シークレット管理の詳細

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • ServiceNow シークレット管理を使用し、ビジネスニーズに合わせてパスワードへのアクセスを詳細に管理します。

    重要:
    管理者には、シークレット管理に関連するモジュールとレコードを表示するためのロールが必要です。シークレット管理ロールの情報については、「シークレット管理ロール」を参照してください。

    シークレット管理の Core バージョンと Enterprise バージョンからの選択

    ビジネスニーズに応じて、[シークレット管理 Core] および [シークレット管理 Enterprise] から選択します。

    シークレット管理 Core シークレット管理 Enterprise
    シークレット管理 Core は、追加コストなしでインスタンスにインストールできます。このプラグインは次の機能を提供します。
    • Password2 暗号化モジュールを使用して、パッケージレベルのシークレットグループを作成します。
    • シークレットグループ構成ウィザードを使用して、シークレットグループをすばやく構成します。
    		 シークレット管理 Enterprise には、管理者がシークレットグループを作成および管理するのに役立つ追加の機能が含まれています。Enterprise は、Core に一覧表示される機能に加えて次の機能を提供します。
    • 詳細なアクセス制御を使用し、次のいずれかの基準に基づいてシークレットグループを作成します。
      • スコープ
      • テーブル
      • レコード
    • ServiceNow がアクセスできない独自のキーを使用して暗号化された、クライアントのアクセス可能なシークレットを作成します。
    • シークレット管理ダッシュボードを使用して、インスタンスに設定されているシークレットグループを確認し、潜在的なセキュリティの問題について確認します。
    注:
    シークレット管理 Enterprise は、ServiceNow 担当者が本番インスタンスで有効にする必要がある有料プラグインです。

    シークレットグループを使用したシークレットの整理

    シークレット管理を使用してシークレットをグループに整理し、グループレベルでそれらのシークレットにアクセスポリシーを適用します。

    基本シークレットグループ
    これらのグループは、スコープ内のすべてのシークレットに適用されます。これらのシークレットは、一般的な暗号化モジュールとモジュールアクセスポリシーによって復号化されます。
    基準のあるシークレットグループ
    基準のあるシークレットグループは、基本シークレットグループと同じように機能しますが、含まれるものが基準によってさらに絞り込まれています。次のような基準があります。
    • アプリケーションスコープ
    • パッケージ
    • テーブル
    • シークレット列
    • レコードのフィルタリング

    いずれかのタイプのシークレットグループを、インスタンスアクセス可能にするか、クライアントアクセス可能にすることができます。

    インスタンス側のシークレットグループ
    インスタンス側のシークレットグループには、インスタンスで復号化できるシークレットが含まれています。
    クライアント側のシークレットグループ
    クライアント側のシークレットグループは、公開鍵と秘密鍵のペアを使用して、クライアントのみがシークレットを復号化できるようにします。クライアントアクセス可能なシークレットグループを作成する場合は、公開鍵をインスタンスにアップロードし、秘密鍵を MID Server に保持します。インスタンスは公開鍵を使用してシークレットを暗号化しますが、秘密鍵を使用してのみ復号化できます。
    注:
    これらのグループタイプの詳細については、「クライアント側 シークレット管理 について」を参照してください。

    シークレットグループを使用したより詳細な制御

    password2 は ServiceNow プラットフォームで利用できますが、シークレット管理は次の追加機能を提供します。

    詳細なアクセス制御
    Password2
    password2 を使用すると、管理者はアプリケーションスコープへのアクセスを制御できますが、スコープ内の要素へのアクセスを制限することはできません。
    シークレット管理
    シークレット管理を使用すると、管理者は定義した基準に基づいてアクセスを制限できます。基準タイプは、パッケージ、テーブル、列などの基準に基づくことができます。
    セキュアストレージ クライアント側シークレットグループの場合、シークレット管理は新しい暗号化スキームを使用します。この暗号化スキームでは、ServiceNow は暗号化キーを保存しません。このため、データのセキュリティは ServiceNow セキュリティに依存しません。

    グループへのモジュールアクセスポリシーの適用

    シークレットをシークレットグループにグループ化した後で、グループレベルでそれらのシークレットにアクセスする方法を決定するポリシーを適用できます。モジュールアクセスポリシーは、暗号化キーの有効期間などのインスタンスレベルでの制御を定義するために、暗号化モジュールに適用するアクセス制御メカニズムです。モジュールアクセスポリシーの詳細については、「モジュールアクセスポリシーの概要」を参照してください。

    シークレット管理とともにインストールされるテーブル

    シークレット管理は、次のテーブルを追加または変更します。

    新しくなったテーブル
    [sn_sm_secret_group] シークレットグループを格納します
    [sn_sm_secret_group_criteria] 基準シークレットグループを格納します
    [sn_sm_secrets] ラップされたシークレットを格納します
    [sn_sm_identity_group] ID のグループを公開鍵にマッピングするための ID グループを定義します
    [sys_kmf_wrapped_module_key] ラップされた対称暗号化キーを格納します
    変更されたテーブル
    [sys_kmf_crypto_module] 追加された暗号化モジュールタイプ(ID 暗号化モジュールまたはシークレットグループ暗号化モジュール)
    [sys_kmf_module_key]
    • 概念的な秘密暗号化キー (キーマテリアルなし) を格納します
    • ID 公開鍵を格納します
    [sys_kmf_crypto_caller_policy] 新しいモジュールアクセスポリシータイプを追加します