フィールド暗号化エンタープライズ の例
これらの例では、顧客指定のキーを使用したフィールドと添付ファイルの暗号化について説明します。
フィールド暗号化エンタープライズ チュートリアル
このチュートリアルでは、キー管理フレームワーク (KMF) がある フィールド暗号化エンタープライズ を使用してインスタンスのフィールドを暗号化する方法を示します。また、独自のキーを使用する方法も示します。
始める前に
必要なロール:admin または security_admin
このタスクについて
このチュートリアルは、個人暗号化キーを既に作成してアップロードしたインスタンスから開始します。ServiceNow キーを使用できますが、この例では顧客指定のキーを使用します。
キーが暗号化モジュールに格納されたら、給与や社会保障番号など、特定のユーザーのアクセスが制限されるフィールドの設定を開始できます。暗号化フィールド構成で、機密データにアクセスできる権限を持つ担当者を指定します。
このタスクでは、2 つのシナリオを示します。1 つの例では、機密データを表示する権限のないユーザーのために、インシデントの [簡単な説明] フィールドを暗号化します。
添付ファイルを暗号化して、アクセス権が付与されたユーザーのみに表示するか、データの表示が制限されていないすべてのユーザーに表示することもできます。添付ファイルを暗号化するには、「添付ファイルの暗号化のチュートリアル」を参照してください。
手順
-
フォームのフィールドに入力します。
表 : 1. 暗号化フィールドの構成フォーム フィールド 説明 タイプ 個人キーを使用するには、列が必要です。 テーブル 機密情報を格納するテーブル。この例では、インシデント [インシデント] を選択します。 列 暗号化する機密データを表す列または特定の情報。この例では、short_description を選択します。 有効 フィールド構成を使用するためにアクティブをマークするオプション。 アルゴリズム等価性保存 このオプションは自動的に選択されます。 暗号化モジュール 個人キーで使用するために作成したモジュール。 メソッド 単一モジュールオプションは、1 つのモジュールにポリシーを適用するために使用されます。複数モジュールは、複数のモジュールにまたがってポリシーを適用するために使用されます。 図 : 1. 暗号化フィールドの構成の例 -
フォームで、フィールドに入力します。
表 : 2. モジュールアクセスポリシーフォーム フィールド 説明 ポリシー名 簡単な説明などのポリシーの名前。 暗号化モジュール キーを暗号化するために作成した暗号化モジュール。 タイプ 暗号化ポリシーのアクセス指定のタイプ。ロールを使用して、割り当てられたロールを持つユーザーのみに暗号化フィールドへのアクセス権を付与します。 ターゲットロール 暗号化フィールドにアクセスできるロール。この例では、Admin を選択します。 有効 モジュールアクセスポリシーをアクティブ化するオプション。 結果 追跡オプションを使用すると、選択したロールのフィールドにアクセスできます (選択したロールに対してそのフィールドへのアクセスを制限するには、[却下] または [厳格な却下] を選択します)。 図 : 2. モジュールアクセスポリシーの例 -
sn_kmf.admin ロールを持つユーザーとして、次の場所に移動します .
図 : 3. 表示される暗号化フィールドの例 これで、モジュールアクセスポリシー構成に基づいて [簡単な説明] フィールドを表示できます。注:モジュールアクセスポリシーを [追跡] に設定することで、sn_kmf.admin ロールに暗号化フィールド (簡単な説明) へのアクセス権が付与されました。フィールド名の下にあるロックアイコン (
) は、フィールドが暗号化されていることを示しています。これで、エンドユーザーとしてインシデントモジュールにアクセスして、暗号化フィールドの設定をテストできます。
-
構成されたフィールド暗号化データの表示が制限されるユーザーとしてログインします。
図 : 4. 暗号化されたフィールドレベルデータ インシデント番号にアクセスしても、[簡単な説明] のデータは表示されません。
タスクの結果
フィールド暗号化エンタープライズ を使用して特定のフィールドへのアクセスを制御する対称キーを正常に使用しました。
添付ファイルの暗号化のチュートリアル
このチュートリアルでは、キー管理フレームワーク (KMF) がある フィールド暗号化エンタープライズ を使用してインスタンスの添付ファイルを暗号化する方法を示します。また、独自のキーを使用する方法も示します。
始める前に
必要なロール:kmf 暗号化マネージャー
このタスクについて
このチュートリアルでは、顧客指定の暗号化キーを作成してアップロードしたインスタンスから開始します。キーを使用することもできますが、この例では顧客指定のキーを使用します。
機密性の高い添付ファイルをインスタンスにアップロードし、特定のユーザーからのアクセスを制限します。暗号化フィールド構成を使用して、機密データにアクセスできる権限を持つ担当者を指定します。
アクセス権を付与されたユーザーのみに表示するか、または、データの表示を制限されていないすべてのユーザーに表示するために、添付ファイルを暗号化する方法を示します。この例では、特定のロールが インシデントモジュールの添付ファイルにアクセスできないように制限しています。
手順
-
フォームに次のように入力します。
表 : 3. 暗号化フィールドの構成フィールド フィールド 説明 タイプ 選択したテーブルから添付ファイルを暗号化するために個人キーを使用するには、添付ファイルを選択します。この例の場合、インシデントを選択します。 テーブル 機密情報にアクセスするテーブルを選択します。この例では、インシデント [インシデント] を選択します。 有効 フィールド構成を使用できるようにするために、アクティブをマークします。 アルゴリズム等価性保存 フィールド暗号化エンタープライズを選択すると、このフィールドは選択したテーブルに基づいて表示されます。 暗号化されたモジュール 個人キーで使用するために作成したモジュールを選択します。 メソッド 単一モジュールオプションは、1 つのモジュールにポリシーを適用するために使用されます。複数モジュールは、複数のモジュールにまたがってポリシーを適用するために使用されます。 図 : 5. 暗号化フィールド構成テーブル -
フォームに次のように入力します。
表 : 4. モジュールアクセスポリシーフィールド フィールド 説明 ポリシー名 ポリシーの名前 (「添付ファイルポリシー」など) を入力します。 暗号化モジュール キーを暗号化するために作成した暗号化モジュールを選択します。 タイプ 割り当てられたロールを持つユーザーからの暗号化フィールドへのアクセスを制限するには、ロールを選択します。 ターゲットロール 暗号化フィールドにアクセスできないロールを選択します。この例では、itil を選択します。 有効 モジュールアクセスポリシーを使用できるようにするには、このチェックボックスをオンにします。 結果 選択したロールから添付ファイルへのアクセスを制御するには、[厳格な却下] を選択します(選択したロールにアクセス権を付与するには、[追跡] を選択します)。 図 : 6. モジュールアクセスポリシーフォーム -
admin またはインシデントを作成したユーザーとして、[インシデント] に移動し、メモ関連リストのアクティビティに添付ファイルを追加します。
図 : 7. ロールごとに利用可能な添付ファイル