【ServiceNowを導入検討中のお客様向け】セキュリティとプライバシーの評価に役立つ資料を厳選してご紹介

DXはビジネス全体を変革する大きな動きであり、さまざまな種類のデータを収集して活用しています。これらのデータは通常、重要なビジネス情報であり、そのセキュリティとプライバシーは極めて重要です。これらデータを適切に利用することで新たなビジネスチャンスを開拓できますが、同時にデータの取り扱いにはリスクも伴うため、これらをどのように管理し、適用するかが企業にとって重要な課題となっています。

プライバシー関連の法規制の厳格化や、システム停止やサイバー攻撃による潜在的な影響を考慮に入れると、セキュリティ対策はDXのプラットフォーム選定において不可欠となります。ServiceNowは、セキュリティポリシーとプラクティスに関する情報リソースを提供しています。これらのリソースは、プラットフォームのセキュリティを理解するのに役立ちます。このブログでは、DXプラットフォームを検討している組織のセキュリティ面を評価する責任を持つ方々に対して、役割別に評価検討に利用できるリソースを紹介していきます。

CISO/導入プロジェクトのスポンサー向けのリソース

CISOや導入プロジェクトのスポンサーにとって、ServiceNowのセキュリティ戦略と世界基準への準拠状況を理解することは非常に重要です。これにより、ServiceNowが自社のセキュリティ戦略やポリシーに適合するかどうかを評価することができます。

• 信頼と透明性に基づく協力関係

 このWebページは、ServiceNowがセキュリティとプライバシーにどれほど注力しているかを示し、顧客が法規制や業界標準のセキュリティ基準、プライバシー規制に準拠できるよう支援していることを説明しています。ここでは以下の重要な情報が提供されています：

・コンプライアンスの強み：グローバルプライバシー規制への準拠を保証する年次第三者監査

・データセキュリティ：ゼロトラストアクセス、暗号化、鍵管理を用いたポリシーベースのアプローチ

・プライバシー保護：進化するグローバルプライバシー基準に合わせた更新

・市場規制：規制の厳しい市場におけるグローバル規制準拠のサポート

さらに、このページには各業界向けのリソース、ホワイトペーパー、ソリューション概要、FAQなど、幅広い追加情報へのリンクが含まれています。このリソースを通じて、CISOや導入プロジェクトのスポンサーは、ServiceNowが信頼できるベンダーであり、セキュリティとプライバシーに真剣に取り組んでいることを理解できるでしょう。

ITセキュリティマネージャ/セキュリティアーキテクト向けのリソース

次に、ITセキュリティの専門家向けの資料です。クラウドサービスがどんなに優れた機能を持っていても、その裏側のセキュリティがしっかりしていなければ、そのサービスは信用できません。クラウドサービスを選定するには、信頼性のあるセキュリティ対策が整っているかを評価することが必要です。この役割の方々は物理的、技術的、人的な管理にわたる広範囲なセキュリティ対策の評価を行い、その結果をもとに組織のセキュリティ対策を計画します。

• Now Platformの保護

こちらの資料では、ServiceNowのセキュリティアーキテクチャ、標準的なセキュリティコントロール、セキュリティインシデント対応プロセス、エンドユーザーデータ保護サービスについて詳しく説明しています。これにより、ServiceNowが信頼性のあるセキュリティ対策を持っているかを具体的に判断することが可能となります。

さらに、この資料では共有責任モデル（Shared Responsibility Model）の概念も説明されています。このモデルに基づき、ServiceNowとユーザー企業がそれぞれの責任を全うすることで、総合的なセキュリティが実現されます。ITセキュリティマネージャは、この共有責任モデルを理解することで、自社の役割と責任を明確にし、適切なセキュリティ対策を計画することができます。

法務担当者向けのリソース

法務担当者として、ServiceNowが法律的な規制、特にデータ保護とプライバシーに関する法律を遵守しているかを確認することが重要です。また、ServiceNowとユーザー企業がデータ処理に関してどのような義務を持つのかを明確に理解することが求められます。

• ServiceNow契約書と覚書

ServiceNowは、契約書と覚書の内容を公開しています。これにより、法務担当者は事前にこれらの文書をレビューすることができます。特に重要なのは以下のセキュリティ、プライバシー、そしてSLA関連の覚書です：

Data Security Addendum（データセキュリティ付属文書）

・ServiceNowのセキュリティコントロールについて詳細に記載されています。

・ServiceNowの義務とセキュリティ対策を理解するのに役立ちます。

Data Processing Addendum （データ処理付属文書）

・GDPRなどの法律で求められる内容が含まれています。

・データ処理者（ServiceNow）がデータ管理者（ユーザー企業）の指示と適用可能なデータ保護法の要件に基づいて個人データを処理することが説明されています。

Customer Support Addendum（カスタマーサポート付属文書）

・ServiceNowのサポートサービスに関するSLAが記載されています。

・サポートの範囲、応答時間、エスカレーションプロセスなどを理解するのに役立ちます。

これらの文書を事前にレビューすることで、法務担当者は以下の点を確認できます：

・ServiceNowのセキュリティコントロールが自社の要件を満たしているか

・データ処理に関する責任と義務の明確な分担

・GDPRなどの規制への準拠状況

・サポートサービスのSLAが自社のニーズを満たしているか

• International Data Transfers FAQ（英語）

EUの個人データの国際移転に関するFAQは、データプライバシーの観点から非常に重要な情報を提供します。特に、データ保護法規制についての詳細な情報が記載されています。

これらのリソースを活用することで、法務担当者はServiceNowのセキュリティとプライバシーに関する姿勢を包括的に理解し、自社の法的リスクを適切に評価することができます。

リスク管理/ベンダーリスク管理担当者向けのリソース

リスク管理担当者として、クラウドサービスプロバイダ（CSP）であるServiceNow及びそのサービスのリスク評価を行う責任があります。一般的なCSPのベンダーリスク評価には、多くの資料と情報が必要となりますが、ServiceNowはこれらの情報提供を限定的に行っています。

これらの情報は、Compliance and Operational Readiness Evidence (CORE) ポータルに集約されています。このポータルには、100を超える資料が含まれ、ベンダーリスク評価を行うための包括的なリソースを提供します。

• Compliance and Operational Readiness Evidence (CORE) ポータル

このポータルにアクセスするにはCOREポータルへのアクセス権限が必要となりますが、取得することでホワイトペーパー、事前回答済みの質問票（SIGやCloud Control Matrixなど）、ISO27000シリーズの認証証明書、SOCレポート、ペネトレーションテストのレポート、セキュリティポリシー、セキュリティに関する運用手順などが利用できます。

ご購入前のお客様でも時限的なアクセスを提供いたしますので、担当営業までお問い合わせください。

まとめ

ServiceNowは単にDXのプラットフォームではなく、データのセキュリティとプライバシーを確保するツールとしての役割も担っています。このブログでは、ServiceNowのセキュリティリソースの活用法について解説しました。これらのリソースを利用することで、ServiceNowを検討中のお客様は、より具体的かつ効率的なセキュリティ対策を進めることが可能になります。次のブログでは、すでにServiceNowを導入している組織向けに、管理者や開発者が利用できるセキュリティリソースを詳しく紹介します。