本記事は、Trailheadモジュール「Salesforce Data Mask」の覚え書きです。

trailhead.salesforce.com

salesforce データマスク管理おパッケージを使用して、sandbox の機密データを保護する話。 spring20 だか winter 20 で出てたネタだったかな？ と思ったらリリースノートにspring' 20とある。 releasenotes.docs.salesforce.com

導入の大まかな流れが Field Service Lighting のパッケージと同じ。

Understand the Importance of Data Privacy

• 広範な新しいプライバシー規制：GDPR, CCPA。本番環境はプライバシーのリークに継続的に精査されるが sandbox は優先度が低い。扱いが雑。
• データマスキング：ユーザーインターフェイスで機密データを表示したり、プレーンテキストとしてエクスポートしたりすることを防ぐ。
• データの暗号化：データセンターに保存されている機密データにアクセスしたり、データとやり取りしたりすることを防ぐ。
• サンドボックスデータ用の特別なツールがない → データ保護のためにリソースをかなり費やすハメになる。

Get to Know Salesforce Data Mask

• データマスク：プラットフォーム固有の難読化技術を使用して、サンドボックス(full と Partial が対象。sandbox作成時に本番からデータを引っ張ってこれるため)内の機密データをマスク。
• データマスクは管理パッケージ。Unlimited、Performance、またはEnterprise本番組織。データがマスクされたら解除不可。つまり不可逆。
  ランダムな値にしたり、使い慣れた値に変えたり、値を削除したりする。間違えたら sandbox を再構築すればOK.

Install and Configure Salesforce Data Mask

• 管理パッケージ：データマスクを利用するには、本番環境にて特定の機能を有効化→ユーザに権限を与える
  • 本番環境にて特定の機能：マイドメイン、Lightning Experience、拡張メール、Chatter
  • ユーザの条件：
    • プロファイルの権限：「API の有効化」、「すべてのデータの編集」にチェックあり
    • プロファイルがシステム管理者？？？(カスタムプロファイルはダメってことか？)
    • 権限セットライセンス「Data Mask」を割り当て
    • 権限セット「Data Mask」を割り当て (インストールした管理パッケージ内に定義されているとか
• マスキングの構成：本番(sandbox作成 or 更新時)、sandbox(既存データに対し実施) どちらでもOK
• データをランダムではあるが認識可能なデータで置き換える場合：フィールドをライブラリのフィールドにマップします。
• マスクジョブの実行：同じマスク構成の一部としてデータを置換および削除できる。

モジュール実施当時、データマスクの利用条件の説明が端折られていたり、リソースにある使用方法のヘルプが英語しかないって言う・・・・。
https://help.salesforce.com/articleView?id=data_mask_install.htm
管理パッケージそのものに関しては大変便利そうではある。