共有責任モデル 

全体的なセキュリティ責任は、顧客、ServiceNow、およびデータセンタープロバイダーの間で共有されます。ServiceNow は、顧客が独自のセキュリティポリシーと要件を満たすようにインスタンスを構成するための広範な機能を提供します。 

Now Platform の顧客インスタンスはインターネット経由でアクセスできるように設計されており、アクセス方法、アクセス時間、アクセス場所に関して最大限の柔軟性を提供します。ただし、インターネットはパブリックネットワークであるため、通信が暗号化されていないか、その他の方法で保護されていない場合は、傍受される可能性があります。  

データ管理者として、顧客は、事業を運営し個人データを収集する管轄区域で適用されるプライバシー法の要件を満たす責任を負います。その他の主な顧客の責任には、インスタンスの安全な構成、認証と承認、データ管理 (分類と保持)、転送中および保存中の暗号化などがあります。  

保存時の暗号化はデフォルトでは有効になっていませんが、ServiceNow は保存データの暗号化オプションスイートを顧客に提供しています。それには無料オプションと、追加料金が必要なプレミアムオプションがあります。保存時の暗号化オプションには、アプリケーション中心または列ベースの暗号化のほか、完全なバックエンドのボリュームベースの暗号化を提供するソリューションが含まれます。  

インスタンス内のほとんどのアクティビティは監査ログに記録でき、Now Platform には包括的なアクセス、イベント、トランザクションのログ記録が含まれています。ログ記録の範囲は顧客が設定可能で、詳細なログ記録を使用してインスタンス内のすべてのアクティビティを記録してレポートを作成できます。  

共有責任モデルに関するドキュメントを確認し、将来の参照用にブックマークしておくことを強くお勧めします。  

Security Center (セキュリティセンター)  

ServiceNow Security Center (ServiceNow セキュリティセンター) は、システムアドミニストレーターがインスタンスのセキュリティを管理、監視、改善するのに役立つ付属アプリケーションです。アドミニストレーターが最高レベルのセキュリティ監視とセキュリティ構成を維持できるように支援するために特別に構築されたセキュリティ関連ツールのスイートを統合します。 

Security Center (セキュリティセンター) に移動すると ([All (すべて)] > [Security Center (セキュリティセンター)] > [Admin (アドミン)] > [Security Center (セキュリティセンター)])、アドミニストレーターには、アプリケーションのさまざまな部分に関する情報を含むダッシュボードを表示するホームページが表示されます。  

Security Center (セキュリティセンター) の主な特徴と機能は次のとおりです。

• ベストプラクティス：インスタンスで初期セキュリティ構成を設定するための出発点。このステップバイステップのガイダンスは、インスタンスセキュリティ成熟度レベルの作成と維持に役立ちます。 
• 強化：インスタンスのセキュリティプロパティが ServiceNow の推奨値に準拠する方法。この機能はコンプライアンススコアの変更にも利用できます。[Score Trends (スコアの傾向)] タブには、インスタンスのパフォーマンスを確認するための時間の経過に応じた情報が提供されます。フィルターを作成したり、KPI シグナルを識別したり、ターゲットやしきい値を設定したりできます。
• スキャナー：一連のセキュリティチェックに対してインスタンスをスキャンし、構成ミスやその他の安全でない動作を検出するツール。
• 顧客アクション：Now Platform で注意が必要な領域 (たとえば、Password2 フィールドでの 3DES の廃止) に対処します。ワークフローは、不要な設定やリスクをもたらす可能性のある設定を変更するための手順を管理者に案内するのに役立ちます。 
• 学習：ナレッジベースと同様に、学習セクションはセキュリティドキュメントの中心的なリソースであり、コンプライアンスドキュメント、ポータル、およびその他のリソースに簡単にアクセスできます。
• 測定基準：さまざまなセキュリティ重要業績評価指標 (KPI) を監視および分析し、セキュリティの脅威や危険な動作を特定して、セキュリティ侵害を回避できます。
• 通知：アドミニストレーターは、Security Center (セキュリティセンター) の変更をステークホルダーに通知するためにアラートをトリガーするしきい値を設定できまアドミニストレーターは独自のアラートを作成することも、既存のアラートを活用することもできます。  

セキュリティ連絡先が重要な理由  

ServiceNow は主に、Now Support ポータル内のアカウントにリストされている指定のセキュリティ連絡先を通じて顧客の組織とやり取りします。指定されたセキュリティ連絡先には、ServiceNow セキュリティオフィスからセキュリティ関連の情報が定期的に (通常は電子メールで) 送信されます。  

ServiceNow が緊急に連絡を取る必要があるセキュリティ上の懸念がある場合、適切なセキュリティ連絡先を常に用意しておくことが重要です。アドミニストレーターがこのフィールドを更新する方法については、ServiceNow Support サイトで「Now Support の会社主要連絡先および通知リストの概要」を検索すると見つかります。  

指名されたセキュリティ連絡先は、潜在的に機密性の高いセキュリティ問題に対処する権限を持ち、常に連絡が取れる状態であることが重要です。したがって、この要件を満たすために、電子メール配信リストと個人の両方を含めることを強くお勧めします。 

これらの連絡先情報は、所定の目的にのみ使用され、他の目的には使用されません。この連絡先情報が最新の状態に保たれていることを確認してください。 

サマリー 

責任共有モデルに従って責任を理解し、それを果たすことで、顧客はセキュリティ体制を最適化し、データを保護できます。ServiceNow Security Center (ServiceNow セキュリティセンター) は、セキュリティ設定の構成と管理を簡素化し、堅牢でプロアクティブなセキュリティ戦略を確保することで、この取り組みを高度にサポートします。