キー管理操作

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:16分

    • キー管理操作サブモジュールは、ServiceNow クラウド暗号化 で使用されるすべての暗号化キーを表示して管理するためのアクセスを提供します。

    キーのライフサイクル状況

    システムには常に 1 つのアクティブなキーしか存在しません。キーを選択すると、ローテーションされたキーまたは取り消されたキーや対応するタイムスタンプなど、選択したキーのアクティビティにアクセスできます。

    キーのライフサイクル状況は、実行されたキー管理操作に従って更新されます。

    更新されたキーのライフサイクル状況が表示されます。

    詳細は「ServiceNow 管理キーのローテーション」または「顧客管理キーのローテーション」を参照してください。

    注:
    キーロテーションプロセスは完了までに 20 分かかる場合があります。

    ServiceNow 管理キーのローテーション

    アクティブなクラウド暗号化 ServiceNow管理キーをローテーションします。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    重要:
    顧客管理キーを使用している場合は、「顧客管理キーのローテーション」を参照してください。

    手順

    1. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作.
      クラウド暗号化 のキーメタデータのリストがロードされます。インスタンスで使用されているすべてのキーがリストされます。一度に 1 つのキーのみをアクティブにすることができます。

      クラウド暗号化モジュールに初めてアクセスすると、最初のキーローテーションが実行された後にキーエントリが使用可能になります。ServiceNow 管理キーがシステムのデフォルトです。

    2. テーブルからアクティブなキーを選択します。
      [キー定義] テーブルに、ServiceNow で生成されたキーに関する一般的な情報が表示されます。
    3. [キーのローテーション] ボタンを選択します。
      キーのローテーションを続行するか操作をキャンセルするかを選択できる通知が表示されます。
    4. [OK] を選択してキーをローテーションします。
      [キー定義] ページの上部に確認メッセージが表示されます。
    5. [キー管理操作] 画面に戻り、クラウド暗号化キーメタデータテーブルを更新します。
      現在のアクティブなキーと、現在のアクティブなキーの代わりにローテーションするために生成されているキーのエントリが表示されます。利用可能なさまざまな状況については、「キー管理フレームワークの主要なライフサイクル状況」を参照してください。

      アクティブなキーはキーバージョン 0 でリストされ、生成されたキーのバージョンは 1 です。

    6. 元のキーのエントリを開くとキー管理トランザクションが表示されます。
      詳細については、「キー管理トランザクション」を参照してください。
      前にアクティブだったキーのバージョン 0 のキーのライフサイクル状況が [ローテーション済み] にアップデートされ、新しいキーのバージョン 1[有効] になります。

    顧客管理キーの準備

    次の手順に従って、インスタンスにアップロードする顧客管理キーを準備します。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    このタスクについて

    顧客管理キーの場合は、任意の暗号化ライブラリまたは HSM を使用してキーを生成できます。このキーは AES 256 ビットのキーであり、RSAES_OAEP_SHA_256 暗号化スキーマを使用したクラウド暗号化ラッピング証明書でラップされている必要があります。
    注:

    OpenSSL 暗号化ツールを使用してキーを生成する場合、OpenSSL バージョンはバージョン 1.1.1x 以降である必要があります。

    Windows を使用して顧客管理キーを作成してラップする場合は、Git Bash などの Bash シェルサポートアプリケーションを使用して、ラップされたキーを生成する必要があります。

    手順

    1. OpenSSL を使用して、AES-256 ビット対称キーとして使用するランダム値を生成します。

      たとえば、openSSL を使用すると、openssl rand 32 コマンドでこのキーを生成できます。

      互換性のために、対称キーには次の属性が必要です。

      属性
      キータイプ Advanced Encryption Standard (AES) アルゴリズムベースの対称キー。
      鍵サイズ 256 ビット (32 バイト)
      キーラッピング要件
      • RSA 暗号化アルゴリズム
      • 最適な非対称暗号化パディング (OAEP)
      • SHA-256 ハッシュ関数 (RSAES_OAEP_SHA_256)
      • Base64 アルゴリズムを使用したエンコード
    2. キーをファイルに保存します。
      たとえば、openSSL コマンド openssl rand 32 > plaintext_key.bin は 32 バイトのキーを生成し、plaintext_key.bin という名前のファイルに保存します。
      重要:
      今後の参照のためにこのファイルを安全に保存してください。このキーはアップロード用の公開鍵でラップされます。
    3. インスタンスからダウンロードしたラッピング証明書ファイルから公開キーを抽出します。 
      openssl x509 -pubkey -noout -in wrapping_cert.pem > public_key.pem
      注:
      ラッピング証明書をダウンロードするには、「」を参照してください。
    4. RSAES_OAEP_SHA_256 アルゴリズムを使用して、ラッピング証明書と一緒にダウンロードした公開鍵で生成されたキーをラップします。 
      cat plaintext_key.bin | openssl pkeyutl -encrypt -inkey public_key.pem -pubin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 | openssl base64 -A -out wrapped_key.txt
      このコマンドで指定されたファイルには、CMK プロセスの SN に提供できるラップされた顧客管理キーが含まれています。

    ServiceNow と顧客管理キーの切り替え

    ServiceNow クラウド暗号化で使用する、顧客管理キーと ServiceNow 管理キーを切り替えます。

    デフォルトでは、インスタンスは ServiceNow 管理キーを使用するように構成されていて、ServiceNow による暗号化キーの生成がアクティブになっています。しかし、アドミンであれば顧客管理キーを使用する選択が可能です。ServiceNow 管理キーに戻すことも選択できます。

    顧客管理キーのローテーション

    クラウド暗号化 の顧客管理キーをラップした後、顧客管理キーをインスタンスにローテーションします。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    手順

    1. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作.
      [Cloud Encryption のキーメタデータ (Cloud Encryption Key Metadata)] リストがロードされます。インスタンスで使用されているすべてのキーがリストされます。
    2. [Cloud Encryption のキーメタデータ (Cloud Encryption Key Metadata)] リストで、アクティブなキーのレコードを開きます。
      キーが複数ある場合は、[キーのライフサイクル状況][有効] であるキーを選択します。インスタンスでは、有効なキーは 1 つのみです。
    3. キー定義レコードで、[キーのローテーション] ボタンを選択します。
    4. [顧客管理キーをアップロード] ウィンドウで、リストされている手順を実行します。
      1. [ラッピング証明書をダウンロード] を選択します。
        public_certificate....zip がローカルマシンにダウンロードされ、顧客管理キーをラップするために使用されます。
        警告:
        顧客管理キーのローテーションや顧客管理キーへの切り替えのたびにラッピング証明書をダウンロードすることで、証明書に関連する潜在的な問題を回避します。
      2. [参照] を選択して顧客管理キーをアップロードし、ラップされた暗号化キーを検索して選択します。
        別のファイルを選択するには、ファイルを選択して [削除] を選択します。
      3. [添付ファイル] ウィンドウを閉じます。
      4. キーをアップロードするには、[OK] を選択します。
        キーが適切な形式である場合は確認メッセージが表示され、それ以外の場合はエラーメッセージが表示されます。キーファイルはキー定義レコードに添付されています。

        [キー管理トランザクション] テーブルに、証明書のダウンロードとキーのアップロードの手順が表示されます。要求ステップの詳細については、「キー管理トランザクション」を参照してください。

    5. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作 をクリックしてキーのリストを表示します。
      キーのリストに、顧客管理キーの新しいレコードが表示されます。この新しいキーの [作成元] の値は [customer_supplied] で、ステータスは [有効] です。前のキーのステータスは [ローテーション済み] になります。

    顧客管理キーに切り替える

    ServiceNow クラウド暗号化 の顧客管理キーを使用します。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    顧客管理キーに切り替えるには、この手順の一環として、ラップされた顧客管理キーをアップロードできる状態にしておく必要があります。このキーをアップロードする準備の詳細については、「顧客管理キーの準備」を参照してください。キーのアップロード後、このプロセスによって新しいキーのキーローテーションが開始されます。

    手順

    1. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作.
    2. [クラウド暗号化のキーメタデータ (Cloud Encryption Key Metadata)] リストで、アクティブなキーのレコードを開きます。
      キーが複数ある場合は、[キーのライフサイクル状況][有効] であるキーを選択します。インスタンスでは、有効なキーは 1 つのみです。
    3. フォームの [関連リンク] セクションで、[顧客管理キーに切り替え] リンクを選択します。
    4. [顧客管理キーに切り替え] ダイアログボックスで、[管理キーをアップロード] ボタンをクリックします。
    5. [顧客管理キーをアップロード] ダイアログボックスで、リストされている手順を実行します。
      1. [ラッピング証明書をダウンロード] を選択します。
        警告:
        顧客管理キーのローテーションや顧客管理キーへの切り替えのたびにラッピング証明書をダウンロードすることで、証明書に関連する潜在的な問題を回避します。
      2. [参照]を選択し、プロンプトに従ってデバイスからキーを選択してアップロードします。
      3. [顧客管理キーに切り替え] を選択します。
      顧客管理キーに切り替える要求がインスタンスによって生成されます。現在のフォームで、元々アクティブであったキーの [キーライフサイクル状況][ローテーション済み]に変わっていることがわかります。
    6. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作 をクリックしてキーのリストを表示します。
      キーのリストに、顧客管理キーの新しいレコードが表示されます。この新しいキーの [作成元] の値は [customer_supplied] で、ステータスは [有効] です。

    タスクの結果

    インスタンスが ServiceNow クラウド暗号化 の顧客管理キーを使用するようになりました。

    重要:
    暗号化キーのコピーは、常に安全な場所でキー管理操作ができるようにしてください。このキーがないと、インスタンスにアクセスできなくなる恐れがあります。

    ServiceNow 管理キーに切り替える

    顧客管理キーから ServiceNow クラウド暗号化 管理キーに戻します。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    手順

    1. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作.
    2. [クラウド暗号化のキーメタデータ (Cloud Encryption Key Metadata)] リストで、アクティブなキーのレコードを開きます。
      キーが複数ある場合は、[キーのライフサイクル状況][有効] であるキーを選択します。インスタンスでは、有効なキーは 1 つのみです。
    3. フォームの [関連リンク] セクションで、[ServiceNow 管理キーに切り替え] リンクを選択します。
    4. [ServiceNow 管理キーに切り替え] ダイアログボックスで、[ServiceNow 管理キーに切り替え] ボタンを選択します。
      ServiceNow 管理キーに切り替える要求がインスタンスによって生成されます。現在のフォームで、元々アクティブであったキーの [キーライフサイクル状況][ローテーション済み]に変わっていることがわかります。
    5. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > キー管理操作 をクリックしてキーのリストを表示します。
      キーのリストに、ServiceNow 管理キーの新しいレコードが表示されます。この新しいキーの [作成元] の値は [ServiceNow] で、ステータスは [有効] です。

    キーローテーションをスケジュール

    ServiceNow 管理キーの自動ローテーションのスケジュールを設定します。このプロセスでは、暗号化キーが自動で廃止され、古いキーが新しく生成された暗号化キーに置き換えられます。顧客管理キーを使用している場合は、このスケジュールにより、カスタムキーを手動でローテーションするように促すリマインダーを提供できます。

    始める前に

    必要なロール : sn_kmf.admin

    手順

    1. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > スケジュールされたキーローテーション設定.
    2. [スケジュールされたキーローテーションを有効化] チェックボックスをオンにします。
    3. ビジネスニーズに基づいて、残りのフィールドに入力します。
      表 : 1. スケジュールされたキーローテーション設定
      フィールド 説明
      キーローテーション間の月数 (最大 60 か月) キーローテーション間の月数。この値はデフォルトで 12 で、最大 60 か月にすることができます。
      キーローテーションを実行する曜日 キーローテーションを実行する曜日。
      キーローテーションを実行する時刻 キーローテーションを実行する時刻。
      次回のキーローテーションの日時 次回キーローテーション実行予定の日時。この値は直接編集できず、選択に基づいて自動的に計算されます。
      リマインダーを送信するキーローテーションまでの日数 (最大 15 日) インスタンスが通知を送信するキーローテーションの実行日までの日数。
      メール通知は、次に示す承認されたセキュリティアドミニストレーターのリストに送信されます キーローテーションの通知を受信するユーザーのリスト。デフォルトでは、 システムアドミニストレーターがこのリストに含まれています。
    4. [送信] を選択します。
      [送信] を選択すると、フォームの上部に通知が表示されます。この通知により、キーローテーションと通知のスケジュールを確認できます。
      警告:

      スケジュールされた各キーローテーションには一意の署名があるため、ジョブの完全性が保証され、不正な変更が検出されます。スケジュール済みジョブの署名は、インスタンスごとに一意です。キーローテーションのスケジュール済みジョブをソースインスタンス A からターゲットインスタンス B にクローンすると、インスタンス B のスケジュール済みジョブは署名検証に失敗します。これが発生した場合は、[スケジュールされたキーローテーションを有効化] チェックボックスをオフにしてから再度オンにすることで、署名を再作成できます。この問題の詳細については、「KB1247113」を参照してください。

    顧客管理キーを取り消す

    顧客管理キーの取り消し機能が有効になると、[キー管理操作] ページで取り消し操作を使用できるようになります。キーの取り消しとクォーラムの承認操作も管理できます。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    このセクションは、クラウド暗号化 へのオプションのアドオンである Cloud Encryption Withdraw and Resupply がライセンスされている場合にのみ適用されます。

    手順

    1. 次のように移動する。 All (すべて) > クラウド暗号化キー管理 > > キー管理操作.
    2. テーブルからアクティブな顧客管理キーを選択します。
      [キー定義] テーブルに、顧客キーに関する一般的な情報が表示されます。キーの取り消し機能が利用可能になります。
    3. [キーを取り消す] を選択して、取り消しプロセスをトリガーします。
      警告:

      キーの取り消しの警告メッセージが表示されます。キーを取り消すと、インスタンスのシャットダウンがトリガーされ、取り消されたキーを使用して復元操作が実行されるまでそのままになります。

      危険:
      取り消された同じキーでのみ復元操作を実行できます。別のキーにローテーションする場合は、取り消されたキーを復元した後に行う必要があります。

      取り消された顧客管理キーが、ServiceNow がバックアップを保持する期間内に復元されない場合 (詳細については、バックアップおよび復元 SOP [標準運用手順] を参照)、インスタンスデータベースのバックアップにアクセスできなくなります。この方法で失われたバックアップデータは復旧できません。

    4. [OK] を選択してキーを取り消します。
      キーの取り消し機能に疑問がある場合は、[キャンセル] を選択します。
      [キー定義] 画面に戻り、確認メッセージが表示されます。
    5. [キー定義] ページを更新して、保留中の取り消し要求を表示します。
      キー管理トランザクション

      クォーラムコントロールポリシーが有効になっている場合、キーの取り消しを完了するには、承認ワークフローを正常に完了する必要があります。詳細については、「クォーラムコントロールを管理する」を参照してください。

    顧客管理キーの再供給

    キーの取り消し操作が完了したら、顧客管理キーをインスタンスに再供給する必要があります。

    始める前に

    必要なロール:sn_kmf.admin または sn_kmf.cryptographic_manager

    注:
    このセクションは、Cloud Encryption Withdraw and Resupply がライセンスされている場合にのみ適用されます。

    手順

    1. Now Supportに移動し、以下に移動します サービスカタログ > カタログ > インスタンス管理 > インスタンスの復元:管理キーの供給.
    2. [Request (要求)] をクリックします。
    3. [インスタンスの復元 - 管理キーの再供給 (Instance Restore - Resupply Managed Key)] ウィンドウで、[インスタンスを選択 (Select Instance)] ドロップダウンでインスタンスを選択します。
    4. ラッピング証明書のテキストをクリックして、ラッピング証明書をダウンロードします。
      警告:
      顧客管理キーをローテーションまたはアップロードするたびに、新しいラッピング証明書をダウンロードする必要があります。
    5. アップロードするキーを準備します。
      このプロセスの詳細については、「顧客管理キーの準備」を参照してください。
    6. [ステップ 4] セクションで、[参照してアップロード (Browse and upload)] をクリックして、ラップされたキーをローカルデバイスからアップロードします。
      キーがアップロードされると、[以下のファイルは正常にアップロードされました (Uploaded below file successfully)] の下にキーが表示されます。キーを再アップロードする必要がある場合は、[ファイルを削除] をクリックし、前の手順で説明したようにキーを再度アップロードします。
    7. [キーのローテーション] をクリックして、再供給を完了します。