ServiceNowのインスタンスレベルで送信元IPアドレスによるアクセス制御を設定する

基本的にServiceNowには個人情報を始めとして企業秘密に該当する情報が多数格納されることとなる。企業文化にもよると思われるがログインを求めるとは言えそもそもアクセスをさせたくないというケースは多いと思われる。

そんなときには送信元IPアドレスによるアクセス制御が必要となる。手順は次の通り。

フィルタナビゲータからSystem Security -> IP Address Access Control。

これが、登録されているIPアクセス制御にかかわるルールである。＝デフォルトは空っぽ。

一般的なFW等であればAny Any Denyが原則だったりするかもしれないが、ServiceNowにおいてはクラウド上のUIである関係上それはできないのでAny Any Allowがデフォルトの様だ。

さてここにアクセス制御を追加するわけだが・・・当然ながらミスると自分もアクセスできなくなってデベロッパーインスタンスでは復旧不可（恐らく時間切れを待って新しいインスタンスに入れ替えるしかない）のでご注意を。

まずは許可アドレスを定義したい。

先だって準備として自分のグローバルIPを
https://www.cman.jp/network/support/go_access.cgi
↑あたりで調べておく。

固定IPならよいが、そうでない場合プロバイダのレンジで割り当てられる可能性があるので注意。レンジは↑で出てきたIPを↓とかでWhoisで引くと大体わかる。
https://www.cman.jp/network/support/go_ip.cgi

大体というのは、これで全てかどうかはプロバイダ側の登録状況次第なので、離れたレンジを持っている可能性もあり、そういったケースはこれではわからない。確実なのは事業者へ問い合わせすることだろう。

まぁ通常の使用シチュエーションでは自社のIPだけ許可するのがベースになると思われ、その場合はこの辺はそれほど問題にならないのではなかろうか。

ちなみに私の場合SBBのレンジは「126.0.0.0 - 126.133.255.25」と出た。広い。。

アクセス制御を設定するにあたり最終的には全部不許可を設定しなければならないわけだが、それをやると自分もアクセスできなくなるのでまずは上記のレンジの許可設定を追加する。

リスト画面のNewからフォームを開き次のように入力しSubmitする。

この時点ではまだどこからでもアクセス可能。1つ許可を設定した時点で目次的にany any denyとなる様な仕様では無い様だ。
※回線が他にないので携帯から確認ｗ

次に同じく IP Address Access Controlのリスト画面のNewから次のように拒否を設定し、Submitする。

結果次のような状態となる。

さてこの状態で、もう一度携帯から見てみると・・・

・・・ということでばっちりリアルタイムで反映されるようだ。

Denyを設定するときはくれぐれもお気をつけて。

ちなみにこの設定を行うとユーザのログイン時のSource IPだけでなく、ServiceNowのインスタンスのすべての通信にこの制約が適用される。

・・・つまりAzure AD等とシングルサインオンを構成している場合やその他のAPI連携等はこの設定では動かなくなる。

つまりAzure ADであればMicrosoftの指定するデータセンターのIPレンジをすべてAllowで登録してやる必要が出てくることをお忘れなく。。

ドメイン名の逆引きでIPアドレスのレンジを個別指定しなくても良い、等の機能があればうれしいのだが、どうもそういうことは現状できないらしい。

アクセス制御とクラウド間の連携を両立させるもっと良い方法をご存知の方は是非ご連絡をお待ちしております。。。<m(__)m>