シークレット管理の詳細

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:6分

    • ServiceNow シークレット管理を使用し、ビジネスニーズに合わせてパスワードへのアクセスを詳細に管理します。

    重要:
    アドミニストレーターには、シークレット管理に関連するモジュールとレコードを表示するためのロールが必要です。シークレット管理ロールの情報については、「シークレット管理ロール」を参照してください。

    シークレット管理の Core バージョンと Enterprise バージョンからの選択

    ビジネスニーズに応じて、[シークレット管理 Core] および [シークレット管理 Enterprise] から選択します。

    シークレット管理 Core シークレット管理 Enterprise
    シークレット管理 Core は、追加コストなしでインスタンスでアクティブ化できます。このプラグインは、ServiceNow アプリケーションエンジニアリングチームによって作成された ServiceNow プラットフォームで提供される非カスタムテーブルの基準を持つシークレットグループを使用する機能を提供します。 シークレット管理 Enterprise には、アドミンがシークレットグループを作成して管理するために役立つ追加の機能が含まれています。Enterprise は、Core に一覧表示される機能に加えて次の機能を提供します。
    • 詳細なアクセス制御を使用し、次のいずれかの基準に基づいてシークレットグループを作成します。
      • スコープ
      • テーブル
      • レコード
    • ServiceNow がアクセスできない独自のキーを使用して暗号化された、クライアントのアクセス可能なシークレットを作成します。
    • シークレット管理ダッシュボードを使用して、インスタンスに構成されているシークレットグループを確認し、潜在的なセキュリティの問題について確認します。
    注:
    シークレット管理 Enterprise は、ServiceNow 担当者が本番インスタンスで有効にする必要がある有料プラグインです。

    シークレットグループを使用したシークレットの整理

    シークレット管理を使用してシークレットをグループに整理し、グループレベルでそれらのシークレットにアクセスポリシーを適用します。

    基本シークレットグループ
    これらのグループは、スコープ内のすべてのシークレットに適用されます。これらのシークレットは、一般的な暗号化モジュールとモジュールアクセスポリシーによって復号化されます。
    基準のあるシークレットグループ
    基準のあるシークレットグループは、基本シークレットグループと同じように機能しますが、含まれるものが基準によってさらに絞り込まれています。次のような基準があります。
    • アプリケーションスコープ
    • パッケージ
    • テーブル
    • シークレット列
    • レコードのフィルタリング

    いずれかのタイプのシークレットグループを、インスタンスアクセス可能にするか、クライアントアクセス可能にすることができます。

    インスタンス側のシークレットグループ
    インスタンス側のシークレットグループには、インスタンスで復号化できるシークレットが含まれています。
    クライアント側のシークレットグループ
    クライアント側のシークレットグループは、公開鍵と秘密鍵のペアを使用して、クライアントのみがシークレットを復号化できるようにします。クライアントアクセス可能なシークレットグループを作成する場合は、公開鍵をインスタンスにアップロードし、秘密鍵を MID サーバーに保持します。インスタンスは公開鍵を使用してシークレットを暗号化しますが、秘密鍵を使用してのみ復号化できます。
    注:
    これらのグループタイプの詳細については、「クライアント側 シークレット管理 について」を参照してください。

    シークレットグループを使用したより詳細な制御

    password2 は ServiceNow プラットフォームで利用できますが、シークレット管理は次の追加機能を提供します。

    詳細なアクセス制御
    Password2
    password2 を使用すると、アドミニストレーターはアプリケーションスコープへのアクセスを制御できますが、スコープ内の要素へのアクセスを制限することはできません。
    シークレット管理
    シークレット管理を使用すると、アドミニストレーターは定義した基準に基づいてアクセスを制限できます。基準タイプは、パッケージ、テーブル、列などの基準に基づくことができます。
    セキュアストレージ クライアント側シークレットグループの場合、シークレット管理は新しい暗号化スキームを使用します。この暗号化スキームでは、ServiceNow は暗号化キーを保存しません。このため、データのセキュリティは ServiceNow セキュリティに依存しません。

    グループへのモジュールアクセスポリシーの適用

    シークレットをシークレットグループにグループ化した後で、グループレベルでそれらのシークレットにアクセスする方法を決定するポリシーを適用できます。モジュールアクセスポリシーは、暗号化キーの有効期間などのインスタンスレベルでの制御を定義するために、暗号化モジュールに適用するアクセス制御メカニズムです。モジュールアクセスポリシーの詳細については、「モジュールアクセスポリシーの概要」を参照してください。

    シークレット管理とともにインストールされるテーブル

    シークレット管理は、次のテーブルを追加または変更します。

    新しくなったテーブル
    [sn_sm_secret_group] シークレットグループを格納します
    [sn_sm_secret_group_criteria] 基準シークレットグループを格納します
    [sn_sm_secret] ラップされたシークレットを格納します
    [sn_sm_identity_group] ID のグループを公開鍵にマッピングするための ID グループを定義します
    [sys_kmf_wrapped_module_key] ラップされた対称暗号化キーを格納します
    変更されたテーブル
    [sys_kmf_crypto_module] 追加された暗号化モジュールタイプ(ID 暗号化モジュールまたはシークレットグループ暗号化モジュール)
    [sys_kmf_module_key]
    • 概念的な秘密暗号化キー (キーマテリアルなし) を格納します
    • ID 公開鍵を格納します
    [sys_kmf_crypto_caller_policy] 新しいモジュールアクセスポリシータイプを追加します

    シークレット管理のユースケースの例

    安全な ITOM ディスカバリー

    このインフォグラフィックは、組織が ServiceNow IT Operations Management (ITOM) ディスカバリーを展開する方法を示す簡単なリファレンスアーキテクチャを示しています。インフォグラフィックに示されているように、複数の Windows および Linux サーバーが MID サーバーに接続し、いくつかの MID サーバーエージェントがディスカバリープロセスで CMDB を更新できるようにします。すべての MID サーバートランザクションには安全な認証が必要であるため、認証情報の管理はセキュリティの観点から極めて重要です。

    統合ハブとのワークフロー接続を安全に高速化

    ServiceNow の統合ハブを使用して、自動化されたアプリケーションプログラミングインターフェイス (API) を使用してさまざまなシステムに接続します。統合ハブが API を使用してシステムに接続するたびに、接続を確立するための認証情報が必要になります。多数のアプリケーションと接続用 API を管理するには、シークレット管理ソリューションが必要です。

    シークレット管理は、組織のサイバーセキュリティを確保するための重要な部分です。暗号化キー、API トークン、パスワードなどのデジタル認証情報の作成、保存、送信、管理に関連するすべてのプロセスとツールが含まれています。シークレットを安全かつ効果的に管理するために、シークレットのライフサイクルのすべてのフェーズの標準ルールと手順を確立するコアシークレット管理ポリシーを構築できます。