アクセス制御とは何か?
ServiceNowにおける**アクセス制御(Access Control)**とは、「誰が、どのデータに、どこまでアクセスできるか」を制御する仕組みです。
CSA(Certified System Administrator)やCAD(Certified Application Developer)試験では、必ず出題される超重要テーマのひとつです。
ServiceNowはITSMを中心とした業務基盤として、多くの機密情報を扱います。
そのため「ログインできるかどうか」だけでなく、
- レコードを閲覧できるか
- 新規作成できるか
- 更新・削除できるか
といった 細かい権限制御 が求められます。
この制御を担っているのが ACL(Access Control List) です。
ACLを正しく理解していないと、
- 画面に表示されない
- 更新できない
- なぜか保存できない
といったトラブルに直面します。
これは 実務でも試験でも頻出の失敗ポイント です。
👉 試験では
「なぜそのユーザーは更新できないのか?」
「どのACLが評価されているのか?」
といった 考え方そのもの を問われます。
ACL(Access Control List)の基本構造と評価順序
ACLとは、特定の操作を許可するかどうかを判定するルールです。
ACLで制御できる操作
ServiceNowのACLでは、主に以下の操作を制御します。
- read(参照)
- write(更新)
- create(作成)
- delete(削除)
- execute(実行)
ACLの基本構造
ACLは以下の要素で構成されます。
- Type:record / field
- Operation:read / write / create / delete
- Name:テーブル名 or テーブル.フィールド
- Condition:条件式
- Script:スクリプト判定
- Role:必要なロール
評価順序(超重要)
ACLは 以下の順番で評価 されます。
- テーブルACL(record)
- フィールドACL(field)
- より具体的なACLが優先
また、1つでもfalseになるとアクセスは拒否されます。
👉 試験頻出ポイント
- ACLは「許可リスト」である
- ACLが存在しない = アクセス不可(原則)
この「デフォルト拒否」の考え方は、試験でもよく問われます。
ロール・ユーザー・グループとアクセス制御の関係
アクセス制御を理解する上で欠かせないのが ロール(Role) の概念です。
ロールとは?
ロールとは「権限のかたまり」です。
ユーザーに直接権限を与えるのではなく、ロールを通して権限を付与します。
ロール付与の流れ
- ユーザー ← グループ ← ロール
- ユーザー ← ロール(直接付与)
一般的には グループ経由 が推奨されます。
ロールの継承
ServiceNowのロールには 継承(Inheritance) の仕組みがあります。
例:
- itil_admin → itil
👉 試験でよくある質問
「親ロールを持っている場合、子ロールの権限はどうなるか?」
答え:
すべての子ロールの権限を持つ
このロール継承は ACL評価にも影響 します。
ServiceNowのロール理解で多くの人がつまずくポイントなので、
試験目線・実務目線の両方で噛み砕いて説明します。
結論(まずこれだけ)
親ロールを持っているユーザーは、その親ロールに紐づく「すべての子ロール」の権限も自動的に持つ
これが
「すべての子ロールの権限を持つ」
という意味です。
ロールの親子関係とは?
ServiceNowでは、ロールに 継承(Inheritance) の仕組みがあります。
親ロール
└ 子ロール
└ 孫ロール
このように 階層構造 になっています。
具体例で説明します
例:itil ロール
itil_admin(親)
└ itil(子)
このとき…
| ユーザーが持つロール | 実際に使える権限 |
|---|---|
| itil のみ | itil の権限のみ |
| itil_admin | itil_admin + itil の権限 |
👉 itil_admin を持っているだけで、itil も自動的に含まれる
👉 別途 itil を付与する必要はありません
なぜこういう仕組みになっているのか?
理由はシンプルです。
- 管理者向けロールは
「一般ユーザーの操作 + 管理操作」 - だから 下位ロールの権限を全部含む ほうが自然
もし継承がなければ、
- admin用
- 一般用
を毎回両方付ける必要があり、管理が破綻します。
ACL(アクセス制御)との関係
ACLではよくこう書かれます。
Role: itil
このACLは誰に有効?
- itil を持つユーザー → ✅
- itil_admin を持つユーザー → ✅(←ここが重要)
- ロールなし → ❌
👉 ACLは「完全一致」ではなく「継承を含めて評価」される
よくある誤解
❌ 誤解①
「親ロールと子ロールは別物なので、子ロールは別途付与が必要」
👉 間違い
親ロールを持っていれば、子ロールは自動的に含まれます。
❌ 誤解②
「ACLに itil と書いてあるなら、itil_admin は通らない」
👉 間違い
itil_admin は itil を含むため通ります。
さらに深掘り
- sys_user_has_role テーブルでは
→ 親ロールしか直接付いていない - しかし内部的には
→ 子ロールも「持っている」と判定される
👉 見た目と判定が違う点が混乱の原因です。
試験対策
ServiceNowのロールは継承され、親ロールはすべての子ロールの権限を含む
これをそのまま覚えてOKです。
Udemy学習との相性が良い理由
このロール継承は
- 文章だけ → 分かりにくい
- 実画面で確認 → 一発で理解
UdemyのServiceNow講座では、
- ロール設定画面
- ACL設定画面
- 実際に通る/通らないデモ
を見ながら学べるため、
「なぜこのACLが通るのか?」を体感的に理解できます。
まとめ
- ロールには 親子関係(継承) がある
- 親ロール = 子ロールの権限をすべて含む
- ACL評価では 継承込みでロール判定 される
- CSA / CAD 試験で超頻出
ServiceNow試験で頻出のACLポイントとよくある誤解
ここは CSA/CAD試験の得点源 です。
頻出ポイント①
UIポリシーではセキュリティは保証できない
UIポリシーはあくまで 画面制御。
セキュリティを担保するのはACL です。
頻出ポイント②
スクリプトACLの戻り値
- true → 許可
- false → 拒否
頻出ポイント③
複数ACLのAND評価
- すべてtrueでないとアクセス不可
よくある誤解
- 「管理者はすべてアクセスできる」
→ ❌ 一部例外あり(admin_override無効時など)
👉 試験では
「最も適切なアクセス制御方法はどれか?」
という設問が非常に多いです。
アクセス制御を効率的に学ぶ方法
アクセス制御は 文章だけでは理解しづらい分野 です。
そこでおすすめなのが UdemyのServiceNow講座 です。
Udemyがおすすめな理由
- 実際の管理画面を操作しながら学べる
- ACLの評価順序をデモで確認できる
- 試験に出るポイントを重点解説
おすすめの学習方法
- ブログや公式ドキュメントで全体像を把握
- Udemyで画面操作を確認
- 試験問題でアウトプット
👉 特に
「なぜアクセスできないのか?」
を 自分でトラブルシュートできる力 が身につきます。
UdemyのServiceNow資格対策講座 は、
独学でつまずきやすいアクセス制御を一気に理解できるため、
資格取得を本気で目指す方には必須教材 と言えます。
ServiceNowアクセス制御は試験合否を分ける重要分野
ServiceNowのアクセス制御(ACL)は、
CSA・CAD試験で必ず出題される最重要テーマ です。
本記事では、
- アクセス制御の基本的な考え方
- ACLの構造と評価順序
- ロールと継承の仕組み
- 試験で狙われる頻出ポイント
- Udemyを活用した効率的な学習方法
を体系的に解説しました。
アクセス制御は 暗記ではなく「理解」する分野 です。
特に「なぜアクセスできないのか」を説明できるようになると、
試験対策だけでなく 実務力も大きく向上 します。
👉 文章+動画で学べる Udemy講座を活用しながら学習することで、
最短ルートでServiceNow資格合格を目指しましょう。
