エッジ暗号化のキー管理

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：2分

エッジ暗号化で使用する暗号化キーについては、お客様の責任でその提供と管理を行っていただく必要があります。

このトピックでは、エッジ暗号化製品のキーについて説明します。フィールド暗号化で使用できるキー管理フレームワークに関する情報をお探しの場合は、「キー管理フレームワーク」を参照してください。

エッジ暗号化で使用する暗号化タイプをサポートする目的で暗号化キーを取得および作成する際は、次の点を考慮してください。

AES 128 ビットまたは AES 256 ビットのどちらを使用するか。デフォルトの AES 128 ビット暗号化キーは、使用しない場合でも定義する必要があります。
ファイルシステム、Java KeyStore、または Enterprise Key Management (EKM) のどれを使用するか。
暗号化キーをいつローテートするか。
どのような場合に一括暗号化ジョブを使用して新しいキーでデータを再暗号化するか。

プロキシ設定ファイルやキーストアからキーを削除する場合は、そのキーを使用しているインスタンス上のすべてのデータを事前に復号化しておくことが重要です。それには、新しい暗号化キーを追加して、一括キーローテーションジョブをスケジュールします。

キーストア

エッジ暗号化は、次のタイプのキーストレージをサポートしています。

ファイルストア: キーは、エッジ暗号化プロキシからアクセス可能なファイルシステム内のファイルに格納されます。ファイルに保存された暗号化キーは暗号化されていないため、これらのファイルの保護についてはユーザーの責任になります。
Java KeyStore: キーは、Java の JCEKS KeyStore に格納されます。Java KeyStore はパスワードで保護されているため、ファイルストア内のファイルにキーを格納する方法よりも安全です。1 つの Java KeyStore に複数のキーを格納することができます。キーはキー別名により識別されるため、複数のキーを簡単に管理できます。
Enterprise Key Management (EKM): キーは、SafeNet KeySecure または Unbound Technology のキー管理システムを使用して格納および取得されます。

エッジ暗号化プロキシの keystore ディレクトリーには、keystore.jceks という名前の Java JCEKS KeyStore ファイルが付属しています。このキーストアファイルには ServiceNow 公開キーが含まれています。この公開キーは、ServiceNow の署名が付いた暗号化ルールの検証に使用されます。

注:

ベースシステムの Java JCEKS KeyStore 以外のキーストアを使用する場合は、ServiceNow 公開キーをキーストアにインポートする必要があります。公開キーの別名は servicenow です。

暗号化キーだけでなく、Java JCEKS KeyStore は RSA キーペアやデジタル証明書の格納にも使用します。RSA キーペアは、インスタンスに格納される暗号化設定と暗号化ルールにデジタル署名する場合に使用します。デジタル証明書は、エッジ暗号化プロキシがブラウザーや他のクライアントとのセキュア接続を確立するために使用します。