マルチモジュール暗号化フィールド構成を構成する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月31日
  • 所要時間:4分

    • 複数の暗号化モジュールを使用する暗号化フィールド構成を作成します。

    始める前に

    必要なロール:KMF Admin または KMF Cryptographic Manager、Security Admin

    ServiceNowまたは顧客指定のキーを使用してフィールド暗号化モジュールを構成する必要があります。モジュールをまだ構成していない場合は、「 フィールド暗号化モジュールの構成」を参照してください。

    このタスクについて

    単一の暗号化フィールド構成に複数の暗号化モジュールを使用し、異なるモジュールキーを使用して列内の異なる行 (または同じテーブルの異なる添付ファイル) を暗号化します。たとえば、異なるロールを持つユーザーは同じテーブルのデータを暗号化できますが、互いの暗号化されたデータを復号化することはできません。

    警告:

    続行する前に、マルチモジュール暗号化フィールドの構成に関する次の制限に注意してください。

    • 一括暗号化は、マルチモジュール暗号化フィールド構成ではサポートされていません。
    • フィールド構成をマルチモジュールから単一モジュールに変更することはできません。代わりに、マルチモジュールフィールド構成を無効にして、新しい単一モジュールフィールド構成を作成する必要があります。
    • マルチモジュールフィールド構成で使用するモジュールキーは、フィールドにデータを入力する最初のユーザーによって決定されます。フィールド暗号化モジュールはレコードごとに設定されるため、リスト内のフィールドはさまざまなフィールド暗号化モジュールで暗号化できます。ただし、1 つのレコード内では、フィールドは 1 つのフィールド暗号化モジュールでのみ暗号化できます。

    手順

    1. 暗号化するテーブルと同じアプリケーションスコープ内にいることを確認します。
    2. 使用するフィールド暗号化モジュールが作成されていることを確認します。
      まだ行っていない場合は、 フィールド暗号化モジュールの構成を参照してください。
    3. 各モジュールにモジュールアクセスポリシーがあることを確認します。
      まだ行っていない場合は、 フィールド暗号化のモジュールアクセスポリシーの構成を参照してください。
    4. 次のように移動する。 All (すべて) > システムセキュリティ > フィールド暗号化 > 暗号化フィールドの設定.
    5. 暗号化フィールド設定レコードを開くか作成します。
    6. [メソッド] フィールドで、[複数のモジュール] を選択します。
    7. 必要に応じて、[タイプ] フィールドで [列] または [添付ファイル] を選択します。
    8. 該当する場合は、[ テーブル ] フィールドでテーブルを選択し、[ ] フィールドで列を選択します。
    9. [Submit (送信)] を選択します。

    タスクの結果

    レコードが保存され、[ アクティブ ] フィールドが有効になると、指定されたフィールドに作成された新しいデータは、関連するフィールド暗号化モジュールのモジュールキーで暗号化されます。モジュールアクセスポリシー「A」のロールを持つユーザーが指定されたテーブルに書き込むと、データはフィールド暗号化モジュール「A」のモジュールキーで暗号化されます。この場合、同じロールを持つユーザーのみがそのデータを復号化できます。

    マルチモジュール暗号化フィールド構成を使用したインシデントテーブルの [簡単な説明] 列の暗号化

    1. この例では A と B という 2 つのフィールド暗号化モジュールを作成します。
    2. フィールド暗号化モジュールごとに、モジュールアクセスポリシー (MAP A および B) を作成します。
      1. フィールド暗号化モジュール A の場合、モジュールアクセスポリシー A への HR ロールアクセス権をユーザーに付与します。
      2. フィールド暗号化モジュール B の場合、セールスロールを持つユーザーにモジュールアクセスポリシー B へのアクセス権を付与します。
    3. インシデントテーブルの [簡単な説明] 列を指定する暗号化フィールド設定レコードを作成し、[メソッド] フィールドで [複数のモジュール] を選択していることを確認します。
    4. 2 人のユーザーがいる:
      • マップ A に関連する HR ロールとフィールド暗号化モジュール A (ユーザー A) を持つ 1 つ
      • マップ B に関連する営業ロールを持つ 1 つとフィールド暗号化モジュール B (ユーザー B) を持つ 1 つ
      簡単な説明の値を使用してインシデントレコードを作成します。両方のユーザーにインシデントのリストを見てもらいます。
      1. ユーザー A によって作成されたインシデントレコードの簡単な説明は、フィールド暗号化モジュール A のキーで暗号化されます。
      2. ユーザー B によって作成されたインシデントレコードの簡単な説明は、フィールド暗号化モジュール B のキーで暗号化されます。
    5. HR ロールと営業ロールを持つユーザーは、インシデントにアクセスできます。HR ロールを持つユーザーのみが、(HR ロールを持っていた) ユーザー A によって作成されたインシデントの簡単な説明を復号化して表示できます。営業ロールを持つユーザーのみが、ユーザー B (営業ロールを持つ) によって作成されたインシデントの簡単な説明を復号化して表示できます。
    マルチモジュール構成を示すベン図