コード署名
コード署名は、データの信頼性と整合性を確認するために後でチェックされるデータのデジタル署名を作成します。コード署名は、ServiceNow Vault のコンポーネントとしてライセンスされるモジュールです。
コード署名と信頼のサークル
(COT) は信頼のサークル、信頼できるインスタンスと本番インスタンス間の安全な通信を作成して、承認されたユーザーのみがコード署名機能にアクセスできるようにするコード署名の前提条件です。
複数のセキュリティ対策があると、本番インスタンスが侵害された場合に、悪意のある攻撃者がコード署名を無効にしたり悪用したりするのを防ぐことができます。多層防御戦略の一環として、COT は次のコンポーネントを使用します。
- コード署名のプロセスと構成を保護するために、最も強力な管理者アカウントさえも制限するコントロールが本番インスタンスに確立されます。
- 信頼できる (TSP) インスタンスは、本番インスタンスと連携して関係を確立する 信頼のサークル ために必要です。少なくとも 1 つのトラステッド・インスタンスが必要ですが、複数の TSP インスタンスを本番インスタンスと連携するように構成できます。
図 : 1. 信頼のサークルの概要 信頼のサークルは、キーペアとともにジョブ、スクリプト、およびビジネスルールを使用して、本番インスタンスへの更新セットに署名するための署名を生成します。ジョブが呼び出されると、本番インスタンスの更新を実行するために、信頼できる証明書とともに署名が検証されます。
図 : 2. 信頼できる更新セットのプロセス 図 : 3. コード署名フロー
これには 信頼のサークル 、信頼できるインスタンスと本番インスタンス間に最初の信頼関係が必要であり、これにより、任意の認証レベルを持つ権限のないユーザーが未承認のアクティビティにアクセスできないようになります。