ServiceNow Access Control プラグインを使用して、どの従業員がいつインスタンスにアクセスできるかを制御します。指定したユーザーを除くすべてのユーザーに対してデフォルトの拒否体制を適用します。これには ServiceNow 従業員を含めることができます。このプラグインを使用すると、インスタンスへの不要なアクセスを防ぐことができます。

このプラグインの詳細については、「 ServiceNow アクセス制御」を参照してください。

セキュリティチームからセキュリティ関連情報を受け取る組織内の情報セキュリティ担当者を選択します。この連絡先は、これらの更新を受け取るアドミンに追加されます。

この情報は、セキュリティ問題、セキュリティ警告、または重要なソフトウェア更新に関する詳細である可能性があります。

セキュリティ連絡先の追加の詳細については、「 KB0621516」を参照してください。

アドミン、ITIL、従業員など、インスタンスのビルトインユーザーアカウントのパスワードを変更します。これらのアカウントは、インスタンスに固有のデフォルトのパスワードでプロビジョニングされますが、できるだけ早く変更する必要があります。

インスタンスのユーザーアカウントのパスワードを変更する方法の詳細については、「 ユーザーのパスワードの設定」を参照してください。

インスタンスに接続するブラウザーが、より安全なトランスポートレイヤーセキュリティ (TLS) 1.2 を使用していることを確認します。この変更は、ブラウザーで行うことも、Web プロキシまたは他のゲートウェイによって強制することもできます。

TLS 1.2 のみを使用するようにこれらの製品を構成する手順については、ブラウザー、Web プロキシ、またはゲートウェイのドキュメントを参照してください。

組織で送信者ポリシーフレームワーク (SPF) を使用してスパム対策テクノロジーを使用して受信メールを制御する場合は、インスタンスから送信されたメールを受け入れるように構成する必要があります。SPFレコードを動的にクエリするようにSPFを設定します。

SPFが選択できない場合は、メールサーバーのIPアドレスを許可リストに追加するという方法もあります。アドレスは変更される可能性があるため、この構成は監視する必要があります。

これらのソリューションの手順と詳細については、「KB0535456」を参照してください

ロール、ファイル拡張子、MIME タイプ、またはサイズによって添付ファイルのアップロードを制限し、悪意のある可能性のあるファイルが保存されてからインスタンスから配信されるのを防ぎます。また、ダウンロードできるファイルの種類 (MIME の種類など) を制御したり、認証されていないユーザーによる画像アクセスを防止したりすることもできます。

これらの添付ファイルの制限は、インスタンスのシステムプロパティによって制御されます。これらの構成の詳細については、「 Configure attachment system properties」を参照してください。

SQL エラーメッセージが Web ブラウザに表示されないようにします。これらのメッセージはユーザーや開発者にとって便利ですが、攻撃者がシステムに関する情報を学習したり、データへのアクセスを誘導したりするために使用する可能性があります。これらのメッセージは、システムプロパティを使用してオフにすることができます。

このシステムプロパティの詳細については、「 SQL エラーメッセージを無効にする (セキュリティセンター 1.3 および 1.5 で更新)」を参照してください。

可能な場合はパスワードなしの認証を無効にすることで、強力な認証を確保します。パスワードなしの認証を無効にしないと、潜在的な攻撃者がユーザー名 (firstname.lastname やロールタイトルなど) を正しく推測することでインスタンスにアクセスできる可能性があります。

システムプロパティを使用して、インスタンスでパスワードなしの認証を無効にすることができます。このプロパティの詳細については、「パスワードを使わない認証を無効にする」を参照してください。

テーブル監査を使用してデータの変更を追跡します。監査は、監査が有効になっているテーブル内のすべてのレコードの作成、更新、削除を追跡するため、アドミンは重要なデータや機密データの変更を追跡できます。アドミニストレーターは、テーブル内の特定のフィールドを選択して監査し、より的を絞った結果を確認したり、パフォーマンスへの影響を軽減したりすることもできます。

インスタンスの監査の詳細については、「 監査」を参照してください。

テーブルの監査を有効にする具体的な手順については、「 テーブルの監査の構成」を参照してください。

データを暗号化して、その機密性と完全性を維持します。インスタンスのデータはデータベース内に存在できます。バックエンドでデータボリュームを透過的に暗号化する機能をサブスクライブすることもできます。インスタンスが実行されている物理ディスク全体を暗号化して、データの紛失や盗難に備えて保護することもできます。

ユースケースと軽減する必要があるリスクに応じて、インスタンスに保存されているデータに対して異なる暗号化方法を同時に使用できます。たとえば、ほとんどのテーブルでデータベース暗号化を使用し、データボリューム全体でクラウド暗号化を使用して、保存データを透過的に暗号化することを選択できます。フルディスクハードウェア暗号化を使用することもできますが、これにはドライブまたはサーバーの盗難から保護するための専用環境も必要です。

キー管理フレームワーク で利用可能な暗号化オプションを確認します。

パスワードポリシーを使用して、インスタンスのネイティブアカウントとローカルアカウントの長さ、複雑さ、有効期限、一意性、ロックアウトなどを適用します。これらのポリシーを使用して、セキュリティを最大化し、長いパスフレーズの採用を促進し、単純なパスワードの使用を排除するのに役立ちます。

LDAP や SAML など、統合した外部認証サービスの既存のポリシーを保持できます。

パスワードポリシー構成の詳細については、「 パスワードポリシーの設定」を参照してください。

この機能を使用して、メールでユーザーアカウントを動的に作成します。この機能は、アカウントを作成できる信頼できるドメインのリストを定義した後にのみ、ビジネスニーズに必要な場合にのみ有効にしてください。この方法で作成された新しいアカウントにパスワードを割り当てる方法を制御することもできます。

ユーザーの自動作成の詳細については、「 Enable automatic user creation」を参照してください。

ナレッジベースと記事へのアクセスを管理して、安全で効率的な情報共有を確保します。寄稿および読み取りアクセスを制御することで、特定のユーザーまたはユーザーのカテゴリがナレッジベースおよびナレッジ記事にアクセスできるかどうかを決定できます。

具体的な構成は、ビジネスニーズによって異なります。ナレッジアクセスを設定するためのオプションについては、 Managing access to knowledge bases and knowledge articlesを参照してください。

High Security プラグイン (HSP) を使用して、セキュリティ管理を強化し、適切な設定を適用します。高セキュリティ設定は、セキュリティ設定の中心的な場所を提供し、個別のセキュリティアドミニストレーターロール、デフォルトの拒否プロパティ、およびその他の重要なセキュリティ機能を作成します。

HSP は、すべての新しいインスタンスにインストールされ、デフォルトで有効になっています。古いバージョンからアップグレードされたインスタンスを含む、古いインスタンスの HSP アクティベーションを要求できます。HSP の有効化は、アクティブ化によっていくつかの基本的なプロパティと動作が変更されるため、非本番環境で慎重にテストした後にのみ実行する必要があります。

High Security プラグインの詳細については、「 高セキュリティプラグインを有効化する (セキュリティセンター 1.3 で更新)」を参照してください。

セキュリティ情報は常に進化しているため、情報セキュリティを強化するには、セキュリティリソースを常に最新の状態に保つことが重要です。

次のリソースを使用して、セキュリティリソースに関する最新情報を入手してください。

• CORE ディレクトリ:ServiceNow CORE コンプライアンスポータル
• ServiceNow AI Platform の保護:ServiceNow が顧客データを保護する方法
• インスタンスの保護

セキュリティセンターの強化ツールを使用して、悪用される可能性のある弱点を制限してリスクを軽減し、インスタンスのセキュリティをさらに保護するための推奨設定を実装します。

セキュリティセンターの詳細については、「 セキュリティセンター」を参照してください。

ハードニング設定で利用可能なハードニング設定を確認します。

パッチとプラットフォームの更新をできるだけ早くインストールすることで、自分のインスタンスと他の顧客のインスタンスの両方に対して最高レベルのセキュリティを確保できます。更新を最新の状態に保つことで、EOL ポリシーに準拠することで継続的なサポートを維持することもできます。アップグレードセンターを使用してプロセスを管理します。

Now Platform のセキュリティ修正は、製品機能の更新に伴うパッチとホットフィックスを通じて定期的にリリースされます。新しいパッチとホットフィックスが利用可能になったときにアップグレードすると、潜在的な脆弱性のリスクを軽減できます。

Now Platform のリリース、パッチ、ホットフィックスに関する情報は、製品ドキュメントの「リリースノート」セクションに記載されています。詳細については、「Phase 1 - 」を参照してください。

サードパーティの多要素認証 (MFA) を既存の SAML IdP と統合して、ログインセキュリティを強化します。認証には複数の認証要素が必要なため、MFA は高レベルのセキュリティを提供します。ユーザーが知っているもの (パスワード) とユーザーが所有しているもの (ワンタイムコード、携帯電話、または指紋などの生体認証属性)。

MFA 統合の詳細については、「 多要素認証」を参照してください。

システムアドレスフィルターを使用して、インスタンスがメールで通信できるドメインとユーザーを制御します。これらのフィルターは、要件に合わせてカスタマイズできます。

信頼できないメールドメインと信頼できるメールドメインの指定 で信頼できるドメインを構成する方法について説明します。

システムログ のシステムログについて確認してください。

特に短期間でのログイン失敗の多さなど、異常なアクティビティを監視します。定義したしきい値を超えたときにメールを送信するアラートを作成できます。

これらのしきい値の設定方法については、 Indicator thresholdsで確認してください。

[自分のセキュリティメトリクス] ダッシュボードを確認してインスタンスで使用可能なセキュリティメトリクスを確認し、注目すべきアクティビティに関するメール通知を生成するしきい値を設定してください。注目すべきアクティビティの例としては、次のようなものがあります。

特権エスカレーション

アドミン、ITIL_Admin、またはより高い権限を持つその他のロールなどの特権ロールに予期しない変更が加えられた場合は、不審なアクションを示す可能性があります。

ログイン失敗

失敗したログインの数やパターンが異常であれば、総当たり攻撃やパスワードスプレー攻撃の可能性が明らかになります。

管理者と高権限ユーザーが追加されました

新しいアドミンアカウントの作成は、不正な特権アクセスの試行を防ぐために有効性を確認する必要があります。

Security Center のハードニングツールを使用して、インスタンスが最新のセキュリティ強化メトリクスに準拠していることを確認します。非本番インスタンスでこのツールにアクセスし、環境への影響を評価します。理想的には、製品の機能に影響を与えずに、スコアをできるだけ 100% に近づけ、最低スコアを 83% にする必要があります。

セキュリティセンターのハードニング設定ツールの詳細については、「 ハードニング設定」を参照してください。

安全なコーディング手法を使用して、インスタンスの安全性を確保し、不正アクセスに対する耐性を可能な限り確保します。インスタンス開発者向けの ServiceNow セキュアコーディングガイドでは、ServiceNow が提供するアプリケーションセキュリティ関連の GlideScriptable クラスとメソッドの概要について説明します。このガイドは、ターゲットインスタンスでコードを作成および変更する際の開発者を支援し、教育することを目的としています。インスタンス開発者向けの ServiceNow セキュアコーディングガイドのガイドを確認します。

[ 記憶する ] 機能を無効にして、インスタンスへの不要なアクセスを防ぐことができます。この機能を有効にすると、ユーザーのコンピューターに Cookie が保存され、その後のアクセス時にユーザーが自動的に認証されます。これにより、ユーザーが共有コンピューターなどの安全でないエンドポイントからインスタンスにアクセスした場合、セキュリティ上の問題が発生する可能性があります。

この機能の詳細と、この機能を非アクティブ化する方法については、 記憶する をご覧ください。

組織とは無関係の IP アドレスからのアクセスを制限することで、インスタンスへの不正アクセスを防止します。許可されていない IP アドレスからインスタンスにアクセスしようとすると、拒否されます。このアプローチを使用する場合は、ゲートウェイまたは Web プロキシの外部アドレスと、ユーザーがインスタンスにアクセスするアドレス (リモートユーザーを含む) のみを許可することを検討してください。送信アクセスと受信アクセスの両方を IP アドレスで制限できます。

特定の IP 範囲プラグインへのアクセスを制限する (セキュリティセンター 1.3 で更新) で IP アドレスを使用してインスタンスへのアクセスを制限する方法について説明します。

パスワードスプレー攻撃からインスタンスを保護します。これらの攻撃は、一般的に使用されるパスワードを複数のアカウントに対して連続してテストすることで、アクセスを取得しようとします。

スプレー攻撃の詳細と、スプレー攻撃からインスタンスを保護する方法については、「 パスワードスプレー攻撃の緩和戦略」を参照してください。

責任共有モデルを確認して、インスタンスのセキュリティを維持する上での顧客としての共通のロールを理解します。責任共有モデルは、特定の責任を持つ顧客間のパートナーシップを定義します。

詳細については、「 ServiceNow 責任共有モデル」を参照してください。

ログデータをアーカイブして、デフォルトの 21 日間のログローテーション期間を超えて保持します。このアーカイブは、Web サービス要求、データエクスポート機能、MID サーバー、または Vault パッケージのログエクスポートサービスを使用して実現できます。

これらの方法の詳細については、次のリソースを参照してください。

• Web services
• ログエクスポートサービス (LES) の探索

キー管理フレームワーク (KMF) を使用し、ロールベースのアクセス制御 (RBAC) でインスタンスのデータを保護する方法について説明します。KMF は暗号化モジュールを使用します。これにより、インスタンス上のどのデータを暗号化し、どの暗号化方法を使用するかを定義できます。複数のモジュールを使用して、インスタンスのさまざまな領域をさまざまな仕様で暗号化できます。

KMF とそのコンポーネントを使用して キー管理フレームワークの詳細 でデータを暗号化する方法について説明します。

暗号化モジュールの概要 の暗号化モジュールについて説明します。

証明書ベースの認証を使用するには、REST/SOAP 接続を使用して統合プロバイダーへのトラフィックを構成します。SSL (Secure Socket Layer) 証明書認証は、転送中のデータを暗号化し、送信時に読み取られるのを防ぐのに役立ちます。

この構成の詳細については、「 相互認証の構成」を参照してください。

サードパーティの多要素認証 (MFA) を既存の SAML IdP と統合して、ログインセキュリティを強化します。認証には複数の認証要素が必要なため、MFA は高レベルのセキュリティを提供します。ユーザーが知っているもの (パスワード) とユーザーが所有しているもの (MFA トークンや携帯電話によって生成されたワンタイムコード、または指紋などの生体認証属性)。

ServiceNow は、ローカルアカウント、LDAP、SAML を使用した SSO、OIDC、またはダイジェストとの直接 MFA 統合をサポートしています。

適応認証は、MFA を使用した SSO の前提条件です。

MFA は、指定されたユーザーおよび指定されたロールに対して有効にすることができ、使いやすさを考慮して構成できます。たとえば、認識されたデバイスを数時間免除できます。

セキュリティセンターで MFA を使用するためのメトリクスを表示できます。

SAML 認証の詳細については、次のリソースを参照してください。

• SAML 2.0 のコンセプト
• マルチプロバイダー SSO を使用した SAML 2.0 構成

メールフィルターを作成して、 ServiceNow ウイルス対策保護によって不審としてマークされたメッセージを除外します。ウイルス対策保護は、ウイルス対策に加えて、マルウェアやスパムのメールを分析し、スコアリングと結果を分析し、この情報を x-header のメッセージに追加します。必要に応じて、これらのヘッダーを Email Filters プラグインの条件として使用して処理できます。

ServiceNow のウイルス対策機能の詳細については、アンチウイルススキャン をご覧ください。

インスタンスでメールフィルターを構成する方法については、「 Email filters」を参照してください。

ServiceNow syslog プローブを使用して、インスタンスからセキュリティ情報およびイベントマネージャー (SIEM) にログメッセージを送信します。SIEM は、アクティビティの監視とセキュリティイベントの特定に使用できるサードパーティのソフトウェアまたはサービスです。

syslog プローブ構成の詳細についてはServiceNowSyslog probeを参照してください。

独自の (またはサードパーティの) インフラストラクチャを使用してインスタンス関連のメールを送受信し、より正確な境界メール制御のメリットを活用することを検討してください。