高セキュリティ設定の詳細
高セキュリティ設定とは、インスタンスで利用可能な複数のセキュリティオプションを指します。
高セキュリティ設定モジュールは、High Security Settings プラグインで有効になり、新しいインスタンスではデフォルトで有効になります。インスタンスで高セキュリティ設定がアクティブでない場合は、「高セキュリティ設定のア有効化を要求する」を参照してください。このプラグインの詳細については、「インスタンスセキュリティ強化設定」の「高セキュリティプラグインを有効にする (Security Center 1.3 で更新)」を参照してください。次のタイプの高セキュリティ設定のプロパティを使用できます。
- デフォルトのプロパティ値:すべての重要なセキュリティ設定を 1 つの場所で管理および監査することで、プラットフォームのセキュリティを強化します。
- デフォルトの拒否プロパティ:テーブルアクセスのデフォルトのセキュリティ動作を制御するセキュリティマネージャープロパティを提供します。
- セキュリティアドミニストレーターロール:主要なセキュリティ設定とリソースの変更を防止するロールを提供します。セキュリティアドミンロールは admin ロールによって継承されないため、明示的にアサインする必要があります。
- 昇格された権限:security admin ロールを持つユーザーが、通常のユーザーのコンテキストで操作し、必要に応じてより高いセキュリティロールに昇格できるようにします。
- プロパティアクセス制御:セキュリティアドミニストレーターは、プロパティの読み取りと書き込みに必要なロールを設定できます。
- システムログ:読み取り専用です。
- アクセス制御ルール:ユーザーがアクセスできるデータとアクセス方法を制御します。
- 高セキュリティ設定では、コンテキストセキュリティプラグインも自動的に有効になります (まだ有効になっていない場合)。さらに、プラットフォームセキュリティ設定 - 高は、インスタンスのセキュリティを強化するための設定と機能を提供します。
- [インスタンスセキュリティ強化設定] コンテンツには、ServiceNow AI Platform のセキュリティ関連のシステムプロパティとプラグインの詳細な説明とコンプライアンス値が含まれています。
- これらのプロパティの詳細については、「ハードニング設定」を参照してください。
- 移動先 .
[高セキュリティプロパティ] ページのオプションは [はい] または [いいえ] です。
- sys_properties.list に移動し、設定または変更するプロパティを検索します。
システムプロパティテーブル [sys_properties.list] のオプションは true または false です。
プロパティアクセス制御
高セキュリティ設定がアクティブな場合、プロパティ [sys_properties] テーブルに 2 つの追加列が作成されます。
- read_roles:このプロパティのすべてのフィールドを読み込むことができるロール名のカンマ区切りリスト。
- write_roles:このプロパティのすべてのフィールドに対して書き込み/変更ができるロール名のカンマ区切りリスト。
プロパティテーブルにリストされているプロパティには、admin の read_roles と security_admin の write_roles があります。admin ロールを持つユーザーはプロパティ値を表示して読み取ることができますが、変更するには security_admin ロールに昇格する必要があります。
通知
高度なセキュリティ設定を有効にすると、セキュリティ警告メッセージも有効になります。承認後に表示されるメッセージの例を次に示します。
高セキュリティ設定プロパティ
| プロパティ | 説明 | デフォルト値 | インスタンスセキュリティ強化設定 |
|---|---|---|---|
| glide.ui.escape_text | ユーザーインターフェイスのパーサーレベルで XML 値をエスケープします。反映および格納されたクロスサイトの防止スクリプティング攻撃を防止します。このプロパティは、サービスポータルには適用されません。 注: Vancouver 以降のリリースでは、このプロパティはデフォルトで true に設定されており、アドミニストレーターが変更することはできません。プロパティを変更する必要があるユースケースについては、カスタマーサポートにお問い合わせください。 |
はい | XML マークアップをエスケープ (セキュリティセンター 1.3 での更新) |
| glide.ui.escape_all_script | デフォルトで Jelly JavaScript |
はい (新しいインスタンスの場合) | Jelly スクリプトをエスケープ (セキュリティセンター 1.3 および 1.5 で更新) |
| glide.ui.rotate_sessions | HTTP セッション識別子をローテーションしてセキュリティの脆弱性を低減します。参照:http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers |
はい 注: シングルサインオン認証に SAML 2.0 プラグインを使用している場合、このプロパティを [いいえ] に設定します。設定しない場合、インスタンスと ID プロバイダーの間で行われるセッション情報の共有が妨げられます。 |
HTTP セッション識別子をローテーションする |
| glide.ui.secure_cookies | 有効化セキュアセッションの cookie:追加の cookie セキュリティを有効にします。「はい」の場合、厳格なセッション cookie 検証が適用されます。 |
はい | 厳格なセッション Cookie のセキュリティを強制する (セキュリティセンター 1.3 で更新) |
| glide.security.password_reset.uri | モバイルの パスワードリセット では、ユーザーが [パスワードを忘れた場合] ボタンをクリックしたときに移動する URL を指定できます。 |
なし | |
| glide.security.strict.updates | フォーム送信時に受信トランザクションのセキュリティを再確認します (フォーム生成時に常に権限が確認されます)。 注: Vancouver 以降のリリースでは、このプロパティはデフォルトで true に設定されており、アドミニストレーターが変更することはできません。プロパティを変更する必要があるユースケースについては、カスタマーサポートにお問い合わせください。 |
はい | 受信トランザクションを再確認する (Security Center 1.3 で更新) |
| glide.security.strict.actions | 実行前に UI アクションの条件をチェックします。通常、条件はフォームのレンダリング中にのみチェックされます。 |
はい | 実行前の UI アクションの条件のチェック |
| glide.security.use_csrf_token | セキュアなトークンの使用を有効にして、受信要求を識別して検証します。このトークンはクロスサイトリクエストフォージェリ攻撃を防ぐために使用されます。 |
はい | Anti-CSRF トークンを有効にする (Security Center 1.3 の新機能、1.5 で更新、2.0 で削除) |
| glide.ui.escape_html_list_field | リストビュー内の HTML フィールドに対して HTML をエスケープします。 |
はい | リストビューでの HTML をエスケープ (セキュリティセンター 1.3 および 1.5 で更新) |
| glide.html.escape_script | HTML フィールドの javascript タグをエスケープします。 |
はい | JavaScript をエスケープ (Security Center 1.3 で更新) |
| glide.ui.forgetme | ログインページから [記憶する] チェックボックスを削除します。 |
はい | [記憶する] の削除 |
| glide.smtp.auth | ユーザー名とパスワードのプロパティで SMTP サーバーを認証します。 注: このプロパティは廃止されました。 |
はい | |
| glide.soap.strict_security | 着信 SOAP 要求に厳格なセキュリティを適用します。着信 SOAP 要求は、セキュリティマネージャーを経由してテーブルとフィールドにアクセスし、SOAP ユーザーに Web サービスを使用するための正しいロールがあるかをチェックする必要があります。 |
はい | SOAP 要求の厳格なセキュリティを強制する (Security Center 1.3 で更新) |
| glide.basicauth.required.wsdl | 着信 WSDL 要求に認証を要求します。 注: 着信 WSDL 要求に認証を要求することを選択しない場合、アクセス制御 (ACL) ルールを変更してゲストユーザーが WSDL コンテンツにアクセスできるようにする必要があります。 |
はい | WSDL 要求に認証を必須とする (セキュリティセンター 1.3 および 1.5 で更新) |
| glide.basicauth.required.csv | 着信 CSV 要求に基本認証を要求します 。 |
はい | csv 要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.basicauth.required.excel | 着信 Excel 要求に基本認証を要求します。 |
はい | Excel 要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.basicauth.required.importprocessor | 着信インポート要求に基本認証を要求します。 |
はい | インポート要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.basicauth.required.pdf | 着信 PDF 要求に基本認証を要求します。 |
はい | PDF 要求に認証を必須とする (セキュリティセンター 1.3 で更新) |
| glide.basicauth.required.rss | 着信 RSS 要求に基本認証を要求します。 | はい | RSS 要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.basicauth.required.scriptedprocessor | 着信スクリプト要求に基本認証を要求します。 |
はい | スクリプト要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.basicauth.required.soap | 着信 SOAP 要求に基本認証を要求します。 |
はい | SOAP 要求に認証を必須とする (Security Center 1.3、1.5、および 2.0 で更新) |
| glide.basicauth.required.unl | 着信アンロード要求に基本認証を要求します。 |
はい | アンロード要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.basicauth.required.xml | 着信 XML 要求に基本認証を要求します。 |
はい | XML 要求に対する認証を必須とする (セキュリティセンター 1.3 で更新) |
| glide.basicauth.required.xsd | 着信 XSD 要求に基本認証を要求します。 |
はい | XSD 要求に認証を必須とする (Security Center 1.3 で更新) |
| glide.cms.catalog_uri_relative | /ess/catalog.do の URL パラメーターからの相対リンクを適用します。「はい」の場合、uri パラメーターを使用して、/ess/catalog.do ページから相対 URL のみが許可されます。「いいえ」の場合、すべての URL が許可され、外部の許可されていないコンテンツへのリンクが許可される可能性があります。 |
はい | 相対リンクを強制する (セキュリティセンター 1.3 および 1.5 で更新) |
| glide.set_x_frame_options | このプロパティを有効にして、すべての UI ページの SAMEORIGIN に対して X-Frame-Options 応答ヘッダーを設定します。X-Frame-Options HTTP 応答ヘッダーは、<frame> または <iframe> 内のページの表示をブラウザに許可するかどうかを示すために使用されます。サイトでは、このプロパティを使用して、このコンテンツがその他のサイトに組み込みできないようにすることで、クリックジャッキング攻撃を回避することができます。 https://developer.mozilla.org/en/the_x-frame-options_response_header |
はい | X-Frame-Options:SAMEORIGIN セキュリティヘッダーを実装 (セキュリティセンター 1.3 で更新) |
| glide.ui.attachment.download_mime_types | ブラウザにインラインで表示されない、カンマ区切りの添付 MIME タイプのリスト。クロスサイトの防止スクリプティング攻撃を防ぎます。たとえば、text/html は、HTML ファイルをブラウザでインライン表示するのではなく、添付ファイルとしてクライアントに強制的にダウンロードします。 |
text/html,image/svg,image/svg+xml | ダウンロード可能な MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
| glide.security.groupby_acl_check | このプロパティが有効である場合、GroupBy 操作について、グループの実際のデータに基づきグループ名の ACL チェックが実行されます。 |
はい | なし |
| glide.security.diag_txns_acl | 「はい」の場合、admin ユーザーまたは許可されている IP アドレスからのユーザーのみが stats.do、threads.do、および replication.do にアクセスできます。 | いいえ | パフォーマンス監視のアクセスを制限する (Security Center 1.3 で更新) |
| glide.ui.security.codetag.allow_script | 埋め込み HTML ([code] タグを使用) に JavaScript タグを含めることができます。 注: Vancouver 以降のリリースでは、このプロパティはデフォルトで true に設定されており、アドミニストレーターが変更することはできません。プロパティを変更する必要があるユースケースについては、カスタマーサポートにお問い合わせください。 |
いいえ | 埋め込み HTML コードを無効化する (セキュリティセンター 1.3 で更新) |
| glide.script.allow.ajaxevaluate | AJAXEvaluate プロセッサを有効にします。AJAXEvaluate API 呼び出しにより、クライアントはサーバー上で任意のスクリプトを送信して実行できます。 |
いいえ | AJAXEvaluate を無効にする |
次のプロパティは sys_properties テーブルで定義されますが、[高セキュリティ設定] ページには表示されません。
| プロパティ | 説明 | デフォルト値 | インスタンスセキュリティ強化設定 |
|---|---|---|---|
| com.glide.communications.httpclient.verify_hostname | リモート SSL ホストによって提示されたホスト名と証明書チェーンを確認します。中間者 (MITM) 攻撃から保護します。 詳細については、「Kubernetes Spoke を設定」を参照してください。 注: このプロパティは、com.glide.communications.trustmanager_trust_all プロパティを上書きします。 |
true | なし |
| glide.basicauth.required.schema | 受信テーブルスキーマ要求に対してベーシック認証を要求します。 |
true | なし |
| glide.security.csrf_previous.allow | 期限切れのセキュアトークンの使用を許可して、受信要求を識別して検証します。このトークンはクロスサイトリクエストフォージェリ攻撃を防ぐために使用されます。 |
false | なし |
| glide.security.csrf_previous.time_limit | 保護トークンが期限切れになるまでの時間 (秒)。以前の CSRF トークンが有効である期間の長さを制御できます。ユーザーセッションが期限切れになると、glide.security.csrf_previous.allow プロパティが有効になっていて、このプロパティで指定された期間内にない限り、セキュアトークンも期限切れになります。このトークンはクロスサイトリクエストフォージェリ攻撃を防ぐために使用されます。 |
86400 注: 値は秒単位です。1 日に相当します。 |
なし |
| glide.security.csrf.strict.validation.mode | CSRF トークンの厳格な妥当性確認が実施されるため、CSRF トークンが一致しない場合、ユーザーは要求を再送信できません。 |
false | CSRF 検証をバイパスする警告をユーザーが受け入れるのを防ぐ (Security Center 1.3 および 1.5 で更新) |
| com.glide.security.check_unsanitized_html | フィールドに割り当てるために、グローバルレベルで translated_html フィールドのサニタイズ動作を強制します。 | enforce | なし |