この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
暗号化できる項目
暗号化のしくみ
用語
Classic 対 Platform Encryption
Shield Encryption フロー
検索インデックスの暗号化フロー
Sandbox
BYOK を使用する理由
マスクされたデータ
リリース
暗号化ポリシーの設定
確定的暗号化を使用した暗号化データの絞り込み
鍵の管理と循環
Shield Platform Encryption のカスタマイズ
暗号化のトレードオフ
組織のセキュリティの監視
リアルタイムイベントモニタリング
Apex および Visualforce 開発のセキュリティガイドライン
PDF

Shield Platform Encryption の用語

暗号化には、独自の特殊な用語があります。Shield Platform Encryption 機能を最大限活用するために、ハードウェアセキュリティモジュール、鍵の循環、主秘密などの重要な用語をよく理解することをお勧めします。
アドオンサブスクリプションとして使用可能なエディション: Enterprise Edition、Performance Edition、および Unlimited Edition。Salesforce Shield の購入が必要です。Summer '15 以降に作成された Developer Edition 組織は無料で使用できます。
Salesforce Classic および Lightning Experience の両方で使用できます。

データの暗号化
データに暗号関数を適用して暗号文にするプロセスです。プラットフォームの暗号化プロセスでは、対称鍵暗号化と 256 ビットの AES (Advanced Encryption Standard) アルゴリズムを使用して、Salesforce Platform に保存されている項目レベルのデータおよびファイルを暗号化します。このアルゴリズムでは、CBC モードおよび 128 ビットランダム初期化ベクトル (IV) が使用されます。データの暗号化と復号化のどちらもアプリケーションサーバで実行されま��。
データ暗号化鍵
Shield Platform Encryption では、データ暗号化鍵を使用してデータを暗号化および復号化します。データ暗号化鍵は、Shield 鍵管理サービス (KMS) で、リリースごとの主秘密と、データベースに暗号化された状態で保存されている組織固有のテナントの秘密に分割された鍵生成素材を使用して抽出されます。256 ビットの派生鍵は、キャッシュから強制削除されるまでメモリ内に存在します。
保存された暗号化データ
ディスクで保持されているときに暗号化されているデータです。Salesforce では、データベースに保存されている項目の暗号化、ファイル、コンテンツ、ライブラリ、および添付ファイルに保存されているドキュメントの暗号化、検索インデックスファイルの暗号化、Einstein Analytics データセットの暗号化、アーカイブデータの暗号化をサポートしています。
暗号化鍵管理
鍵の生成、処理、保存など、鍵管理の各側面を指します。「暗号化鍵を管理」権限を持つシステム管理者またはユーザは、Shield Platform Encryption の鍵素材を操作できます。
ハードウェアセキュリティモジュール (HSM)
認証用の暗号処理および鍵管理を行うために使用します。 Shield Platform Encryption では、秘密の素材を生成して保存したり、暗号化サービスがデータの暗号化や復号化に使用するデータ暗号化鍵を派生する関数を実行したりするために HSM を使用します。
初期化ベクトル (IV)
鍵と併用してデータを暗号化するランダムなシーケンスです。
Shield 鍵管理サービス (KMS)
鍵素材を生成、ラッピング、ラッピング解除、派生、セキュリティ保護します。鍵素材を派生させるときには、Shield KMS は擬似乱数生成機能とパスワードなどの入力を組み合わせて鍵を派生させます。Shield Platform Encryption では、PBKDF2 (パスワードベースの鍵派生関数 2) に HMAC-SHA-256 を使用します。
鍵の循環
新しいテナントの秘密を生成して、それまで有効であったものをアーカイブするプロセスです。有効なテナントの秘密は、暗号化と復号化の両方に使用されます。新しい有効なテナントの秘密を使用してすべてのデータが再暗号化されるまでは、アーカイブされた秘密が復号化にのみ使用されます。
主 HSM
主 HSM は、Salesforce の���リース時に毎回、安全な秘密をランダムに生成するために USB デバイスを使用します。主 HSM は、Salesforce の本番ネットワークから「隔離」されており、銀行の貸金庫に安全に保管されています。
主秘密
テナントの秘密および鍵派生関数と組み合わせて、派生データ暗号化鍵を生成します (お客様は鍵派生を除外できます)。主秘密は Salesforce のリリース時に毎回循環され、リリースごとの主ラッピング鍵を使用して暗号化されます。その後、暗号化された状態でファイルシステムに保存できるように Shield KMS の公開鍵で暗号化されます。これは、HSM でのみ復号化できます。Salesforce の従業員は、クリアテキストのこれらの鍵にアクセスできません。
主ラッピング鍵
対称鍵が派生し、主ラッピング鍵 (鍵ラッピング鍵ともいう) として使用され、リリースごとの鍵と秘密のバンドルをすべて暗号化します。
テナントの秘密
組織固有の秘密で、主秘密および鍵派生関数と組み合わせて、派生データ暗号化鍵を生成します。組織のシステム管理者が鍵を循環すると、新しいテナントの秘密が生成されます。API 経由でテナントの秘密にアクセスする場合は、TenantSecret オブジェクトを参照してください。Salesforce の従業員は、クリアテキストのこれらの鍵にアクセスできません。