ホワイトペーパー データ暗号化 Now Platform で採用されて いるデータ保護技術 ホワイトペーパー 2 はじめに ServiceNow は、お客様から Now Platform にデータという最も貴重な資産を ご委託いただいていることに感謝しています。 ただし、すべてのお客様が同じというわけではありません。ユースケースや満たすべき コンプライアンス要件はお客様によって異なる場合があります。 このため、ServiceNow ではさまざまな暗号化オプションをご用意しています。 このホワイトペーパーに含まれるすべての情報は、標準の Now Platform 商用環境に 基づいています。 世界中の ServiceNow の国内クラウド製品に関する情報とその違いについては、 ServiceNow アカウント担当者にお問い合わせください。 Data Encryption v3.2 | 3月 2024 ホワイトペーパー 目次 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2 ServiceNow 共有責任モデル . . . . . . . . . . . . . . . . . . . . . . . .4 デフォルトの保護 Now Platform での安全な通信 . . . . . . . . . . . . . . . . . . . . . . .5 転送中のデータ暗号化 . . . . . . . . . . . . . . . . . . . . . . . . .5 転送中のメール暗号化用の S/MIME. . . . . . . . . . . . . . . . . .5 列レベル暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 ServiceNow MID サーバー . . . . . . . . . . . . . . . . . . . . . . . . . .6 MID サーバーの図 . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 キー管理フレームワーク . . . . . . . . . . . . . . . . . . . . . . . . . . .7 高度な暗号化オプション フルディスク暗号化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 FDE の制約事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Platform Encryption のサブスクリプションバンドル . . . . . . . . . . .9 Cloud Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 クラウド暗号化のキー階層. . . . . . . . . . . . . . . . . . . . . . .9 列レベル暗号化エンタープライズ (CLEE) . . . . . . . . . . . . . . 10 CLE/CLEE のキー階層 . . . . . . . . . . . . . . . . . . . . . . . . 11 CLE/CLEE の職務分離の例 . . . . . . . . . . . . . . . . . . . . . 12 CLEE 暗号化モジュール . . . . . . . . . . . . . . . . . . . . . . . . 13 CLEE のアクセス制御 . . . . . . . . . . . . . . . . . . . . . . . . . 13 CLEE のアクセス制御の例 2 . . . . . . . . . . . . . . . . . . . . . 14 CLEE の使用と制限 . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Edge Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 エッジ暗号化のプロセス . . . . . . . . . . . . . . . . . . . . . . . 15 エッジ暗号化のコンポーネント . . . . . . . . . . . . . . . . . . . 16 トークン化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 リソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 補足資料 付録 A︓エッジ暗号化のオプション . . . . . . . . . . . . . . . . . 18 付録 B︓エッジ暗号化の機能と影響. . . . . . . . . . . . . . . . . 19 ホワイトペーパー 4 ServiceNow 共有責任モデル セキュリティは、プロバイダーとお客様の間のパートナーシップによって可能になる ものであり、どちらも特定の責任を負います。 ServiceNow では、独自のセキュリティポリシーと要件を満たせるようにインスタンス を構成するとともに、地域や業界のコンプライアンス要件にも準拠する広範な機能をお 客様に提供しています。 顧客データに関するセキュリティ責任の詳細については、『ServiceNow Shared Responsibility Model (ServiceNow 共有責任モデル )』の概要を参照してください。 © 2023 ServiceNow, Inc. All Rights Reserved.社外秘 1 共有責任モデルの概要 責任範囲 責任 顧客 ServiceNow コロケーション (データセンタープロバイダー) セキュリティ保護されたインスタンスの設定 認証と認可 データ管理 (分類と保持) 保存データの暗号化 転送中のデータ暗号化 暗号化キー管理 セキュリティログおよび監視 セキュリティ保護された SDLC プロセス ペネトレーションテスト 脆弱性管理 プライバシー コンプライアンス︓法規制 従業員の審査やスクリーニング 物理的セキュリティと環境コントロール クラウドインフラストラクチャのセキュリティ管理 インフラストラクチャ管理 メディアの廃棄と破棄 バックアップと復元 事業継続性と災害復旧 Now Platform の顧客イ ンスタンスはインター ネット経由でアクセス可 能で、アクセス方法、タ イミング、アクセス場所 の柔軟性を最大化してい ます。 ホワイトペーパー 5 デフォルトの保護 Now Platform での安全な通信 転送中のデータ暗号化 Now Platform の顧客インスタンスはインターネット経由でアクセスできるように設計されており、アクセス方法、タイミング、ア クセス場所の柔軟性を最大化しています。ただし、インターネットはパブリックのネットワークであるため、通信が暗号化などで保 護されていないと、通信が傍受される可能性があります。 ブラウザーから Now アプリケーションに転送されるデータ (通常のユーザートラフィック ) は、デフォルトで TLS (Transport Layer Security) を介して暗号化されます。最小バージョンの TLS 1.2* では、128 ビットまたは 256 ビットの暗号スイートを用いる AES (Advanced Encryption Standard) を使用します。 ネゴシエートされた暗号はお客様のブラウザーバージョンやインターネットプロキシインフラストラクチャの影響を受ける場合が あります。お客様は、必要に応じて自身のブラウザーまたはプロキシ経由で、特定の暗号スイートを強制できます。 HTTP を介して試行された ServiceNow インスタンスへのすべてのエンドユーザーアクセス要求は、HTTPS にリダイレクトされます。 セキュリティを強化するために、お客様は IP 範囲ベースの認証を使用して、Now Platform のインスタンスへのアクセスに使用され るパブリックネットワークを制限することもできます。 ServiceNow の『Data Processing Addendum (データ処理補遺 )』のセクション 9 (「国際的なデータ移転」) に従って、データ転送 メカニズムとして標準的な契約条項が適用されます。 転送中のメール暗号化用の S/MIME お客様は通常、サービス管理タスクに関連してメールを生成するように ServiceNow インスタンスを設定します。たとえば、変更の 承認を要求したり、サービス要求のステータスをユーザーに通知したりする場合です。 ServiceNow インスタンスは、送受信されるメールに日和見 TLS をサポートすることで、この点に関して機密性を高めます。そのため、 SMTP ハンドシェイク中に TLS 1.2 暗号化とネゴシエートし、安全なチャネルとネゴシエートできない場合にプレーンテキストの SMTP にフォールバックします。 送信者ポリシーフレームワーク (SPF)、DomainKeys Identified Mail (DKIM)、ドメインベースのメッセージ認証、レポートおよび適合 性 (DMARC) など、関連する追加のメールセキュリティコントロールも追加料金なしで提供されています。 列レベル暗号化 標準的な列レベル暗号化 (CLE) は Now Platform に組み込まれており、追加のライセンスは必要ありません。CLE は AES-128/ AES-256 をサポートし、文字列、日付、日付 /時刻、添付ファイルのフィールドの暗号化を許可しています。 CLE は Now Platform に含まれていますが、列レベル暗号化エンタープライズ (CLEE) と比較して機能が制限されています。機能の違 いの全リストについては、こちらの比較表を参照してください。 CLE キー管理の詳細については、「CLE/CLEE キー階層」 (10 ページ ) を参照してください。 *TLS 1.2 のレファレンスには、提案された 1.3 スイート、つまり ECDHE-ECDSA (完全な前方秘匿性 ) が含まれている ホワイトペーパー 6 ServiceNow MID サーバー ServiceNow 管理、計測、検出 (MID) サーバーは、無料のオプション Now Platform コン ポーネントです。MID サーバーは、顧客インスタンスと、外部アプリケーション、デー タソース、サービスとの間でのデータ通信を可能にします。 MID サーバーは、エンタープライズアプリケーションとサービスの監視、データ連携、オー ケストレーション、検出のために、お客様がインスタンスと組み合わせて使用します。 MID サーバーは Java アプリケーションであり、インスタンス内のダウンロードリンク を介してお客様に提供されます。このアプリケーションは、お客様の環境内の適切なホ ストシステムにインストールされ、Windows または Linux オペレーティングシステムと 互換性があります。 MID サーバーは、インストール時に暗号化によって個々のインスタンスとペアリング され、使用する前に ServiceNow 顧客管理者による承認が必須です。 MID サーバーはお客様が定義した間隔で、TLS 1.2 を使用した HTTPS を介してお客様の インスタンスへの送信セッションを安全に開始し、実行するアクティビティを探します。 続いてアクティビティが取得、実行され、出力または結果のデータが元のインスタンス に返されます。 この送信または「プル」アプローチでは、お客様の境界またはファイアウォールを 通じたインターネットへの直接の受信アクセスを許可する必要がなくなります。 MID サーバーの図 ネットワークデバイスSNMP PowerShell SSH API CIM Windows サーバー ハイパーバイザー ストレージ Linux サーバー お客様のネットワーク インタ ーネット MID サーバー 資格情報の外部保存 (オプション) HTTPS:443 軽量 Java アプリ ケーションがデータを 収集し、インスタンスへの 送信接続だけを行う ジョブ キュー • • • • ホワイトペーパー 7 キー管理フレームワーク ServiceNow のキー管理は、「National Institute of Standards and Technology (NIST) 800-57」のガイドラインに基づいています。 ServiceNow キー管理レームワーク (KMF) を使用すると、Now Platform インスタンスでの暗号化オペレーションの実行方法を完全にカ スタマイズして管理できます。Now Platform KMF は、機密性、整合性、認証を通じてデータセキュリティを実現するための重要な暗 号化ツールをお客様に提供します。 KMF は Now Platform ですぐに利用でき、各暗号化タイプに固有の暗号化モジュールを作成および管理する際に暗号化をサポートします。 KMF の中心となるのは、以下を実行するためのインターフェイスです。 01100110 01100111 01101000 01101001 01101010 01101011 01100001 01100010 01100011 01100100 01100101 KMF 暗号化 モジュール キー モジュールの アクセス ポリシー 暗号化 アルゴリズムと 用途 • 暗号化キーの生成、ローテーション、取り消し、一時停止を行うキーライフ サイクル管理。ここには複数のキーライフサイクルステータスのサポートも 含まれます。 • KMF ライフサイクルステータスの自動化による、特定の許可された アクション (自動非アクティブ化や自動ローテーションなど) の実行。 • 特定の暗号化の使用方法とアルゴリズム (データ暗号化のための 256 ビットキーを持つ AES-GCM など) に対する管理された暗号化キーの構成。 • 顧客管理者が Now Platform ポリシー内で構成した暗号化モジュールにのみ アクセスが許可されるように、管理された暗号化キーに対するアクセス制御 (モジュールのアクセスポリシーなど) の実施。 ホワイトペーパー 8 高度な暗号化オプション ServiceNow は、Now Platform で標準で利用できる暗号化製品に加えて、暗号化に 特別なニーズを持つお客様向けの追加製品も提供しています。 フルディスク暗号化 フルディスク暗号化 (FDE) は、クラウドインスタンスで使用されているドライブの物理 的盗難が発生した場合に、アプリケーションの機能に影響を与えることなく、機密デー タが漏洩するのを防ぎます。 FDE は、ディスク全体の暗号化を含むハードウェアベースのアプローチであり、オペレー ティングシステムによってのみ復号化できます。そのため、FDE については、お客様は 専用のハードウェアサブスクリプションにも登録する必要があります。 FDE は AES-256 ビット暗号化を備えた自己暗号化ハードドライブを介して提供され、保 存中の保護のみを提供し、顧客データを保持するハードディスクの損失や盗難による データ漏洩の防止に重点を置いています。 FDE は、データがサーバーのオペレーティングシステムによってアクティブに使用され ているか、アクセスされているときに復号化を行います。ServiceNow で使用されるハー ドドライブモデルは、Trusted Computing Group (TCG) エンタープライズ仕様に準拠し ており、ServiceNow キー管理システム (KMS) に保存されているキーから生成されたパ スフレーズを使用して保護されています。 FDE の最も一般的なユースケースは、規制やお客様のビジネス環境の変化により、お客 様の環境内のデータの多く (またはすべて ) が機密性が高いと見なされる (または将来機 密性が高いと見なされる可能性がある ) 場合に、セキュリティの追加レイヤーを提供す ることです。 ストレージデバイスの紛失や盗難のリスクを軽減するために ServiceNow が 実施している既存の対策も、FDE を検討する際の要素になる可能性があります。 FDE の制約事項 FDE は、転送中のデータや、ドライブの動作中の不正アクセスに対する アプリケーション層の保護は提供しません。 ホワイトペーパー 9 Platform Encryption のサブスクリプションバンドル Platform Encryption のバンドルは、連携してほとんどのお客様の一般的なニーズを満たす、2 つの暗号化製品で構成されいます。 1. クラウド暗号化は、データベース内のすべてのデータをオペレーティングシステムレイヤーで暗号化します。 2. 列レベル暗号化エンタープライズ (CLEE) は、アプリケーション内の選択したフィールドや添付ファイルを暗号化し、許可された 従業員のみが特定の機密データにアクセスできるようにします。 Cloud Encryption クラウド暗号化は、Now Platform のユーザーインターフェイスに組み込まれた業界標準の顧客制御型キーライフサイクル管理により、 データベースホスト全体をブロック暗号化します。 クラウド暗号化は、AES 256 ビット対称暗号化を使用して、機能に影響を与えることなくデータベース内の保存データを暗号化します。 新規データまたは変更されたデータも、テーブルおよび関連するアクティビティログファイル (bin、redo、undo、 error など ) に入力されたときに暗号化されます。 クラウド暗号化を使用すると、関連するすべてのインスタンスが、関連するレプリケーショントラフィックとバックアップとともに 暗号化されます。インスタンスのクローン作成も引き続き可能です。 クラウド暗号化では、ServiceNow 管理のキー (SMK) を使用するか、お客様が作成して提供するキーを使用する (BYOK︓Bring Your Own Key) かを選択できます。 キーローテーションの運用は、顧客管理者が Now Platform インスタンス内で完全に管理でき、柔軟性と自律性を実現します。 ServiceNow のカスタマーサポートの関与も必要ありません。 クラウド暗号化のキー階層 クラウド暗号化はマルチレイヤーアプローチを使用して実行されます。外部キー ( レベル 3) は、Now Platform クラウド暗号化が 提供するオペレーションによって管理されるキーです。 外部キーは ServiceNow HSM (ハードウェアセキュリティモジュール ) に保存され、サービスキーとマスターキーは インフラストラクチャ内のより深い位置に保持されます。 キーは、ServiceNow によって次のように保存および管理されます。 マスターキー › レベル 1 マスターキーは、データ暗号化キーとして機能する LUKS のコンポーネントです。これは、512 ビット長 の AES 256 ビット XTS キーで構成されています。 サービスキー › レベル 2 サービスキーは AES 256 ビットキーです。マスター キーへのアクセスを保護し、外部キーでラップされ ます。 外部キー › レベル 3 外部キーは AES 256 ビットキーです。関連付けられ ているお客様のインスタンスと同じ ServiceNow データセンター内の FIPS 140-2 検証済みキー管理シ ス テ ム に 保 存 さ れ ま す。 こ の キ ー は、SMK (ServiceNow 管理キー ) またはお客様が BYOK (Bring Your Own Key) オプションを使用して提供した CMK (顧客管理キー ) のいずれかです。 外部キー ルートキー キー管理 レベル 3 レベル 2 レベル 1 Linux 統合キーのセットアップ (LUKS) サービスキー マスターキー 永続レイヤー顧客 インスタンス (データ) 保存データ暗号化 顧客インスタンス KMS インスタンス KMF データ 暗号化 暗号化 暗号化 キーラッピング ホワイトペーパー 10 列レベル暗号化エンタープライズ (CLEE) 列レベル暗号化エンタープライズ (CLEE) は、Now Platform のインスタンス内で、フィールドレベルと添付ファイルベースの データ暗号化を行います。CLEE は Platform Encryption バンドルの一部としてのみ利用できます。 CLEE は KMF 暗号化モジュールを使用して、サーバー側の暗号化をより細かく制御できます。顧客管理者は、特定のテーブル内で どのデータを暗号化するかを構成し、そのデータを暗号化された形式で保存できます。 暗号化キーは Now Platform インスタンス内に保存および維持され、キー管理フレームワーク (KMF) を通じて管理されます。 CLEE の主な機能は次のとおりです。 • 文字列テキスト、日付 /時刻フィールド、添付ファイル、URL など、サポートされているフィールドタイプの暗号化を行います。 • 256 ビットキーを用いる AES-CBC (暗号化ブロックチェーン ) を採用しています。 • 確定的暗号化と非確定的暗号化の両方のオプションを提供します。 • 適切なアクセス権を持つユーザーが、暗号化されたデータに対して限定的な検索とフィルタリングを実行できるようにします。 • CLEE は添付ファイルに使用可能です。 • お客様が独自の暗号化キー BYOK (Bring Your Own Key) を提供したり、Now Platform でランダムにキーを生成したりできます。 • ロールのアサインとアプリケーションスコープに基づいて複数のアクセス制御を提供します。 直接攻撃またはクラウドに保 存されているデータの侵害の 結果として機密データが漏洩 するリスクを軽減 お客様が政府や業界の認証 要件と規制に準拠できるよ うにする 定義されたロール、定義された スクリプト割り当て、アプリ ケーションスコープ、ドメイン メンバーシップに基づいて、機 密データへのアクセスを制限 01100110 01100111 01101000 01101001 01101010 01101011 01100001 01100010 01100011 01100100 01100101