Rome 以降、password2 データは、より新しい Advanced Encryption Standard (AES) アルゴリズムを使用する キー管理フレームワーク を使用して保護されます。ただし、password2 ロジックの一部の構成と代替では、暗号化と復号化に 3DES アルゴリズムを引き続き使用できます。

Vancouver リリースでは、アドミニストレーターは 3DES アルゴリズムを完全に廃止することを選択できます。この変更を完了すると、インスタンスは password2 データに関連するすべての暗号化タスクと復号化タスクに対して AES 暗号化を排他的に使用します。この変更では 3DES 暗号化よりも優れたインスタンスセキュリティが提供され、これは、NIST 準拠を維持するために必要です。

廃止前の考慮事項

インスタンス間での password2 データの転送

password2 暗号化テキストを他のインスタンスに転送する場合は、ソースインスタンスとターゲットインスタンスの間で KMF 鍵交換 が有効になっていることを確認する必要があります。この構成により、password2 テキストの暗号化に使用されるキーが、password2 暗号化テキストを復号化するために両方のインスタンスで使用できるようになります。3DES を廃止する前に、インスタンス間の password2 データに影響を与える可能性がある次のユースケースを検討してください。

• password2 データを使用するアプリケーションがインスタンスにある場合は、そのインスタンスに KMF リソース交換 がインストールされていることを確認してください。KMF リソース交換 は、ソースインスタンスで password2 データの暗号化に使用されるインスタンスレベルのキーを、ターゲットインスタンスで復号化に使用できるようにします。詳細については、「キー管理フレームワークリソース交換」を参照してください。
• XML またはデータソースを介して password2 データをエクスポートする場合は、ターゲットインスタンスで KMF 鍵交換 が有効になっていることを確認してください。この構成により、ソースインスタンスの password2 データの暗号化に使用されるインスタンスレベルのキーが、ターゲットインスタンスで復号化に使用できるようになります。この構成の詳細については、「キー管理フレームワークキー交換」を参照してください。
  重要:

  上記の例はより一般的なシナリオですが、他の方法を使用して password2 暗号化テキストをインスタンス間で転送する場合は、KMF リソース交換 を設定して、ターゲットインスタンスが password2 データを復号化できるようにする必要があります。

3DES 廃止後のインスタンスのダウングレード

以下は、password2 フィールドの入力長が 125 文字を超え、3DES 暗号化が既に廃止されているインスタンスにのみ適用されます。

インスタンスのクローン作成を介して Vancouver より前のリリースにインスタンスをダウングレードするには、クローンを開始する前に次のステップを実行します。

1. データ保持が password2 フィールドデータを保持するように設定されているかどうかを確認します。
2. 設定されている場合は、クローンを要求する前に ServiceNow サポートに連絡して 3DES の廃止を無効にしてください。[理由] フィールドで、[password2 サポートに対するクローンダウングレードの前提条件 (Clone downgrade pre-requisite for password2 support)] を使用します。

従来の Password2 フィールド

インスタンスは 3DES 暗号化を使用して password2 データを従来の (Rome 前の) password2 データに変換します。3DES 暗号化の廃止後、このオプションは使用できなくなります。この機能が引き続き必要な場合は、部分的な廃止を要求します (詳細については次のセクションを参照してください)。

3DES を廃止する方法

上記のユースケースを確認した後、ナレッジベース記事のKB1704481を使用して、インスタンスで DES またはトリプル DES アルゴリズムの使用を安全に廃止するためのステップバイステップのプロセスを実行します。詳細については、「 KB1704481」を参照してください。

GlideEncrypter の廃止後