの認証プロトコルはいつでも変更できます。

  5. 鍵サービスログにエラーがないか能動的に監視します。Salesforce では Shield Platform Encryption サービスに関する支援はできますが、鍵素材のホストに使用する高可用性の鍵サービスはお客様の責任で維持する必要があります。RemoteKeyCalloutEvent オブジェクトを使用してキャッシュのみの鍵イベントを確認または追跡できます。

    鍵素材のセキュリティ保護とバックアップは、鍵を管理するお客様の責任で行います。暗号化鍵キャッシュの外部に保存されている鍵素材が失われると、Salesforce は鍵を取得できません。

    警告

  6. 鍵素材の形式設定とアセンブルの方法を理解します。Salesforce の外部にホストされている鍵素材の形式は、キャッシュのみの鍵サービスと互換性のある方法で設定します。次のコンポーネントを必要な形式で生成できるようにします。
    表 1. キャッシュのみの鍵コンポーネント
    コンポーネント 形式
    データ暗号化鍵 (DEK) AES 256 ビット
    コンテンツ暗号化鍵 (CEK) AES 256 ビット
    BYOK 互換の証明書 派生した組織固有のテナントの秘密鍵で非公開鍵が暗号化されている、4096 ビット RSA 証明書
    JSON Web Encryption コンテンツおよびヘッダー GitHub のサンプルを参照
    CEK を暗号化するためのアルゴリズム RSA-OAEP
    DEK を暗号化するためのアルゴリズム A256GCM
    一意の鍵識別子 数字、大文字、小文字、ピリオド、ハイフン、下線を使用可能
    初期化ベクトル base64url でエンコード
    JSON Web トークン ID (JTI) 128 ビット 16 進数でエンコードされ、ランダムに生成された識別子

鍵素材のアセンブルについての詳細は、「キャッシュのみの鍵の生成とアセンブル]」セクションを参照してください。例とサンプルユーティリティについては、GitHub のキャッシュのみの鍵ラッパーも参照してください。

用語

キャッシュのみの鍵サービスでは、次のような固有の用語が使用されます。

コンテンツ暗号化鍵
鍵サービスのエンドポイントは、鍵要求ごとに一意のコンテンツ暗号化鍵を生成します。コンテンツ暗号化鍵は、データ暗号化鍵をラップし、データ暗号化鍵は鍵暗号化鍵で暗号化され、鍵応答の JWE ヘッダーに配置されます。
JSON Web Encryption
Shield Platform Encryption サービスがコンテンツの暗号化に使用する JSON ベースの構造。JSON Web Encryption (JWE) は、鍵の暗号化に RSAES-OAEP、コンテンツの暗号化に AES GCM を使用します。
JSON Web トークン ID
JSON Web トークンの一意の識別子。JSON Web トークンは、ID およびセキュリティ情報をセキュリティドメイン全体で共有できるようにします。
鍵識別子
鍵 ID (KID) は鍵の一意の識別子です。KID は、指定ログイン情報でサフィックスとして使用され、応答内の KID の検証に使用されます。[設定] で、[一意の鍵識別子] 項目にこの識別子を入力します。