この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Salesforce セキュリティガイド

Salesforce セキュリティガイド
Salesforce のセキュリティの基本
ユーザの認証
ユーザへのデータアクセス権の付与
オブジェクトと項目の共有
Shield Platform Encryption でのデータのセキュリティの強化
暗号化できる項目
暗号化のしくみ
暗号化ポリシーの設定
確定的暗号化を使用した暗号化データの絞り込み
鍵の管理と循環
鍵素材の操作
鍵の循環
テナントの秘密のバックアップ
暗号化カバー率に関する統計情報の取得
データ暗号化の同期
鍵の破棄
鍵管理での多要素認証の義務付け
Bring Your Own Key (BYOK)
キャッシュのみの鍵サービス
キャッシュのみの鍵のしくみ
キャッシュのみの鍵の前提条件と用語
鍵素材の作成およびアセンブル
キャッシュのみの鍵のコールアウト接続の設定
キャッシュのみの鍵のリプレイ検出の追加
キャッシュのみの鍵の接続の確認
キャッシュのみの鍵の破棄
キャッシュのみの鍵の再有効化
キャッシュのみの鍵に関する考慮事項
キャッシュのみの鍵のトラブルシューティング
Shield Platform Encryption のカスタマイズ
暗号化のトレードオフ
組織のセキュリティの監査と監視
リアルタイムイベント監視
Apex および Visualforce 開発のセキュリティガイドライン
API の有効期限のポリシー
PDF

キャッシュのみの鍵のコールアウト接続の設定

指定ログイン情報を使用して、コールアウトのエンドポイントを指定し、エンドポイントから取得する鍵を識別します。
使用可能なエディション: Enterprise Edition、Performance Edition、Unlimited Edition、および Developer Edition。Salesforce Shield または Shield Platform Encryption、およびキャッシュのみの鍵サービスの購入が必要です。
Salesforce Classic および Lightning Experience の両方で使用できます。

必要なユーザ権限
指定ログイン情報を作成、編集、削除する 「アプリケーションのカスタマイズ」
BYOK でキャッシュのみの鍵を許可する 「アプリケーションのカスタマイズ」

および

暗号化鍵の管理
テナントの秘密および顧客が指定した鍵素材を生成、破棄、エクスポート、インポート、アップロード、設定する 「暗号化鍵の管理」
  1. 組織に、Salesforce が生成したか、顧客が指定した有効な「Salesforce のデータ」鍵が少なくとも 1 つあることを確認します。[設定] の [鍵の管理] ページで [テナントの秘密を生成] をクリックすることで、テナントの秘密を作成できます。
  2. [設定] から、[クイック検索] ボックスに「指定ログイン情報」と入力し、[指定ログイン情報] を選択します。

    指定ログイン情報では認証済みコールアウトメカニズムが提供されます。Salesforce はこれを使用して鍵素材を取得できます。指定ログイン情報は Salesforce で許可リストに登録されるため、Salesforce の外部に保存された鍵素材のセキュアで便利なチャネルになります。

    指定ログイン情報の詳細、定義方法、および認証設定へのアクセス権の付与方法については、Salesforce ヘルプを参照してください。

    ヒント

  3. 指定ログイン情報を作成します。Salesforce が鍵素材の取得に使用できる HTTPS エンドポイントを指定します。
  4. [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[高度な設定] を選択します。
  5. [キャッシュのみの鍵を許可] を選択します。
    キャッシュのみの鍵サービスをプログラムで有効にすることもできます。詳細は、『メタデータ API 開発者ガイド』「EncryptionKeySettings」を参照してください。

    [キャッシュのみの鍵を許可] の選択を解除すると、キャッシュのみの鍵素材で暗号化されたデータは暗号化されたままになり、Salesforce は引き続きセキュアなコールアウトを呼び出します。ただし、キャッシュのみの鍵の設定変更や新規追加はできません。キャッシュのみの鍵を使用しない場合は、鍵素材を循環させて顧客が指定した (BYOK) 鍵素材を使用します。その後で、すべてのデータを同期してから [キャッシュのみの鍵を許可] の選択を解除します。

    メモ

  6. [設定] から、[クイック検索] ボックスに「プラットフォームの暗号化」と入力し、[鍵の管理] を選択します。
  7. [テナントの秘密種別] ドロップダウンから鍵種別を選択します。
  8. [Bring Your Own Key] を選択します。
  9. [証明書の選択] ドロップダウンから BYOK 互換の証明書を選択します。
  10. [キャッシュのみの鍵の使用] を選択します。
  11. [一意の鍵識別子] に、KID (データ暗号化鍵の一意の鍵識別子) を入力します。識別子は、数値、文字列 (2018_data_key など)、または UUID (982c375b-f46b-4423-8c2d-4d1a69152a0b など) にできます。
  12. [指定ログイン情報] ドロップダウンで、鍵に関連付けられている指定ログイン情報を選択します。指定ログイン情報ごとに複数の鍵を関連付けることができます。
    [鍵の管理] ページで、キャッシュのみの鍵のコールアウト接続を設定します。

    Salesforce が指定ログイン情報で指定されたエンドポイントへの接続を確認します。エンドポイントにアクセスできる場合、[一意の鍵識別子] に指定された鍵が有効な鍵になります。暗号化ポリシーで暗号化対象としてマークされたデータはすべて、キャッシュのみの鍵で暗号化されます。

    指定されたエンドポイントにアクセスできない場合、接続のトラブルシューティングに役立つエラーが表示されます。

[鍵の管理] ページで、キャッシュのみの鍵の状況は「取得済み」として記録されます。Enterprise API では、TenantSecret Source 値が Remote としてリストされます。

設定変更履歴で鍵の設定のコールアウトを監視できます。有効またはアーカイブされたキャッシュのみの鍵へのコールアウトが成功すると、設定変更履歴に「有効」状況が記録されます。設定変更履歴では個々のコールアウトは監視されません。

ヒント