Skip to main content
From 16:00 UTC on January 17, 2026, to 20:00 UTC on January 17, 2026, we will perform planned maintenance on the Trailhead, myTrailhead, and Trailblazer Community sites. During the maintenance, these sites will be unavailable, and users won't be able to access them. Please plan your activities around this required maintenance.

Shield Platform Encryption の計画

学習の目的

この単元を完了すると、次のことができるようになります。

  • Shield Platform Encryption の主な機能を挙げる。
  • Shield Platform Encryption の要件と前提条件を挙げる。
  • 組織に Shield Platform Encryption を設定するために必要な権限を識別する。
  • ユーザーが組織の情報にアクセスする方法に Shield Platform Encryption が与える影響を説明する。
  • 従来の暗号化と Shield Platform Encryption で利用できる暗号化機能を照らし合わせる。

セキュリティニーズの確認

Calvin は Ernesto のセキュリティレビューを読み、推奨されている要件の一覧に目を通します。

  • 暗号化を設定するための権限と鍵へのアクセスを制限する。
  • すべての機密データ項目、ファイル、ログ、検索に対して AES-256 による保存データの暗号化を適用する。
  • カスタマーエクスペリエンスへの変更は限定的とするか、カスタマーエクスペリエンスは変更しない。

これらの要件を念頭に置き、Calvin は本腰を入れて Shield Platform Encryption の調査に取りかかります。

Calvin が机の前に座り、机にはコンピューターのモニターと山積みの本があります。

Shield Platform Encryption について

数日後、Calvin は Carolyn と会い、Shield Platform Encryption についていろいろと学んだことを伝えます。

Shield Platform Encryption を使用すると、Salesforce Platform に保存時のあらゆる種類の機密データを暗号化できます。「保存時」とは、動きがないか、ファイル、スプレッドシート、標準およびカスタム項目、イベントデータ、さらにデータベースやデータウェアハウスに保存されているデータを意味します。トランザクション型データベースに保存されているあらゆるデータ要素を、単一の設定で暗号化することもできます。

Shield Platform Encryption によって、規制や業界要件を順守していることや、 クラウドの非公開データの保護という契約上の義務を満たしていることを証明できるため、お客様は暗号化の利点を活かすことができます。会社が全体的な暗号化ポリシーを定め、Shield Platform Encryption はそのポリシーへの準拠を支援します。

Calvin は Shield Platform Encryption の高度な暗号化機能を知り、早く Carolyn に知らせたいと考えています。

Salesforce の従来の暗号化と Shield Platform Encryption の比較

Calvin は、Shield Platform Encryption のデータベースの暗号化によりトランザクション型データベース全体、つまりすべての標準項目とカスタム項目へのすべての変更を暗号化できることを知りました。項目レベルの暗号化を使用すると、広く使われている標準項目のさまざまな種別に加えて、いくつかのカスタム項目や多くの種別のファイルを暗号化できます。Shield Platform Encryption は、個人取引先、ケース、検索、承認プロセス、大規模ファイル、添付ファイル、その他の主な Salesforce 機能の暗号化もサポートしています。また、Shield Platform Encryption は Salesforce のより多くのストレージ領域にわたってデータを暗号化できます。従来の暗号化では、暗号化のためだけに作成する特別なカスタムテキスト項目しか保護できません。完全な比較については Salesforce ヘルプの「従来の暗号化と Shield Platform Encryption の違い」を参照してください。

Shield Platform Encryption の機能の確認

従来の暗号化と Shield Platform Encryption は大きく異なります。Calvin は早く Developer Edition 組織を設定してすべてを試したいと思っています。Calvin が後でチームと確認する機能定義セットを一緒にまとめましょう。この表では、どの機能がどの説明に対応しますか?

Shield Platform Encryption の準備

Shield Platform Encryption にはハードウェア要件はありません。暗号化機能は Salesforce Platform 上でネイティブに実行され、カスタムコードは不要です。

何を暗号化すべきかを判断できるように、会社の要件、業界法規、お客様への義務を確認することが重要です。この作業にかかる時間は、組織の規模やアプリケーションの複雑さによって異なります。また、暗号化鍵をどのように管理するかについても早い段階で計画すべきです。鍵をどのくらいの頻度で循環させるか、バックアップをどこに保管するか、それらをどう区別するかなどです。問題が発生した際には、適切な暗号化鍵を利用できることが極めて重要になります。

本番環境で Shield Platform Encryption を使用するには、有効な Shield ライセンスが必要です。(ただし Calvin は Developer Edition 組織で無料で試せるのではないかと考えており、実はそのとおりでした。) . また、Sandbox で Shield Platform Encryption を使用したい場合は、事前に本番組織に Shield をインストールしておく必要があります。次の単元では、Shield Platform Encryption を備えた独自の Developer Edition 組織の作成方法を学びます。ここでは、とりあえず要件を確認しましょう。

Shield Platform Encryption を有効化する: 手順の概要

Shield Platform Encryption の有効化は非常に簡単です。

  1. ライセンスをプロビジョニングします。ライセンスを入手するには、Salesforce にお問い合わせください。(Shield Platform Encryption は Developer Edition 組織に自動的に用意されています。)
  2. 権限を割り当てます。適切な管理者に「アプリケーションのカスタマイズ」および「暗号化鍵の管理」権限権限を付与します。(権限については次のセクションで詳しく説明します。)
  3. 組織の Shield Platform Encryption を有効にします。ライセンスと権限を設定したら、組織でさまざまな Shield Platform Encryption 機能を有効化できます。有効化したら、組織固有のテナントの秘密を作成し、各組織の暗号化設定をカスタマイズできます。

次の単元では、ハンズオン演習で Shield Platform Encryption を有効化します。

Shield Platform Encryption の設定に必要な権限について

Shield Platform Encryption を有効化するには、「Customize Application (アプリケーションのカスタマイズ)」および「Manage Encryption Keys (暗号化鍵の管理)」権限が必要です。暗号化を有効化した後、[暗号化ポリシー] ページで管理タスクを実行する権限をほかのユーザーに付与できます。ただし、通常は限られたユーザーのみが暗号化鍵を管理できるようにします。この表のシナリオを念頭に置いて権限を割り当てます。たとえば、システム管理者である自分には、「設定・定義を参照する」権限を割り当てます。これにより、項目、ファイル、添付ファイル、アプリケーションに対して暗号化機能を有効にできます。

Actions (アクション)

権限

[Platform Encryption (プラットフォームの暗号化)] の設定ページを表示

アプリケーションのカスタマイズ、設定・定義を参照する

[Encryption Policy (暗号化ポリシー)] ページの設定を編集

暗号化鍵の管理、アプリケーションのカスタマイズ

テナントの秘密と顧客が提供した鍵素材を生成、破棄、エクスポート、インポート、アップロード

Manage Encryption Keys (暗号化キーの管理)

API を使用して TenantSecret オブジェクトをクエリ

Manage Encryption Keys (暗号化キーの管理)

Shield Platform Encryption の Bring Your Own Key サービスを使用して HSM 保護された証明書を編集、アップロード、ダウンロード

暗号化鍵の管理、アプリケーションのカスタマイズ、証明書を管理

[Advanced Settings (高度な設定)] ページの機能を有効化

暗号化鍵の管理、アプリケーションのカスタマイズ

Shield Platform Encryption を使用した場合のユーザーエクスペリエンスへの影響の確認

Calvin は、自身の経験から、ユーザーがアプリケーションへの新機能の追加に敏感であることを理解しています。Calvin はこれに着目して、次の 4 点を発見しました。

  • データの可視性: 適切な権限を持つユーザーは暗号化されたデータを表示して操作できますが、権限のないユーザーには暗号化テキスト (ランダムな文字列) として表示されます。
  • 検索とレポート: 暗号化された項目は検索でき、レポートにも含めることができます。データベースの暗号化はこれらの操作に影響しません。ただし項目レベルの暗号化の場合、暗号化設定によっては、暗号化処理のために検索とレポートのパフォーマンスがわずかに影響を受ける可能性があります。
  • コンプライアンスとセキュリティ: 保存データが AES 256 ビット暗号化で保護されているため、ユーザーは強化されたセキュリティとコンプライアンスの恩恵を受けます。
  • ユーザーインターフェース: 全体的な UI はほぼ変わりませんが、暗号化および復号処理の追加によって、暗号化データへのアクセスや処理時にごくわずかな遅延が生じる場合があります。

Calvin はアルファテストとベータテストのグループを実施し、ユーザーが変更にどう反応するかを確認しようと考えています。

リソース

Salesforce ヘルプで Trailhead のフィードバックを共有してください。

Trailhead についての感想をお聞かせください。[Salesforce ヘルプ] サイトから新しいフィードバックフォームにいつでもアクセスできるようになりました。

詳細はこちら フィードバックの共有に進む