Salesforce セキュリティガイド
jBYOK を使用した鍵派生の除外
Shield Platform Encryption でデータ暗号化鍵を派生させない場合は、鍵派生を除外し、独自に最終的なデータ暗号化鍵をアップロードできます。鍵派生を除外すると、データの暗号化と復号化に使用される鍵素材を、さらに細かく制御できます。
| アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。 |
| Salesforce Classic および Lightning Experience の両方で使用できます。 |
| 必要なユーザ権限 | |
|---|---|
| テナントの秘密および顧客が指定した鍵素材を生成、破棄、エクスポート、インポート、アップロードする | 「暗号化鍵の管理」 |
| BYOK による鍵派生の除外を許可する | 「アプリケーションのカスタマイズ」 および 「暗号化鍵の管理」 |
選択した方法を使用して、顧客が指定したデータ暗号化鍵を生成します。次に、鍵の SHA256 ハッシュを計算し、BYOK 互換の証明書からの公開鍵を使用して暗号化します。顧客が指定した鍵素材の準備方法についての詳細は、「BYOK テナントの秘密のアップロード」を参照してください。
- 組織で Bring Your Own Keys 機能が有効化されていることを確認します。この機能を有効にするには、Salesforce カスタマーサポートにご連絡ください。
- [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[高度な設定] を選択します。
-
[BYOK による鍵派生の除外を許可] を有効にします。
[BYOK による鍵派生の除外を許可] 設定をプログラムで有効にすることもできます。詳細は、『メタデータ API 開発者ガイド』の「EncryptionKeySettings」を参照してください。これで鍵素材をアップロードするときに鍵派生を除外できるようになります。
- [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[鍵の管理] を選択します。
- [Bring Your Own Key] をクリックします。
-
[Salesforce 鍵派生を使用] の選択を解除します。
![[Salesforce 鍵派生を使用] オプションのオフ](https://developer.salesforce.com/docs/resources/img/ja-jp/230.0?doc_id=images%2Fkey_derivation_opt_out.jpg&folder=securityImplGuide)
- [テナントの秘密をアップロード] セクションで、暗号化されたデータの暗号化鍵とハッシュされたプレーンテキストデータの暗号化鍵の両方を添付します。
-
[アップロード] をクリックします。
このデータ暗号化鍵は自動的に有効な鍵になります。
![[鍵の管理] ページで鍵派生の状況を確認](https://developer.salesforce.com/docs/resources/img/ja-jp/230.0?doc_id=images%2Fkey_material_derivation_status.png&folder=securityImplGuide)
これ以降、Shield 鍵管理サービス (KMS) は派生プロセスをスキップし、データ暗号化鍵を使用してデータの暗号化と復号化を直接行います。すべての鍵素材の派生状況は、[鍵の管理] ページで確認できます。 -
データ暗号化鍵をエクスポートし、組織のセキュリティポリシーで規定された方法でバックアップします。
データ暗号化鍵を復元するには、再インポートします。エクスポートされた暗号化鍵は、アップロードしたデータ暗号化鍵とは異なります。異なる鍵で暗号化されていて、追加のメタデータが埋め込まれています。Salesforce ヘルプの「テナントの秘密のバックアップ」を参照してください。