暗号化設定を使用したフィールドの暗号化

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む9読むのに数分

    • 暗号化設定を作成してフィールドを暗号化します。

    エッジ暗号化 の設定を行うには、プロキシ経由でインスタンスに接続する必要があります。本番インスタンスに変更を適用する前に、非本番インスタンスですべての変更をテストしてください。

    暗号化キーの定義

    1 つ以上のプロキシをセットアップし、デフォルトの暗号化キーを設定した後、すべてのプロキシがそのキーを使用できることがインスタンスによって確認されます。すべてのプロキシに暗号化キーが存在しない限り、その暗号化キーをデフォルトキーにすることはできません。デフォルトキーが定義されると、暗号化設定を作成できるようになります。

    暗号化するフィールドと添付ファイルの割り当て

    「暗号化するフィールドと添付ファイルを割り当てる」とは、フィールドまたは添付ファイルに暗号化タイプを割り当てることを意味します。フィールドを暗号化対象としてマークする前に、次の問題について検討してください。
    • どのシステム機能が影響を受ける可能性があるかを判断します。
    • すべてのスクリプトについてフィールドを使用していないかを調べます。
    • フィールドのサイズを望ましいサイズに調整します。フィールドの暗号化設定を完了した後は、フィールドサイズを変更できません。

    暗号化するフィールドをマークすると、暗号化データが格納されるように、フィールドサイズが拡張されます。テーブルのレコード数によってはフィールドサイズを拡張するプロセスに長時間かかることがあります。

    API サポート

    Column Level Encryption により、setDisplayValue() および setValue() API が更新され、暗号化されたフィールドに暗号化されたデータを挿入できるようになります。また、getDisplayValue()getValue() がクリアテキスト値を返すようにもなります。

    次のスクリプトは、インシデントの簡単な説明が暗号化されている場合の API の変更を示しています。

    
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

    getValue() を使用して暗号化テキストを取得すると、スクリプトで暗号テキストを返されなくなります。スクリプトは、ユーザーが暗号化モジュールにアクセスできるという想定で、プレーンテキストを返します。ユーザーが暗号化モジュールにアクセスできない場合、getValue() は暗号テキストを返します。

    フィールドの暗号化設定を作成する

    暗号化するフィールドを選択し、暗号化タイプを特定します。

    始める前に

    必要なロール:security_admin

    手順

    1. 移動先 すべて > エッジ暗号化の設定 > 暗号化設定 > 新規作成.
    2. フォームを完了します。
      フィールド 説明
      テーブル 暗号化するフィールドが含まれているテーブル。
      タイプ テーブルの列を暗号化するか、テーブルの添付ファイルを暗号化するか。[列] を選択します。
      暗号化するフィールド。[タイプ][列] の場合にのみ表示されます。
      文字列、日付、日付/時刻、ジャーナル、ジャーナル入力、および URL フィールドのみがサポートされます。
      • 文字列および URL フィールド:親テーブルまたは子テーブルに暗号化設定を追加できます。
      • 日付および日付/時刻フィールド:親テーブルのみに暗号化設定を追加できます。子テーブルには、新しい暗号化設定を追加できません。
      注:
      暗号化している日付および日付/時刻フィールドの影響を受けるレコード数に応じて、暗号化設定の作成には数分かかることがあります。インスタンスのトランザクション量が低いときは、日付および日付/時刻フィールドの暗号化設定を作成してください。
      暗号化タイプ 使用する暗号化タイプ。
      注:
      特定のテーブルとフィールドの組み合わせには、一度に 1 つの有効な設定のみを持たせることができます。
    3. [送信] をクリックします。

    次のタスク

    暗号化設定レコードを追加したら、既存のデータを暗号化する暗号化ジョブを作成できます。暗号化ジョブを実行しない場合は、次回のデータ変更時に Edge によって既存のデータが暗号化されます。詳細については、「暗号化ジョブをスケジュールする」を参照してください。

    変数暗号化設定を作成する

    暗号化するサービスカタログ変数を選択し、暗号化タイプを特定します。

    始める前に

    必要なロール:security_admin

    手順

    1. 移動先 すべて > エッジ暗号化の設定 > 変数暗号化設定.
    2. [Edge Encryption の変数設定] リストで、[新規] をクリックします。
    3. フォームに入力します。
      フィールド 説明
      変数 暗号化する変数。
      暗号化タイプ 使用する暗号化タイプ。
    4. [送信] をクリックします。

    次のタスク

    暗号化設定レコードを追加したら、既存のデータを暗号化する暗号化ジョブを作成できます。暗号化ジョブを実行しない場合は、次回のデータ変更時に Edge によって既存のデータが暗号化されます。詳細については、「暗号化ジョブをスケジュールする」を参照してください。

    暗号化設定を非アクティブ化する

    暗号化するフィールドまたはテーブルの添付ファイルを設定した後で、暗号化設定を無効にして暗号化を停止することができます。暗号化を無効にした後、「フィールドの復号化ジョブ」または「添付ファイルの添付ファイル復号化ジョブ」を実行して、暗号化データをインスタンスから削除することができます。

    始める前に

    必要なロール:security_admin

    このタスクについて

    警告:
    暗号化設定を無効にしても暗号化レコードは削除されず、暗号化タイプは変更できません。

    手順

    1. 移動先 エッジ暗号化の設定 > エッジ暗号化構成 > すべて.
      [Edge Encryption の設定] リストが表示されます。
    2. 無効にする暗号化設定をクリックします。
      [Edge Encryption の設定] フォームが表示されます。
    3. [有効] ボックスをクリックします。
      [有効] ボックスがクリアーされます。
    4. [更新] をクリックします。
      [Edge Encryption の設定] リストが表示されます。

    次のタスク

    復号化ジョブまたは添付ファイルの復号化ジョブを実行して、インスタンスのデータを復号化することができます。ジョブを実行しない場合は、次回の変更時に暗号化データが復号化されます。

    暗号化ジョブをスケジュールする

    フィールドに設定されたデフォルトの暗号化キーを使用して、指定したフィールドの暗号化されていないデータを検索して暗号化するジョブをスケジュールできます。フィールドを暗号化対象として設定した後に暗号化ジョブを作成しない場合は、新しい値のみが暗号化されます。

    始める前に

    必要なロール:security_admin

    手順

    1. 移動先 エッジ暗号化の設定 > 暗号化設定 > すべて フィールドのジョブを作成するか、または エッジ暗号化の設定 > 変数暗号化設定 をクリックして、変数のジョブを作成します。
    2. 暗号化ジョブをスケジュールするフィールドをクリックします。
    3. [関連リンク] で、[一括暗号化ジョブをスケジュール] をクリックします。

      [スケジュール設定済みの暗号化ジョブ] フォームが表示され、すべてのフィールドが入力されます。フォームの下部には、以前のジョブの実行があった場合のレコードが表示されます。

    4. 必要に応じて、フォームのフィールドに入力します。
      フィールド
      名前 内容を端的に表す名前を入力します。
      有効 このジョブを非アクティブ化する場合は、このチェックボックスをオフにします。
      ジョブ タイプ [暗号化] を選択します。
      テーブル テーブルを選択します。
      列を選択します。
      推定レコード数 処理するレコードの推定総数です。[推定レコード数] を選択後に入力します。
      履歴レコードを処理する フィールドが監査されている場合は、監査テーブルの履歴レコードを処理するように選択します。監査テーブルのフィールドの履歴レコードを暗号化する場合、新しい値と古い値の両方が暗号化されます。

      監査フィールドの詳細については、「監査」を参照してください。
      推定最大監査レコード数 処理する監査レコードの推定最大数です。[推定レコード数] を選択後に入力します。このフィールドは、[履歴レコードを処理する] が選択されている場合にのみ表示されます。
      注:
      推定数は、実際に処理されたレコードの数よりも大きくなる場合があります。
      実行 ジョブの実行間隔を選択します。
      開始中 ジョブを初めて実行する日時を入力します。
    5. フォーム ヘッダーのメニュー アイコンをクリックし、[保存] を選択します。
    6. 更新するレコードの推定数を確認するには、[推定レコード数] をクリックします。
    7. ジョブを直ちに実行するには、[今すぐ実行] をクリックします。

    復号化ジョブをスケジュールする

    暗号化されたフィールドのデータを復号化し、インスタンスにクリアー データを格納するジョブをスケジュールできます。

    始める前に

    注:
    復号化ジョブを実行するには、フィールドの暗号化レコードを非アクティブとしてマークする必要があります ([有効] ボックスをクリアーします)。

    必要なロール:security_admin

    手順

    1. 移動先 エッジ暗号化の設定 > 暗号化設定 > すべて フィールドのジョブを作成するか、または エッジ暗号化の設定 > 変数暗号化設定 をクリックして、変数のジョブを作成します。
    2. 復号化するフィールドをクリックします。
    3. [関連リンク] で、[一括復号化ジョブをスケジュール] をクリックします。

      [スケジュール設定済みの暗号化ジョブ] フォームが表示され、すべてのフィールドが入力されます。フォームの下部には、以前のジョブの実行があった場合のレコードが表示されます。

    4. 必要に応じて、フォームのフィールドに入力します。
      フィールド
      名前 内容を端的に表す名前を入力します。
      ジョブ タイプ [復号化] を選択します。
      有効 このジョブを非アクティブ化する場合は、このチェックボックスをオフにします。
      テーブル テーブルを選択します。
      列を選択します。
      推定レコード数 処理するレコードの推定総数です。[推定レコード数] を選択後に入力します。
      履歴レコードを処理する フィールドが監査されている場合は、監査テーブルの履歴レコードを処理するように選択します。監査テーブルのフィールドの履歴レコードを暗号化する場合、新しい値と古い値の両方が暗号化されます。

      監査フィールドの詳細については、「監査」を参照してください。
      推定最大監査レコード数 処理する監査レコードの推定最大数です。[推定レコード数] を選択後に入力します。このフィールドは、[履歴レコードを処理する] が選択されている場合にのみ表示されます。
      注:
      推定数は、実際に処理されたレコードの数よりも大きくなる場合があります。
      実行 ジョブの実行間隔を選択します。
      開始中 ジョブを初めて実行する日時を入力します。
    5. フォーム ヘッダーのメニュー アイコンをクリックし、[保存] を選択します。
    6. 更新するレコードの推定数を確認するには、[推定レコード数] をクリックします。
    7. ジョブを直ちに実行するには、[今すぐ実行] をクリックします。