マルチモジュール暗号化フィールド構成の設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • 複数の暗号化モジュールを使用する暗号化フィールド構成を作成します。

    始める前に

    必要なロール:security_admin、sn_kmf.cryptographic_manager または sn_kmf.admin

    ServiceNow または顧客指定のキーを使用してフィールド暗号化モジュールを構成しておく必要があります。モジュールをまだ構成していない場合は、「フィールド暗号化モジュールの構成」を参照してください。

    このタスクについて

    単一の暗号化フィールド構成に複数の暗号化モジュールを使用することで、異なるモジュールキーを使用して列内の異なる行 (または同じテーブルの異なる添付ファイル) を暗号化できます。たとえば、異なるロールを持つユーザーが同じテーブルでデータを暗号化できますが、互いの暗号化されたデータを表示することはできません。

    警告:

    続行する前に、マルチモジュール暗号化フィールド構成に関する次の制限に注意してください。

    • 一括暗号化は、マルチモジュール暗号化フィールド構成ではサポートされていません。
    • フィールド構成をマルチモジュールから単一モジュールに変更することはできません。代わりにマルチモジュールフィールド構成を無効にして、新しい単一モジュールフィールド構成を作成する必要があります。
    • マルチモジュールフィールド構成で使用するモジュールキーは、フィールドにデータを入力する最初のユーザーによって決定します。フィールド暗号化モジュールはレコードごとに設定されるため、リストのフィールドはさまざまなフィールド暗号化モジュールによって暗号化される可能性があります。ただし、1 つのレコード内のフィールドは、1 つのフィールド暗号化モジュールでのみ暗号化できます。

    手順

    1. 暗号化するテーブルと同じアプリケーションスコープ内であることを確認します。
    2. 使用するフィールド暗号化モジュールが作成されていることを確認します。
      まだこのようにしていない場合は、「フィールド暗号化モジュールの構成」を参照してください。
    3. 各モジュールにモジュールアクセスポリシーがあることを確認します。
      まだこのようにしていない場合は、「フィールド暗号化のモジュールアクセスポリシーの構成」を参照してください。
    4. 移動先 すべて > システムセキュリティ > フィールド暗号化 > フィールド暗号化のエクスペリエンス > 構成.
    5. 暗号化フィールドの設定レコードを開くか作成します。
    6. [メソッド] フィールドで [複数モジュール] を選択します。
    7. 必要に応じて、[タイプ] フィールドで [列] または [添付ファイル] を選択します。
    8. 該当する場合は、[テーブル] フィールドでテーブルを選択し、[列] フィールドで列を選択します。
    9. [送信] を選択します。

    タスクの結果

    レコードが保存され、[アクティブ] フィールドが有効になると、指定されたフィールドに作成された新しいデータは、関連するフィールド暗号化モジュールのモジュールキーで暗号化されます。モジュールアクセスポリシー「A」でロールが付与されているユーザーが、指定されたテーブルに書き込むと、データはフィールド暗号化モジュール「A」のモジュールキーで暗号化されます。この場合、同じロールを持つユーザーのみがそのデータを復号化できます。

    マルチモジュール暗号化フィールド構成を使用したインシデントテーブルの [簡単な説明] 列の暗号化

    1. この例では A と B という 2 つのフィールド暗号化モジュールを作成します。
    2. フィールド暗号化モジュールごとに、モジュールアクセスポリシー (MAP A と B) を作成します。
      1. フィールド暗号化モジュール A では、人事ロールを持つユーザーにモジュールアクセスポリシー A へのアクセス権を付与します。
      2. フィールド暗号化モジュール B では、営業ロールを持つユーザーにモジュールアクセスポリシー B へのアクセス権を付与します。
    3. インシデントテーブルの [簡単な説明] 列を指定する暗号化フィールド構成情報レコードを作成し、[メソッド] フィールドで [複数のモジュール] を選択していることを確認します。
    4. 2 人のユーザーを準備します。
      • MAP A とフィールド暗号化モジュール A に関連する人事ロールを持つユーザー (ユーザー A)
      • MAP B とフィールド暗号化モジュール B に関連する営業ロールを持つユーザー (ユーザー B)
      簡単な説明の値を使用してインシデントレコードを作成します。両方のユーザーにインシデントのリストを確認してもらいます。
      1. ユーザー A によって作成されたインシデントレコードの簡単な説明は、フィールド暗号化モジュール A のキーで暗号化されます。
      2. ユーザー B によって作成されたインシデントレコードの簡単な説明は、フィールド暗号化モジュール B のキーで暗号化されます。
    5. 人事ロールと営業ロールを持つユーザーがインシデントにアクセスできます。ユーザー A (人事ロールを持つユーザー) が作成したインシデントの簡単な説明を復号化して表示できるのは、人事ロールを持つユーザーのみです。ユーザー B (営業ロールを持つユーザー) が作成したインシデントの簡単な説明を復号化して表示できるのは、営業ロールを持つユーザーのみです。
    複数のモジュールの図を表示します。