外部キー管理サービス

  • リリースバージョン: Australia
  • 更新日 2026年03月24日
  • 所要時間:4分

    • 外部キー管理サービス (EKMS) を使用すると、 フィールド暗号化 独自の外部キー管理システムと統合できます。

    外部キー管理サービス (EKMS) を使用すると、 ServiceNow プラットフォーム内のデータを保護する暗号化キーを直接制御できます。キーをインフラストラクチャ内に保存するのではなく、専用のキー管理システムでキーを生成、保存、および管理できます。このアプローチにより、機密データの制御を維持しながら、クラウドベースのエンタープライズサービスを採用できます。

    生成、ローテーション、取り消しなどの主要なライフサイクル操作に対する権限を維持し、セキュリティイベントに即座に対応できるようにします。これにより、システムからキーを削除し、データに暗号化してアクセスできなくなります。

    サポートされるプロバイダー

    現在、 EKMS for フィールド暗号化 は AWS Key Management Service (AWS KMS) をサポートしています。今後のリリースには、追加のキー管理プロバイダーのサポートが含まれるようになる予定です。

    主な制限事項

    • インスタンスごとに作成できる EKMS 構成は 1 つだけです。
    • マルチリージョンキーはサポートされていません。
    • AWS KMS キーは対称キーである必要があります。

    EKMS の仕組み

    EKMS は、キーラッピングチェーンを使用してデータを保護します。視覚的な表現については、以下の EKMS キーのラッピング図を参照してください。EKMS が設定されている場合:

    1. キー暗号化キー (KEK) がインスタンスで生成されます。EKMS の場合、このキーは外部キー暗号化キー (EKEK) と呼ばれます。
    2. EKEK は、インスタンスに固有の内部インスタンスルートキー (IRK) によってラップされ、ServiceNow が管理するハードウェアセキュリティモジュール (HSM) に安全に保存されます。
    3. IRK でラップされた EKEK は、AWS で管理する AWS KMS キーによって再度ラップされます。
    4. ラップされた EKEK は、外部インスタンスキーテーブルに格納されます。
    5. 暗号化モジュールのデータ暗号化キー (DEK) は EKEK によってラップされ、モジュールキーテーブルに格納されます。DEK は、フィールドデータを暗号化するものです。
    6. フィールドデータは、暗号化モジュールの DEK を使用して暗号化されます。

    外部キー管理サービス 図

    このアーキテクチャにより、インスタンスは、外部 AWS キーにアクセスせずにデータを復号化するために直接アクセスすることがなくなります。

    キーステータスの同期

    EKMS 健全性チェックバックグラウンドジョブが 30 分ごとに実行され、AWS キーステータスがインスタンスと同期されます。同期により、AWS でのキーのステータスの変更 (有効、無効、削除保留、削除済み) が、EKMS 構成のキーのステータスに確実に反映されます。security_admin ロールを持つユーザーは、 com.glide.encryption.ekms.scheduler.health_check_interval システムプロパティを変更することでこの頻度を変更できます。「 同期頻度の変更」を参照してください。

    重要:
    AWS で削除されたキーは、AWS 保持ポリシーによって制御されるため、削除済みステータスを表示するまでに最低 7 日間かかります。

    フィールド暗号化エンタープライズ との統合

    EKMS は、暗号化モジュールを介して フィールド暗号化エンタープライズ (FEE) と統合します。暗号化モジュールは外部 AWS KMS キーを使用して暗号化キーをラップし、暗号化フィールド構成は暗号化するデータを指定します。

    アクセス制御

    モジュールアクセスポリシー (MAP) は、暗号化されたデータをクリアテキストで表示できるユーザーロールを決定します。適切なロールが割り当てられていないユーザーは、テーブルへのアクセス権がある場合でも、保護された情報を復号化して表示することはできません。

    開始するには

    構成: 外部キー管理サービス

    暗号化操作の実行方法をカスタマイズおよび管理するためのキー管理コンポーネントを作成および管理します。 ServiceNow インスタンス。

    外部キー管理サービスのアクション

    使用方法 EKMS 最新の暗号化素材とライフサイクル操作で機密データを保護するために、キーを管理、取り消し、またはローテーションします。

    アクティベーション情報

    外部キー管理サービスを有効にするには、まず Platform 暗号化 または ServiceNow Vault のサブスクリプションを購入する必要があります。

    ServiceNow Platform 暗号化 サブスクリプションバンドルは、フィールド暗号化エンタープライズクラウド暗号化を含むグループ商用エンタイトルメントです。

    フィールド暗号化エンタープライズフィールド暗号化 Starter の無制限ライセンスです。 フィールド暗号化エンタープライズ は、com.glide.field.encryption.enterprise プラグインをアクティブ化すると利用できます。詳細については、「暗号化とキー管理のサブスクリプションバンドル」を参照してください。

    フィールド暗号化エンタープライズ プラグインをインストールしたら、「プラットフォーム暗号化外部キー管理」と呼ばれるEKMSプラグインをインストールします。プラグイン ID は com.glide.encryption.external_kms です。詳細については、「 外部キー管理サービスのアクティブ化 」を参照してください。