ServiceNow アクセス制御の詳細

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • SNC Access Control プラグイン (com.snc.snc_access_control) を有効にして、どの カスタマーサービス & サポート 従業員がインスタンスにいつアクセスできるかを制御できます。

    初めてプラグインを有効にすると、カスタマーサービス & サポート の従業員はインスタンスにログインできません。現在ログインしている カスタマーサービス & サポート の従業員はログインしたままになります。特定の SNC 従業員またはすべての従業員にアクセス権を付与するレコードを SNC アクセス制御テーブルに作成します。

    プラグインにより、カスタマーサービス & サポートの担当者が特別な許可なしにインスタンスにアクセスできないようにします。ただし、製品をサポートおよび管理する権限を持ち、使用状況を検証する、その他の認定された ServiceNow 運用担当者は、基礎となるインフラストラクチャで管理アクションを実行する必要があります。このインフラストラクチャには、SaaS を構成する他のインフラストラクチャコンポーネントの中でも、サーバーとデータベースが含まれます。このアクセス方法は監査可能および追跡済み。

    このプラグインを使用すると、特別な権限なしにインスタンスへのアクセスを制限できるため、サポートのサービスレベルと可用性 SLA に影響を与える可能性があります。可用性 SLA は、サポートスタッフ担当者がインスタンスへのアクセスを許可された時間から測定されます。

    ログインセキュリティ

    権限のあるカスタマーサービス & サポートの従業員によるインスタンスへのログインのセキュリティは、安全なサーバーで生成された暗号化されたトークンを使用して確保されます。適切に認証されたカスタマーサービス & サポートの従業員のみがインスタンスへのアクセスを許可されます。SNC アクセス制御プラグインがない場合、セキュリティサーバーは hi.service-now.com でアクセス権を適用します。プラグインが有効な場合、暗号化されたログイントークンは、これらのレコードで定義された条件を使用して、プラグインで提供されるアクセスリストの名前と一致する必要があります。この認証方法により、カスタマーサービス & サポートの従業員の誰がいつインスタンスにアクセスできるかを正確に判断できます。

    このシステムに選択されたアーキテクチャには、インスタンスのセキュリティを強化するように設計されたいくつかの機能があります。
    セキュリティサーバー
    セキュリティサーバーは、ServiceNow セキュリティ担当者のみがアクセスできる、ロックダウンされた Linux ホストです。このサーバーは、ログイントークンを生成するために必要な重要な秘密暗号化キーにアクセスできる唯一のシステムです。このコンパートメント化 (標準的なセキュリティプラクティス) を使用することで、万一、攻撃者が HI インスタンスを侵害した場合でも秘密キーが保護されます。
    合成ユーザー
    権限のあるカスタマーサービス & サポートの従業員がインスタンスにログインできるようにするインスタンスの機能では、そのインスタンスにアカウントをプロビジョニングする必要はありません。プロビジョニングされたユーザーレコードはなく、永続的な認証情報もありません。代わりに、カスタマーサービス & サポートの従業員のログオンごとに合成ユーザーが作成されます。このユーザーはメモリ内にのみ存在し、継続的な権限を提供しません。SNC アクセス制御プラグインが有効になっている場合、いつでもカスタマーサービス & サポートの従業員の許可を解除できます。
    トークン
    セキュリティトークンは、インスタンスと特定のカスタマーサービス & サポートの従業員に固有です。さらに、トークンを生成するメカニズムは、代理操作されたユーザーではなく、HI への実際のカスタマーサービス & サポート従業員ログインでのみ機能します。セキュリティトークンが生成されると、特定のカスタマーサービス & サポートの従業員のみがインスタンスにログインできます。
    時間制限
    セキュリティトークンは、生成されてから 4 時間後に期限切れになります。この有効期限は、この短い期間にのみ使用できるハイジャックされたトークンのユーティリティを制限します。
    ログ記録
    カスタマーサービス & サポートの従業員によるインスタンスへのログインは、ログインイベントとして記録されます。
    • ログインしているカスタマーサービス & サポートの従業員が実行したすべてのアクションは、データベースのトランザクションログに追加されます。
    • また、ほとんどの ServiceNowの従業員がアクセスできないファイルシステムのインスタンスログにも追加されます。
    • ユーザー名はすべて @snc で終わるため、カスタマーサービス & サポートの従業員のログインとアクションは簡単に識別できます (例:frodo.baggins@snc)。

    これらのアクションにより、従業員以外のアクセスに対して、使いやすく、堅牢で信頼性の高いセキュリティログ記録が提供されます。

    セキュリティ処理フロー

    カスタマーサービス & サポートの従業員がインスタンスにログインする場合、セキュリティ処理フローは次のようになります。

    1. カスタマーサービス & サポートの技術者が hi.service-now.com からインスタンスへのログインを要求します。
    2. HI は、技術者がインスタンスへのアクセスを許可する適切なロールを持っていることを確認します。
    3. ユーザーが適切なロールを持っている場合、HI はアクセス要求をセキュリティサーバーに送信します。
    4. セキュリティサーバーは、要求が HI IP アドレスから送信されたことを確認し、要求 (ユーザー、ロール、および要求者の IP アドレス) を評価します。要求が有効な場合、セキュリティサーバーはその要求を承認してトークンをビルドします。このトークンには、ユーザー名、ロール、インスタンス ID、および時刻 (4 時間のトークン有効期間の開始) が含まれています。最後に、セキュリティサーバーは秘密暗号化キーを使用してトークンを暗号化します。
    5. セキュリティサーバーが暗号化されたトークンを HI に送信します。
    6. HI はサポート技術者のブラウザにトークンを送信します。
    7. サポート技術者のブラウザは、@snc で終わる特別なユーザー名を使用して、インスタンスへのログインを開始します。
    8. インスタンスは公開鍵を使用してトークンを復号化します。トークンを検証するために、インスタンスはトークンを前のステップで指定されたユーザー名、インスタンス ID、および許可された時間枠と照合します。SNC アクセス制御プラグインが有効になっている場合、インスタンスはユーザーが次の条件を満たしていることを確認します。
      • リスト済み
      • 有効
      • 現在の期間内にインスタンスにアクセスするように設定されています。
    9. ユーザーが認証されると、インスタンスは指定されたロールを持つ合成ユーザーをメモリ内に作成します。このユーザーは、時間制限が切れるか、ユーザーがログオフするか、またはインスタンスが再起動された後は存続しません。
    図 : 1. ServiceNow セキュリティアクセスプロセスフロー
    ServiceNow セキュリティアクセスプロセスフロー

    監査ログ

    次のログ記録は、カスタマーサービス & サポートの従業員によるログインとアクティビティを追跡します。
    • イベントログ:イベントログには、インスタンスへのすべてのカスタマーサービス & サポートのログインが表示されます。
    • トランザクションログ:トランザクションログには、ログの削除を含むインスタンスのすべてのアクティビティが表示されます。
    注:
    このプラグインの詳細については、「インスタンスセキュリティ強化設定」の「ServiceNow アクセス制御」を参照してください。