フィールド暗号化 の探索
フィールド暗号化 Starter と フィールド暗号化エンタープライズ の詳細について説明します。
暗号化に基づくアクセス制御
デフォルトでは、 フィールド暗号化 はすべてのユーザー、スクリプト、およびシステムプロセスが暗号化されたデータにアクセスするのをブロックします。ただし、 フィールド暗号化 には、正しいユーザー、スクリプト、またはシステムプロセスのみが暗号化されたデータにアクセスできるようにするために、アクセス制御リスト (ACL) と組み合わせて使用されるアクセス制御機能があります。
フィールド暗号化モジュール、暗号化フィールド設定、およびモジュールアクセスポリシー (MAP) を組み合わせてフィールド暗号化アクセスコントロール機能を設定できます。次の画像は、これら 3 つのコンポーネントがどのように連携するかを示しています。
デフォルトでは、暗号化されたデータはすべてのアクセスからロックダウンされます。MAP は、データへのアクセスを許可できるアクセサー (ユーザー、スクリプト、およびシステムプロセス) を定義します。
複数の MAP を設定して、異なる暗号化フィールドに異なるアクセス ルールを適用できます。この図では、モジュールアクセスポリシー A が列 A、B、C、D をカバーし、モジュールアクセスポリシー B が列 E をカバーしており、それぞれにアクセサーごとに独自のルールがあります。
アクセスルールは、アクセサータイプごとに 2 つのポリシー間で異なる場合があります。次の表は、列A、B、C、Dに適用されるモジュールアクセスポリシーAと、列Eに適用されるモジュールアクセスポリシーBに定義されたアクセスルールを反映しています。
| アクセサー | マップ 列 A、B、C、D |
マップ B 列 E |
|---|---|---|
| ロール A | 許可 | ブロック |
| ロール B | 許可 | ブロック |
| ロール C | ブロック | 許可 |
| スクリプト A | 許可 | ブロック |
| スクリプト B | ブロック | ブロック |
| スクリプト C | ブロック | 許可 |
| システムコンテキストプロセス | ブロック | 許可 |
フィールド暗号化 Starter と フィールド暗号化エンタープライズ の違い
機能セットは、フィールド暗号化 Starter と フィールド暗号化エンタープライズ で異なります。
| 機能 | フィールド暗号化 Starter | フィールド暗号化エンタープライズ |
|---|---|---|
| 暗号化フィールドの数 | 最大 5 つの暗号化フィールド 注: フィールド暗号化 スターターは、暗号化モジュールまたはコンテキストではなく、暗号化フィールドの数を制限します。 フィールド暗号化 は、モジュールとコンテキストベースの制限を使用して廃止された 列レベル暗号化 製品に代わるものです。 |
暗号化フィールドの数に制限なし |
| 添付ファイルの暗号化 | いいえ | はい |
| キー管理 | なし (キーローテーションについては、ServiceNow サポートにお問い合わせください) | ServiceNow サポートの関与なしでインスタンスからキーを管理する |
| サポートされるデータ型 | サポートされるすべてのデータ型 | サポートされるすべてのデータ型 |
| フィールド暗号化モジュールの数 | 制限なし | 制限なし |
| モジュールアクセスポリシーの数 | 制限なし | 制限なし |
フィールド暗号化 ユーザー
| ユーザー | 説明 |
|---|---|
| キー管理フレームワーク (KMF) アドミンまたは KMF 暗号化マネージャー | これらのロールは、フィールド暗号化の要素を構成するために使用されます。
|
| KMF 暗号化演算子 | 顧客指定のキーのプロパティを設定します |
フィールド暗号化 およびレコード履歴
フィールド暗号化で暗号化されたフィールドへの変更は、レコードのアクティビティストリームやレコード履歴 [sys_history_set] テーブルでは追跡されません。
システムテーブルの暗号化
フィールド暗号化は現在、システムテーブル (sys_ で始まるテーブル) のフィールドと添付ファイルの暗号化をサポートしていません。