ISVforce ガイド
j安全ではない方法による機密データの保存
Salesforce Platform からデータをエクスポートする場合、およびプラットフォームに秘密データを保存する場合は、企業のセキュリティ標準に従います。
機密データを安全に保存しないと、ハッカーが多くの方法で脅威を与えることができます。たとえば、API キーを把握することになっている人物は、組織のシステム管理者に限定されています。ハッカーは、暴いたキーを使用して、データを管理チャネル経由でリモートエンドポイントに送信できます。
Salesforce は、ソリューションで生じたデータへの脅威を深刻に受け止めています。ソリューションの脆弱性によってデータの侵害や消失が発生すれば、ユーザと Salesforce の関係に支障をきたすことになります。
次の場合は、「Storing Sensitive Data (機密データの保存)」に記載されている企業の標準に従ってください。
- Salesforce Platform から顧客データをエクスポートする。
- 暗号鍵、セッション ID、パスワードなどの秘密を Salesforce Platform に保存する。
メタデータの例
この例のメタデータは、カスタムオブジェクトを表しています。このカスタムオブジェクト定義は、API キー項目の <visibility> タグが Public に設定されているため安全ではありません。この項目は、プレーンテキストで表示できます。
1<CustomObject xmlns="http://soap.sforce.com/2006/04/metadata">
2 <fields>
3 <fullName>apiKey__c</fullName>
4 <externalId>false</externalId>
5 <fieldManageability>DeveloperControlled</fieldManageability>
6 <label>apiKey</label>
7 <length>50</length>
8 <required>false</required>
9 <type>Text</type>
10 <unique>false</unique>
11 </fields>
12 <label>Phone Verify Setting</label>
13 <pluralLabel>Phone Verify Settings</pluralLabel>
14 <visibility>Public</visibility>
15</CustomObject>API キーなどの秘密をカスタムオブジェクトに保存するときは、秘密を暗号化します。暗号鍵は、保護されたカスタム設定、または保護されたカスタムメタデータ API 項目に別途保存してください。