キー管理フレームワークの詳細
キー管理フレームワーク (KMF) のコンポーネントと、それらを使用してインスタンスでの暗号化操作の実行方法を管理する方法について説明します。
キー管理フレームワークのコンポーネント
- KMF 暗号化モジュール
-
KMF は暗号化モジュールの管理を中心としています。これらのモジュールを使用して、インスタンス上のどのデータを暗号化するか、および使用する暗号化方法を定義します。複数のモジュールを使用することで、異なる暗号化仕様を使用してインスタンスのさまざまな領域を暗号化できます。
たとえば、256 ビット対称キーを持つ AES-CBC を使用してヒューマンリソース (HR) アプリケーションのデータを保護する場合は、そのためのモジュールを作成できます。これらのモジュールの詳細については、「 暗号化モジュールの概要」を参照してください。
- 暗号化キー
-
暗号化キーは、暗号化で使用される文字列です。暗号化アルゴリズムと一緒に使用すると、データをエンコードまたはデコードできます。これらのキーは、モジュールに割り当てられた暗号化仕様で使用されます。ServiceNowによって生成されたキーを使用するか、フィールド暗号化エンタープライズを使用して独自のキーをアップロードするかを選択できます。キーの詳細については、「キー管理フレームワークのインスタンスレベルのキー」を参照してください。
- 暗号化仕様
-
暗号化仕様は、データの暗号化に使用されるアルゴリズムを定義します。これらのアルゴリズムでは、暗号化キーを使用してデータをエンコードまたはデコードします。モジュールに暗号化仕様を割り当てると、そのモジュールに割り当てられたデータの暗号化方法が決まります。
- モジュールアクセスポリシー
-
モジュールアクセスポリシー (MAP) は、暗号化モジュールに適用するアクセス制御です。これらのポリシーを使用して、暗号化モジュールで暗号化されたデータにアクセスできるユーザーとスクリプトを決定します。詳細については、「モジュールアクセスポリシーの概要」を参照してください。
キー管理フレームワークワークフロー
- 1. KMF ロールのアサイン
- アドミニストレーターは、まず自分自身に sn_kmf.admin ロールを割り当てることから始める必要があります。このロールでは、KMF 機能を使用し、KMF ロールを他のユーザーに割り当てることができます。
- 2. KMF 設定を構成する
- フィールド暗号化の設定を構成して、指定したキーまたは独自の顧客指定のキー (CSK) のいずれかを選択して暗号化します。
- 3.暗号化モジュールを作成する
- 暗号化モジュールを使用して、暗号化するインスタンス上のデータのセットを選択します。後のステップで、暗号化仕様を割り当ててこのデータの暗号化方法を決定し、モジュールアクセスポリシーを割り当ててデータを復号化できるユーザーを決定します。
- 4. 暗号化仕様を作成する
- 暗号化仕様は、暗号化の方法を定義します。モジュールに割り当てられると、そのモジュールに割り当てられたデータの暗号化方法が定義されます。
- 5. モジュールアクセスポリシーを作成する
- データを保護するモジュールを作成したら、モジュールアクセスポリシーを作成して、暗号化されたデータにアクセスできるユーザーとスクリプトを制御します。
- 6. 暗号化モジュールライフサイクルポリシーを作成する
- これらのポリシーは、暗号化キーの有効期間など、暗号化モジュールに制限を課します。これらのポリシーは、公開を制限することで暗号化モジュールを保護できます。
キー管理フレームワークのメリット
| メリット | 機能 | ユーザー |
|---|---|---|
| 機密データや専有データを保護します。 | 暗号化とキー管理 | すべて |
| NIST 800-57 ガイドラインの遵守を維持します。これらのガイドラインは、ネットワークとデータに対するサイバーセキュリティリスクを軽減するために、米国国立標準技術研究所によって提供されています。 | 暗号化とキー管理 | セキュリティアドミニストレーター |
| キー管理フレームワークを使用して、暗号化キーを生成、アップロード、表示、管理します。手動またはスケジュールされたキーローテーションを使用して、セキュリティを強化します。 | キー管理フレームワーク | セキュリティアドミニストレーター |