エッジ暗号化 の詳細

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:7分

    • エッジ暗号化 は、ネットワークに常駐するネットワーク暗号化システムで、データセンターと ServiceNow クラウド間を移動する機密データを暗号化および復号化します。

    エッジ暗号化 の概要

    「クライアント側」暗号化とも呼ばれる Edge は、インフラストラクチャ上で維持されているプロキシを通過するために、すべての双方向ユーザートラフィックを必要とします。キーはインフラストラクチャ上のプロキシ内に保存されるため、キー管理を完全に制御できます。Now Platform は、暗号テキストを復号化してキーにアクセスすることはできません。

    エッジ暗号化 機能は、データのエンドツーエンドの暗号化およびキー管理を制御する機能を提供する追加コストオプションです。エッジ暗号化 は、ServiceNow によって提供され、自身のネットワーク内にインストールされたプロキシアプリケーションを使用します。このプロキシアプリケーションは、指定されたデータパターンをトークン化するか、文字列フィールド、日付フィールド、日付/時刻フィールド、および添付ファイルデータを暗号化してから、環境からインスタンスに送信します。プロキシアプリケーションは、自分のネットワーク内のみに保存されているキーを使用して、同じデータを自分のネットワーク内でのみ復号化します。

    関連する暗号化キーおよび構成は、ネットワーク内の Edge プロキシにのみ存在し、ServiceNow には表示されません。データは環境を離れた瞬間から暗号化され、取得時にのみ復号化されます。ServiceNow システムまたは担当者であってもプレーンテキストでデータにアクセスすることはできません。

    エッジ暗号化 のユーザー

    ネットワークのプロキシサーバーを介してインスタンスにログインしたユーザーだけが、暗号化されたデータをクリアテキストで表示できます。同様に、ネットワークのプロキシサーバーを介してインスタンスにログインした security_admin ユーザーだけが、エッジ暗号化 を設定および管理できます。

    プロキシサーバーはネットワークに常駐しているため、ユーザーが暗号化キーを所有し、管理します。暗号化キーがインスタンスに送信されることは決してありません。そのため、ServiceNow に機密データがクリアテキストで表示されることは決してありません。

    ユーザーは Edge プロキシの設定およびルールの管理に加えて、Edge プロキシを有効にしてサポートするために、環境内でサーバーを運用するための通常の要件 (ホスティング、ルーティング、バックアップ、DNS 構成などを含む) を担当します。

    暗号化とトークン化

    エッジ暗号化 は、機密情報を保護する手段として暗号化 (暗号化設定を使用) とトークン化 (暗号化パターンを使用) の両方をサポートしています。

    暗号化設定
    暗号化設定を使用して個々のフィールドを暗号化することができます。エッジ暗号化 は、AES 128 ビットと AES 256 ビットの暗号化キーをサポートしています。エッジ暗号化 は、標準、等価性保存、および順序保存の暗号化タイプをサポートしています。
    添付ファイルに加えて、以下のフィールドタイプを暗号化できます。
    • 日付
    • メール
    • 日付/時刻
    • HTML
    • IP アドレス
    • ジャーナル
    • ジャーナル入力
    • 複数行テキスト
    • 1 行テキスト
    • 文字列
    • URL
    注:

    暗号化対象としてマークされたジャーナル フィールドがアクティビティストリームに追加された場合、フィールドへのすべてのユーザー入力がアクティビティストリームで暗号化されます。

    サポートされているフィールド タイプ内のマルチバイト文字を暗号化できます。

    次のサービスカタログ変数タイプを暗号化することもできます。
    • 文字列タイプ
      • 1 行テキスト
      • 複数行テキスト
      • 幅広 1 行テキスト
    • 日付
    • 日付/時刻
    • URL
    • メール
    • HTML
    • IP アドレス
    暗号化パターン
    暗号化パターンを使用して、社会保障番号やクレジット カード番号などの規則的なパターンに一致する文字列をトークン化することができます。暗号化の主要な手段としては暗号化設定をお勧めしますが、暗号化フィールド以外の場所にある機密情報を保護する場合は暗号化パターンを補足手段として使用してください。
    注:
    エッジ暗号化 プロキシサーバーでネットワークにある MySQL データベースが必要になるのは、順序保存の暗号化または暗号化パターンを使用している場合のみです。クリアー テキスト値は、ネットワークのプロキシ データベースに格納されます。このため、プロキシ データベースを保護し、定期的にバックアップすることが重要です。推奨事項については、「エッジ暗号化のコンポーネント」を参照してください。

    エッジ暗号化を使用したデータの流れ

    Now Platform 上の エッジ暗号化

    エッジ暗号化 は、ブラウザと ServiceNow インスタンス間のゲートウェイとして機能します。ブラウザからのトラフィックは、途中のゲートウェイを経由して ServiceNow インスタンスに達します。さらにゲートウェイは、暗号化対象としてマークされた送信データを暗号化するように設定されます。受信トラフィックはゲートウェイ経由で復号化され、エンド ユーザーのブラウザにはクリアー テキストが表示されます。セキュリティ制御の観点から見た場合、この実装には、暗号化とキー管理が ServiceNow の外部で処理されるという利点があります。

    長所と短所

    列レベル暗号化エンタープライズ および列レベル暗号化と同様に、エッジ暗号化 は、追加のセキュリティの結果としてインスタンス内にいくつかの機能制限を課します。ただし、ローカル Edge プロキシは、列レベルの暗号化と比較した場合、ソートに関連するいくつかの追加機能も提供します。

    長所:
    • エッジ暗号化 は、情報の閲覧者を完全管理し、データ侵害を防止します。
    • 情報はプロキシサーバーに残り、暗号化されないままネットワークから離れることはありません。
    • 情報は ServiceNow インスタンスに到達する前に、転送中に暗号化されます。
    • あなたが、すべての暗号化キーを保持して管理します。ServiceNow 担当者であっても、他者があなたの鍵にアクセスすることはできません。
    • 暗号化アルゴリズムの強度は、AES-128 または AES-256 から選択できます。
    • エッジ暗号化 には、文字列テキスト、日付フィールドと日付/時刻フィールド、添付ファイル、URL、およびジャーナルを暗号化する機能が含まれています。
    • エッジ暗号化 では、データベースおよびインスタンス内に保存されているデータの標準、等価性保存、および順序保存の暗号化が可能です。
    • 暗号化ルールを使用すると、暗号化する対象とその暗号化された情報をインスタンス内のどこに配置するかをプロキシサーバーに明確に指示するカスタムスクリプトを作成できます。これらのスクリプトは、データ構造が ServiceNow インスタンスと正確に一致しない場合に便利です。
    • 暗号化パターンを使用すると、パスワードなどの情報をトークン化できます。
    短所:
    • エッジ暗号化 には、Edge プロキシクラスターを介した追加のネットワークホップと追加の処理が必要であり、トラフィックに遅延が生じる可能性があります。追加された エッジ暗号化 アプリケーションの処理遅延は、ネットワークホップに比べてごくわずかです。
    • 独自の暗号化キーを管理するのは、複雑で時間がかかる場合があります。
    • 最大 2 つのキーを維持できますが、列/データの異なるサブセットや異なるロールなどに対して異なるキーを柔軟に定義することはできません。
    • エッジ暗号化 には、サーバーまたはプラットフォームがデータを復号化して、復号化されたデータを操作できないという副作用があります。その結果、エッジ暗号化で列を暗号化するときに、Now Platform の機能とデータ処理が制限される可能性があります。

    使用前の注意事項

    暗号化とトークン化はデータの性質を変える処理であるため、エッジ暗号化 は他のインスタンス プロセスに影響を与える可能性があります。エッジ暗号化 の使用にあたっては、インスタンスに及ぼす影響を慎重に考慮してください。

    プロキシサーバーはネットワークにインストールされて維持されるため、エッジ暗号化 ではネットワークの管理が必要になります。円滑な実装ができるように、ネットワーク要件を確認してください。

    次のトピックを確認し、インスタンスにおけるエッジ暗号化の影響を理解してください。