フィールド暗号化エンタープライズ の例

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:10分

    • これらの例では、顧客指定のキーを使用したフィールドと添付ファイルの暗号化について説明します。

    フィールド暗号化エンタープライズ のチュートリアル

    このチュートリアルでは、キー管理フレームワーク (KMF) がある フィールド暗号化エンタープライズ を使用してインスタンスのフィールドを暗号化する方法を示します。また、独自のキーを使用する方法も示します。

    始める前に

    注:
    この手順は、フィールド暗号化エンタープライズ 機能にのみ適用されます。フィールド暗号化エンタープライズ の取得についての詳細は「フィールド暗号化 のアクティブ化」を参照してください。

    必要なロール:security_admin および sn_kmf.cryptographic_manager または sn_kmf.admin

    注:
    security_admin は権限ロールです。権限ロールの使用に関する詳細については、「特権ロールへの昇格」を参照してください。

    このタスクについて

    このチュートリアルは、個人暗号化キーを既に作成してアップロードしたインスタンスから開始します。ServiceNow キーを使用できますが、この例では顧客指定のキーを使用します。

    キーが暗号化モジュールに格納されたら、給与や社会保障番号など、特定のユーザーのアクセスが制限されるフィールドの設定を開始できます。暗号化フィールド構成で、機密データにアクセスできる権限を持つ担当者を指定します。

    このタスクでは、2 つのシナリオを示します。1 つの例では、機密データを表示する権限のないユーザーのために、インシデントの [簡単な説明] フィールドを暗号化します。

    添付ファイルを暗号化して、アクセス権が付与されたユーザーのみに表示するか、データの表示が制限されていないすべてのユーザーに表示することもできます。添付ファイルを暗号化するには、「添付ファイルの暗号化のチュートリアル」を参照してください。

    手順

    1. column_level_encryption に暗号化モジュールを作成します。
      詳細については、「フィールド暗号化の暗号化モジュールを作成する 暗号化モジュールを作成する」を参照してください。
    2. 作成したモジュールの [ モジュールの詳細を表示 ] を選択します。
    3. [ 暗号化フィールド] を選択して、暗号化フィールド構成 (EFC) を設定します。
    4. [Configure] を選択します。
    5. フォームで、フィールドに入力します。
      表 : 1. 暗号化フィールドの構成フォーム
      フィールド 説明
      テーブル 機密情報を格納するテーブル。この例では、インシデント [インシデント] を選択します。
      タイプ 個人キーを使用するには、が必要です。
      暗号化する機密データを表す列または特定の情報。この例では、short_description を選択します。
      有効 フィールド構成を使用するためにアクティブをマークするオプション。
      デフォルトで暗号化 [モジュール] ページから EFC を作成すると、デフォルトで有効になります。これにより、選択した フィールド暗号化 モジュールを使用して、行条件に一致しないレコードが暗号化されます。このオプションを選択せずに構成を作成するには、[構成] ページから EFC を作成します。
      アルゴリズム等価性保存 このオプションは自動的に選択されます。
      メソッド 単一モジュールオプションは、1 つのモジュールにポリシーを適用するために使用されます。複数モジュールは、複数のモジュールにまたがってポリシーを適用するために使用されます。
      図 : 1. 暗号化フィールドの構成の例
      完了した暗号化フィールドの構成が表示されます。
    6. [保存] をクリックします。

      モジュールアクセスポリシー (MAP) を確立して、暗号化モジュールへのアクセスをアサインします。詳細については、「モジュールアクセスポリシーを作成する」を参照してください。

    7. [ アクセスポリシー] を選択して MAP を設定します。
    8. [Configure] を選択します。
    9. フォームで、フィールドに入力します。
      表 : 2. モジュールアクセスポリシーフォーム
      フィールド 説明
      ポリシー名 簡単な説明などのポリシーの名前。
      タイプ 暗号化ポリシーのアクセス指定のタイプ。ロールを使用して、割り当てられたロールを持つユーザーのみに暗号化フィールドへのアクセス権を付与します。
      ターゲットロール 暗号化フィールドにアクセスできるロール。この例では、Admin を選択します。
      有効 モジュールアクセスポリシーをアクティブ化するオプション。
      結果 追跡オプションを使用すると、選択したロールのフィールドにアクセスできます (選択したロールに対してそのフィールドへのアクセスを制限するには、[却下] または [厳格な却下] を選択します)。
      代理操作 代理操作を介してモジュールアクセスを有効にするオプション。
      図 : 2. モジュールアクセスポリシーの例
      完成したモジュールアクセスポリシーフォームを表示します。
    10. [保存] を選択します。
    11. sn_kmf.admin ロールを持つユーザーとして、次の場所に移動します すべて > インシデント > 新規作成.
      図 : 3. 表示される暗号化フィールドの例
      表示可能な簡単な説明データを表示します。
      これで、モジュールアクセスポリシー構成に基づいて [簡単な説明] フィールドを表示できます。
      注:
      モジュールアクセスポリシーを [追跡] に設定することで、sn_kmf.admin ロールに暗号化フィールド (簡単な説明) へのアクセス権が付与されました。フィールド名の下にあるロックアイコン (ロックアイコン) は、フィールドが暗号化されていることを示しています。

      これで、エンドユーザーとしてインシデントモジュールにアクセスして、暗号化フィールドの設定をテストできます。

    12. テーブルへのアクセス権はあるが、構成された暗号化モジュールへのアクセス権がないユーザーとしてログインします。
      インシデント番号にアクセスしても、[簡単な説明] のデータは表示されません。

    タスクの結果

    フィールド暗号化エンタープライズ を使用して特定のフィールドへのアクセスを制御する対称キーを正常に使用しました。

    添付ファイルの暗号化のチュートリアル

    このチュートリアルでは、キー管理フレームワーク (KMF) がある フィールド暗号化エンタープライズ を使用してインスタンスの添付ファイルを暗号化する方法を示します。また、独自のキーを使用する方法も示します。

    始める前に

    注:
    この手順は、フィールド暗号化エンタープライズ 機能にのみ適用されます。フィールド暗号化エンタープライズ の取得についての詳細は「フィールド暗号化 のアクティブ化」を参照してください。

    必要なロール:sn_kmf.cryptographic_manager

    このタスクについて

    このチュートリアルでは、顧客指定の暗号化キーを作成してアップロードしたインスタンスから開始します。キーを使用できますが、この例では顧客指定のキーを使用します。

    機密性の高い添付ファイルをインスタンスにアップロードし、特定のユーザーからのアクセスを制限します。暗号化フィールド構成を使用して、機密データにアクセスできる権限を持つ担当者を指定します。

    アクセス権を付与されたユーザーのみに表示するか、または、データの表示を制限されていないすべてのユーザーに表示するために、添付ファイルを暗号化する方法を示します。この例では、特定のロールが インシデントモジュールの添付ファイルにアクセスできないように制限しています。

    注:
    フィールド暗号化エンタープライズでは複数のモジュールを使用できますが、添付ファイルの暗号化では単一のモジュールを使用する必要があります。

    手順

    1. フィールド暗号化エンタープライズ が有効になっていることを確認します。
    2. 暗号化モジュールを作成します。
      詳細については、「 フィールド暗号化の暗号化モジュールの作成 」を参照してください。
    3. 移動先 すべて > システムセキュリティ > フィールド暗号化 > フィールド暗号化のエクスペリエンス.
    4. [フィールド暗号化の概要] から [ モジュールの詳細を表示 ] を選択して、構成するモジュールレコードを開きます。
    5. 暗号化 フィールド を選択して 構成します。
    6. フォームに次のように入力します。
      表 : 3. 暗号化フィールドの構成フィールド
      フィールド 説明
      テーブル 機密情報にアクセスするテーブルを選択します。この例では、インシデント [インシデント] を選択します。
      タイプ 選択したテーブルから添付ファイルを暗号化するために個人キーを使用するには、添付ファイルを選択します。この例の場合、インシデントを選択します。
      アクティブ フィールド構成を使用できるようにするために、アクティブをマークします。
      重要:
      アクティブな場合、インスタンスは選択されているフィールドまたは添付ファイルの新しいデータをアクティブに暗号化しています。ユーザーは、関連付けられたモジュールアクセスポリシーを介して権限がない限り、このデータにアクセスできません。フィールドがモジュールアクセスポリシーの暗号化と適用を開始する準備ができていない場合は、選択しないでください。

      暗号化フィールド構成がアクティブになった後に履歴データが暗号化されていることを確認するには、列に対して一括暗号化ジョブを実行する必要があります。詳細については、「一括暗号化、復号化、またはリキーをスケジュールする」を参照してください。
      デフォルトで暗号化

      選択すると、行条件に一致しないレコードは、下のフィールドで選択されたフィールド暗号化モジュールを使用して暗号化されます。

      選択しない場合、これらのレコードは暗号化されません。
      フィールド暗号化モジュール この暗号化フィールド構成で使用されるフィールド暗号化モジュール。
      [タイプ] フィールドで [列] を選択した場合は、暗号化するフィールドを選択します。
      注:
      暗号化するフィールドが利用できない場合、そのフィールドはサポートされているタイプではありません。サポートされているフィールドタイプは次のとおりです。
      • 日付
      • 日付/時刻
      • URL
      • HTML
      • ジャーナル
      • 翻訳済み
      • メール
      • 電話
      アルゴリズム等価性保存 フィールド暗号化エンタープライズを選択すると、選択したテーブルに基づいてこのフィールドが表示されます。[暗号化モジュール] フィールドで選択したフィールド暗号化モジュールで、[等価性保存] が有効になっているかどうかを表示します。
      メソッド 単一モジュールオプションは、1 つのモジュールにポリシーを適用するために使用されます。複数モジュールは、複数のモジュールにまたがってポリシーを適用するために使用されます。
    7. [保存] を選択します。

      モジュールアクセスポリシー (MAP) を確立して、暗号化モジュールへのアクセスをアサインします。詳細については、「モジュールアクセスポリシーを作成する」を参照してください。

    8. 移動先 すべて > システムセキュリティ > フィールド暗号化 > フィールド暗号化のエクスペリエンス > 構成 > アクセスポリシー.
    9. [新規作成] をクリックします。
    10. フィールド暗号化 (FE) モジュールを選択します。
    11. フォームに次のように入力します。
      表 : 4. モジュールアクセスポリシーフィールド
      フィールド 説明
      ポリシー名 ポリシーの名前 (「添付ファイルポリシー」など) を入力します。
      タイプ 割り当てられたロールを持つユーザーからの暗号化フィールドへのアクセスを制限するには、[ロール] を選択します。
      結果 選択したロールから添付ファイルへのアクセスを制御するには、[厳格な却下] を選択します(選択したロールにアクセス権を付与するには、[追跡] を選択します)。
      暗号化モジュール キーを暗号化するために作成した暗号化モジュールを選択します。
      アクティブ モジュールアクセスポリシーを使用できるようにするには、このチェックボックスをオンにします。
      ターゲットロール 暗号化フィールドにアクセスできないロールを選択します。この例では、itil を選択します。
      目的を指定 オプション。有効にすると、フォームに [暗号化仕様] フィールドが表示されます。一部のユーザーが暗号化はできるが復号化できないなど、詳細な操作を構成する場合に、このオプションを有効にします。
      アプリケーション アプリケーションスコープは、現在のスコープによって自動的に入力されます。
      図 : 4. モジュールアクセスポリシーフォーム
      モジュールアクセスポリシーフォーム
    12. [送信] をクリックします。
    13. 暗号化モジュールへのアクセス権を持つユーザーとして、[ インシデント] に移動し、添付ファイルをフォームに追加します。

      添付ファイルがアップロードされると、[アクティビティ] 画面から利用できるようになります。

    14. モジュールへのアクセス権を持たないユーザーとしてログインします。
    15. インシデントを開き、アクティビティ:セクションまでスクロールします。
      添付ファイルを開くためのリンクは、モジュールへのアクセス権を持たないユーザーには表示されません。

    タスクの結果

    顧客指定のキーを使用して、 フィールド暗号化エンタープライズ を使用した特定の添付ファイルへのアクセスを正常に制御できました。