列レベル暗号化エンタープライズ は Column Level Encryption (CLE) を前提としており、Key Management Frameworkとそのキー管理機能の完全なサポートを使用します。列レベル暗号化エンタープライズ は、アプリケーションレベルのフィールド暗号化のためのキー保護とキーライフサイクル管理を提供します。すべてのキーは、最終的に FIPS 140-2-L3 ハードウェアセキュリティモジュール (HSM) に基づくキーラッピング階層で保護されます。

列レベル暗号化エンタープライズ を使用すると、サポートされているフィールドを NIST 800-57 プラクティスに従って暗号化および復号化する方法を管理できます。また、適切なキーの保護と管理のための統合を含む、最新バージョンのフィールドレベルの暗号化を使用します。

具体的には、列レベル暗号化エンタープライズ は KMF 暗号化モジュールを使用して、サーバー側の暗号化をより詳細に制御できるようにします。KMF は、キー階層とエンベロープ暗号化を使用して、適切なデータ暗号化キーを保護します。インスタンスは、設定した暗号化モジュールでデータを暗号化します。各モジュールのアクセスポリシーを作成してから、暗号化仕様とアクセスポリシーを設定し、キーライフサイクル管理コントロールを制御できます。

列レベル暗号化エンタープライズ は、以下に基づくモジュールアクセスポリシーをサポートしています。

暗号化の用語

用語	説明
	キー管理のサポート 列レベル暗号化エンタープライズ の基礎は Key Management Framework (KMF) です。 次の機能が得られます。 キーのライフサイクル管理 キーロテーション詳細については、「キーのローテーション」を参照してください。 FIPS 140-2-L3 ハードウェアセキュリティモジュール (HSM) によるキーの保護と生成 ロールと職務の分離 本番インスタンスと非本番インスタンスなどのインスタンス間でデータ暗号化キーを安全に転送します。 キーラッピングを使用した顧客指定のキー (CSK) 非決定的暗号化 一括暗号化/復号化 キーのアクセス/使用の監査 詳細については、「キー管理フレームワークの理解」を参照してください。
	顧客指定のキーのサポート 列レベル暗号化エンタープライズ の最大のメリットの 1 つは、暗号化に独自のキーを使用できることです。管理者は、指定されたキーを使用するか、独自の顧客指定のキー (CSK) Now Platform®を暗号化に使用するServiceNowかを選択できます。 キーのライフサイクルを管理し、キーの取り消し、ローテーション、および無効化のタイミングを決定することもできます。顧客指定のキーを有効にして暗号化モジュールを作成した後、トークンと短期公開キーをダウンロードします。トークンと公開鍵を使用してキーをラップし、インスタンスにアップロードします。顧客指定のキーを使用するには、および顧客指定のキーのプロパティを設定するを参照してくださいキータイプを選択するためにフィールドの暗号化を設定する。
	フィールドの暗号化と添付ファイルの暗号化の両方をサポート フィールドの暗号化と添付ファイルの暗号化はどちらも、暗号化フィールド構成を介して暗号化モジュールとアクセスポリシーを使用します。暗号化フィールド構成フォームを使用して、列の暗号化タイプまたは添付ファイルの暗号化を選択します。詳細とサポートされているフィールドタイプについては、「暗号化フィールド構成を設定する」を参照してください。
	非決定的暗号化のサポート 列レベル暗号化エンタープライズ は、セキュリティ強化のために非決定的暗号化をサポートしています。システムが同じデータを複数回暗号化する場合、暗号化テキストは毎回異なります。非決定的暗号化は、暗号ブロックチェーン (CBC) を使用した AES 暗号化で使用できます。 この機能は、暗号化仕様のアルゴリズム定義ステージの等価性保存オプションで有効にできます。暗号化モジュールの暗号化仕様を作成し、キーを暗号化し生成するためのアルゴリズムを定義します。 暗号化操作に使用するメカニズムを定義し、非決定的暗号化を有効にする方法の詳細については、「暗号化モジュールを作成する」を参照してください。
	Resource Exchange 列レベル暗号化エンタープライズ は KMF 暗号化 API を使用してインスタンス間を保護し、機密性、完全性、認証、および否認防止を提供します。Resource Exchange は、安全な方法でインスタンス間でリソースを交換する機能を提供する KMF 機能です。詳細については、「キー管理フレームワークリソース交換」を参照してください。

追加のモジュールとモジュールアクセスポリシーのサポート

の列レベル暗号化標準バージョンは、5 つのモジュールとモジュールアクセスポリシー (MAP) に制限されています。 は、より多くのモジュールと MAP をサポートしています。 列レベル暗号化エンタープライズ

サポートされるフィールド情報

添付ファイルの暗号化

デフォルトでの添付ファイルの暗号化

Column Level Encryption を使用しているお客様の場合、アクティブな暗号化フィールドの構成 (EFC) タイプ Attachment のテーブルの添付ファイルはデフォルトで暗号化されています。

EFC 構成で定義されているこのデフォルトの暗号化は、管理者がこれらのテーブルのアップロード時に添付ファイルを暗号化することを手動で宣言する必要がないことを意味します。

デフォルトの暗号化のオプトアウト

EFC 構成に基づいてデフォルトで添付ファイルを暗号化したくない場合は、ServiceNow サポートに連絡してこのオプションをオプトアウトできます。

この機能をオプトアウトするには、ServiceNow サポートでサポートケースを作成し、ケースレコードのコメントに次のステートメントを含めます。

「I [顧客名], understand that I am asking ServiceNow to turn off a recommended security best practice for attachments, and that [customer company] assumes any additional risk related to their configuration and use of unencrypted attachments in the ServiceNow application.」

API サポート

列レベル暗号化エンタープライズ は、暗号化フィールドに暗号化されたデータを挿入できるように、setDisplayValue() および setValue() API を更新します。また、getDisplayValue() と getValue() がクリアテキスト値を返すようにもなります。

次のスクリプトは、インシデントの簡単な説明が暗号化されている場合の API の変更を示しています。

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

getValue() を使用して暗号化テキストを取得すると、スクリプトで暗号テキストを返されなくなります。スクリプトは、ユーザーが暗号化モジュールにアクセスできるという想定で、プレーンテキストを返します。ユーザーが暗号化モジュールにアクセスできない場合、 getValue() は暗号テキストを返します。