【管理者・開発者向け】セキュリティリソースを厳選してご紹介

前回のブログでは、ServiceNowを導入検討中のお客様にむけて、ServiceNowをセキュリティとプライバシーの観点で効率的に評価するために有用なリソースをご紹介しました。今回は、ServiceNowをご利用いただいているお客様の管理者と開発者の方々に向けて、インスタンスをより安全な状態に設定し、カスタムアプリケーションの開発や外部のクラウドとのインテグレーションも高いセキュリティを確保しながら行えるように、日々の業務をサポートする実践的なセキュリティリソースを厳選してご紹介します。

ServiceNowの管理者向けリソース

ServiceNowの管理者として、製品ドキュメントやユーザーコミュニティは、具体的な疑問や問題を解決するための有用な情報源です。一方で、ServiceNowの管理者としてまだ経験が浅い場合、これらの膨大な情報の中から特定のセキュリティテーマに関する情報を探し出すのは難しいかもしれません。まずは管理者として知っておくべきServiceNowのセキュリティ設定の全体像とポイントを理解しましょう。次に、セキュリティ強化の機会を探るために個々のセキュリティ設定の目的と機能への影響を調査しましょう。そして、アクセス制御リスト（ACL） や暗号化といったセキュリティ上重要な役割を持つ機能ではあるものの、本質的に難解なものについて動画等で学習するというアプローチをおすすめします。

• ServiceNow セキュリティベストプラクティスガイド（英語 / 日本語（古いバージョン））

インスタンスをより安全に運用するためのガイド。インスタンスのセキュリティを向上させられるポイントがどこにあるのか全体像を把握できます。また、特に重要なセキュリティ設定についてもピックアップして紹介しています。管理者がセキュリティについて検討する際にまず最初に活用してほしい資料です。

• Instance Security Hardening Settings

ServiceNowのインスタンスには設定項目（プロパティ）が2000以上ありますが、その中でもセキュリティに関わる約100の設定について、その設定項目によって有効になるセキュリティと、トレードオフとして生じる機能への影響について調べることができます。すべての設定項目を評価するには時間がかかるため、Instance Security Centerや、Security Centerで初めにインスタンスの設定値をスキャンし、ServiceNowが推奨する設定値になっていない項目を特定してから参照するのがおすすめです。

• Now Learningの管理者向けコンテンツ

管理者のためのトレーニングリソースです。特に、ServiceNow鍵管理フレームワークや、暗号化オプションといった難解な機能について、イチから順を追った説明と動画解説によって理解を助けます。

開発者向けリソース

ServiceNowの開発者はNow Learningの開発者向けトレーニング講座、開発者コミュニティなどを通じて、自身の開発スキルを向上させ、他の開発者から洞察や助言を得ることができます。アクセス制御についてはシンプルなコンフィグレーションで対応できることがほとんどですが、ユーザーが求める機能要件とセキュリティ要件を両立させるには、リソースにアクセスしてきたユーザーの属性に応じてアクセス制御をするスクリプトをコーディングしたり、ユーザーから受け付けた入力値の検証を行ったりすることも必要になる場合があります。そんなときに活用できるリソースをご紹介します。

• ServiceNow Developer Portal（英語）

ServiceNowの開発者にとってDeveloper PortalはAPIドキュメンテーション、ステップアップガイドなどを提供し、開発者にとって最良のリファレンスサイトです。このページは、カスタムアプリケーションのリソースに対する非認証ユーザーや他のアプリケーションからのアクセス制御について解説しています。

• ServiceNow Secure Coding Guide for Instance Developers - Support and Troubleshooting（英語）

この資料には、ServiceNowの顧客のみがアクセスできます。

このリソースは、ServiceNowが提供するアプリケーションセキュリティ関連のGlideScriptableクラスとメソッドの概要を提供し、セキュリティを考慮したコーディングを支援します。このガイドはセキュリティトピックや攻撃ベクトルごとに整理されており、コードの例とセキュリティ/機能の影響について解説しています。これにより開発者はセキュリティリスクを理解し、より安全なコーディングをする方法を学ぶことができます。

まとめ

ServiceNowはDXのプラットフォームだけでなく、データのセキュリティとプライバシーを守る重要な役割を果たしています。このブログでは、すでにServiceNowを導入している組織の管理者や開発者が利用できるセキュリティリソースを紹介しました。これらのリソースを活用することで、効率的にServiceNowのセキュリティを習得でき、より強固なセキュリティ対策を実施し、リスクを軽減することが可能になりいます。