ServiceNow Access Control プラグインを使用して、どの従業員がいつインスタンスにアクセスできるかを制御します。指定したユーザーを除くすべてのユーザーに対してデフォルトの拒否体制を適用します。これには、 ServiceNow 人の従業員を含めることができます。このプラグインを使用すると、インスタンスへの不要なアクセスを防ぐことができます。

このプラグインの詳細については、「ServiceNow アクセス制御」を参照してください。

セキュリティチームからセキュリティ関連情報を受け取る組織内の情報セキュリティ連絡先を選択します。この連絡先に加えて、これらの更新を受け取るアドミンも含まれます。

この情報は、セキュリティの問題、セキュリティ アラート、または重要なソフトウェア更新プログラムに関する詳細である可能性があります。

セキュリティ連絡先の追加の詳細については、「 KB0621516」を参照してください。

アドミン、ITIL、従業員などのインスタンスのビルトインユーザーアカウントのパスワードを変更します。これらのアカウントは、インスタンスに固有のデフォルトのパスワードでプロビジョニングされますが、できるだけ早く変更する必要があります。

インスタンスのユーザーアカウントのパスワードを変更する方法の詳細については、「 ユーザーのパスワードの設定」を参照してください。

インスタンスに接続するブラウザーで、より安全なトランスポートレイヤーセキュリティ (TLS) 1.2 を使用していることを確認します。この変更は、ブラウザーで行うか、Web プロキシまたは他のゲートウェイによって強制することができます。

TLS 1.2 のみを使用するようにこれらの製品を設定する手順については、ブラウザ、Web プロキシ、またはゲートウェイのドキュメントを参照してください。

組織で Sender Policy Framework (SPF) を使用してスパム対策テクノロジーで受信メールを制御している場合は、インスタンスから送信されたメールを受け入れるように設定する必要があります。SPF レコードを動的にクエリするように SPF を設定します。

SPF を選択できない場合は、メール サーバーの IP アドレスを許可リストに追加するという方法もあります。アドレスは変更される可能性があるため、この設定を監視する必要があります。

これらのソリューションの手順と詳細については、「KB0535456」を参照してください

添付ファイルのアップロードをロール、ファイル拡張子、MIME タイプ、またはサイズで制限して、悪意のある可能性のあるファイルが保存されてインスタンスから配信されるのを防ぎます。また、ダウンロードできるファイルの種類 (MIME の種類など) を制御したり、認証されていないユーザーによる画像アクセスを防止したりすることもできます。

これらの添付ファイル制限は、インスタンスのシステムプロパティによって制御されます。構成の詳細については、「 Configure attachment system properties」を参照してください。

SQL エラーメッセージが Web ブラウザに表示されないようにします。これらのメッセージは、ユーザーや開発者にとって有用ですが、攻撃者がシステムに関する情報を取得したり、データへのアクセスを誘導したりするために使用される可能性があります。これらのメッセージは、システムプロパティを使用してオフにすることができます。

このシステムプロパティの詳細については、「 SQL エラーメッセージを無効にする (Security Center 1.3 および 1.5 で更新)」を参照してください。

可能な場合はパスワードなしの認証を無効にすることで、強力な認証を確保します。パスワードなしの認証を無効にしないと、潜在的な攻撃者はユーザー名 (firstname.lastname やロールタイトルなど) を正しく推測してインスタンスにアクセスできる可能性があります。

システムプロパティを使用して、インスタンスでパスワードなしの認証を無効にすることができます。このプロパティの詳細については、「パスワードなしの認証の無効化」を参照してください。

テーブル監査を使用して、データの変更を追跡します。監査は、有効になっているテーブル内のすべてのレコードの作成、更新、削除を追跡し、アドミンが重要なデータや機密データの変更を追跡できるようにします。アドミニストレーターは、監査対象のテーブル内の特定のフィールドを選択して、より的を絞った結果を表示したり、パフォーマンスへの影響を軽減したりすることもできます。

インスタンスでの監査の詳細については、「 監査」を参照してください。

テーブルの監査を有効にする具体的な手順については、「 テーブルの監査の構成」を参照してください。

データを暗号化して、機密性と完全性を維持します。インスタンスのデータはデータベース内に置くことができます。バックエンドでデータボリュームを透過的に暗号化する機能をサブスクライブすることもできます。インスタンスが実行されている物理ディスク全体を暗号化して、紛失や盗難の場合にデータを保護することもできます。

ユースケースと軽減するリスクに応じて、インスタンスに保存されているデータに対して異なる暗号化方法を同時に使用できます。たとえば、ほとんどのテーブルでデータベース暗号化を使用し、データボリューム全体でクラウド暗号化を使用して、保存データを透過的に暗号化することを選択できます。また、フルディスクハードウェア暗号化を使用することもできますが、これにはドライブやサーバーの盗難から保護するための専用環境も必要です。

in キー管理フレームワーク で利用可能な暗号化オプションを確認します。

パスワードポリシーを使用して、インスタンスのネイティブアカウントとローカルアカウントの長さ、複雑さ、有効期限、一意性、ロックアウトなどを適用します。これらのポリシーを使用して、セキュリティを最大化し、長いパスフレーズの採用を促進し、単純なパスワードの使用を排除します。

LDAP や SAML など、統合した外部認証サービスの既存のポリシーを保持できます。

パスワードポリシーの設定の詳細については、「 パスワードポリシーの設定」を参照してください。

この機能を使用して、メールでユーザーアカウントを動的に作成します。この機能は、ビジネスニーズに必要な場合にのみ、アカウントを作成できる信頼できるドメインのリストを定義した後にのみアクティブ化してください。この方法で作成された新しいアカウントにパスワードを割り当てる方法を制御することもできます。

ユーザーの自動作成の詳細については、「 Enable automatic user creation」を参照してください。

ナレッジベースと記事へのアクセスを管理して、安全で効率的な情報共有を実現します。寄稿および読み取りアクセスを制御することで、特定のユーザーまたはユーザーのカテゴリがナレッジベースおよびナレッジ記事にアクセスできるかどうかを決定できます。

具体的な構成は、ビジネスニーズによって異なります。ナレッジアクセス権を設定するためのオプションについては、「 Managing access to knowledge bases and knowledge articles」を参照してください。

High Security プラグイン (HSP) を使用して、セキュリティ管理を強化し、適切な設定を適用します。高セキュリティ設定は、セキュリティ設定の中心的な場所を提供し、個別のセキュリティアドミニストレーターロール、デフォルトの拒否プロパティ、およびその他の重要なセキュリティ機能を作成します。

HSP は、すべての新しいインスタンスにインストールされ、デフォルトで有効になっています。古いバージョンからアップグレードされたインスタンスを含む、古いインスタンスの HSP アクティベーションを要求できます。HSPの有効化は、アクティブ化によっていくつかの基本的なプロパティと動作が変更されるため、非本番環境で慎重にテストした後にのみ行う必要があります。

High Security プラグインの詳細については、「 高セキュリティプラグインを有効にする (Security Center 1.3 で更新)」を参照してください。

セキュリティ情報は常に進化しているため、情報セキュリティを強化するために、セキュリティリソースを常に最新の状態に保つことが重要です。

次のリソースを使用して、セキュリティリソースに関する最新情報を常に入手してください。

• CORE ディレクトリ:ServiceNow CORE コンプライアンスポータル
• Securing the ServiceNow AI Platform: How ServiceNow protects customer data (ServiceNow AI プラットフォームの保護: ServiceNow による顧客データの保護)
• インスタンスの保護

セキュリティセンター強化ツールを使用して、悪用される可能性のある弱点を制限することでリスクを軽減し、インスタンスのセキュリティを強化するための推奨設定を実装します。

セキュリティセンターの詳細については、 セキュリティセンターを参照してください。

ハードニング設定で利用可能なハードニング設定を確認します。

パッチとプラットフォームの更新をできるだけ早くインストールすることで、インスタンスと他の顧客のインスタンスの両方に最高レベルのセキュリティを確保できます。更新を最新の状態に保つことで、EOL ポリシーに準拠することで継続的なサポートを維持することもできます。アップグレードセンターを使用してプロセスを管理します。

Now Platform のセキュリティ修正は、製品の機能更新に伴うパッチとホットフィックスを通じて定期的にリリースされます。新しいパッチとホットフィックスが利用可能になったときにアップグレードすると、潜在的な脆弱性のリスクを軽減するのに役立ちます。

Now Platform のリリース、パッチ、ホットフィックスに関する情報は、製品ドキュメントの「リリースノート」セクションに記載されています。詳細については、「Phase 1 - 」を参照してください。

サードパーティのマルチファクター認証 (MFA) を既存の SAML IdP と統合して、ログインセキュリティを強化します。認証には複数の認証要素が必要なため、MFA は高レベルのセキュリティを提供します。ユーザーが知っているもの (パスワード) とユーザーが所有しているもの (ワンタイムコード、携帯電話、または指紋などの生体認証属性) です。

MFA 統合の詳細については、「 多要素認証」を参照してください。

システムアドレスフィルターを使用して、インスタンスがメールで通信できるドメインとユーザーを制御します。これらのフィルターは、要件に合わせてカスタマイズできます。

信頼できないメールドメインと信頼できるメールドメインの指定 で信頼できるドメインを構成する方法について説明します。

システムログの詳細については、 システムログを参照してください。

特に短期間での、ログイン失敗の多さなどの異常なアクティビティを監視します。定義したしきい値を超えたときにメールを送信するアラートを作成できます。

これらのしきい値を Indicator thresholdsで設定する方法について説明します。

[自分のセキュリティメトリクス] ダッシュボードを確認して、インスタンスで利用可能なセキュリティメトリクスを確認し、注目アクティビティに関するメール通知を生成するためのしきい値を設定します。注目すべきアクティビティの例には、次のようなものがあります。

権限エスカレーション

アドミン、ITIL_Admin、またはより高い権限を持つその他のロールなどの特権ロールに予期しない変更が加えられた場合、不審なアクションを示す可能性があります。

ログイン失敗

ログイン失敗の数やパターンが異常であれば、総当たり攻撃やパスワードスプレー攻撃の可能性が明らかになります。

アドミンと高権限ユーザーが追加されました

新しい admin アカウントの作成の有効性をチェックして、不正な特権アクセスの試行を防ぐ必要があります。

Security Center の強化ツールを使用して、インスタンスが最新のセキュリティ強化メトリクスに準拠していることを確認します。非本番インスタンスでこのツールにアクセスして、環境への影響を評価します。理想的には、製品の機能に影響を与えずに、スコアをできるだけ 100% に近づけ、最低スコアを 83% にする必要があります。

Security Center のセキュリティ強化設定ツールの詳細については、 ハードニング設定を参照してください。

安全なコーディングプラクティスを使用して、インスタンスの安全性を確保し、不正アクセスに対する耐性を可能な限り確保します。インスタンス開発者向けの ServiceNow セキュアコーディングガイドでは、ServiceNow が提供するアプリケーションセキュリティ関連の GlideScriptable クラスとメソッドの概要を説明しています。このガイドは、開発者がターゲットインスタンスでコードを作成および変更する際に支援および教育することを目的としています。インスタンス開発者向けの ServiceNow セキュアコーディングガイドのガイドを確認してください。

[ 記憶する ] 機能を非アクティブ化することで、インスタンスへの不要なアクセスを防ぐことができます。この機能を有効にすると、Cookie がユーザーのコンピューターに保存され、その後のアクセス時にユーザーが自動的に認証されます。これにより、ユーザーが共有コンピューターなどの安全でないエンドポイントからインスタンスにアクセスした場合、セキュリティ上の問題が発生する可能性があります。

この機能の詳細と、 記憶する でこの機能を非アクティブ化する方法について説明します。

組織とは無関係の IP アドレスからのアクセスを制限することで、インスタンスへの不正アクセスを防止します。許可されていない IP アドレスからインスタンスにアクセスしようとすると、拒否されます。このアプローチを使用する場合は、ゲートウェイまたは Web プロキシの外部アドレス、およびユーザーがインスタンスにアクセスするアドレス (リモート ユーザーを含む) のみを許可することを検討してください。IP アドレスによって送信アクセスと受信アクセスの両方を制限できます。

IP アドレスでインスタンスへのアクセスを制限する方法については、 特定の IP 範囲プラグインへのアクセスを制限する (Security Center 1.3 で更新)を参照してください。

パスワードスプレー攻撃からインスタンスを保護します。これらの攻撃は、一般的に使用されるパスワードを複数のアカウントに対して連続してテストすることにより、アクセスを試みます。

スプレー攻撃の詳細と、それらからインスタンスを保護する方法については、「 パスワードスプレー攻撃の緩和戦略」を参照してください。

責任共有モデルを確認して、インスタンスのセキュリティを維持する上での顧客としての共通のロールを理解します。責任共有モデルでは、顧客との間に特定の責任があるパートナーシップを定義します。

詳細については、「 ServiceNow 責任共有モデル」を参照してください。

ログデータをアーカイブして、デフォルトの 21 日間のログローテーション期間を超えて保持します。このアーカイブは、Web サービス要求、データエクスポート機能、MID サーバー、または Vault パッケージのログエクスポートサービスを使用して実行できます。

これらの方法の詳細については、次のリソースを使用します。

• Web services
• ログエクスポートサービスの詳細 (LES)

キー管理フレームワーク (KMF) を使用し、ロールベースのアクセス制御 (RBAC) を使用してインスタンス上のデータを保護する方法について説明します。KMF では暗号化モジュールを使用します。これにより、インスタンス上のどのデータを暗号化するか、および使用する暗号化方法を定義できます。複数のモジュールを使用して、インスタンスのさまざまな領域を異なる仕様で暗号化できます。

KMF とそのコンポーネントを使用して キー管理フレームワークの詳細 でデータを暗号化する方法について説明します。

暗号化モジュールの概要 の暗号化モジュールについて説明します。

証明書ベースの認証を使用するように REST/SOAP 接続を使用して統合プロバイダーへのトラフィックを構成します。Secure Socket Layer (SSL) 証明書認証は、転送中のデータを暗号化し、送信時に読み取られないようにします。

この構成の詳細については、「 相互認証の構成」を参照してください。

サードパーティのマルチファクター認証 (MFA) を既存の SAML IdP と統合して、ログインセキュリティを強化します。認証には複数の認証要素が必要なため、MFA は高レベルのセキュリティを提供します。ユーザーが知っているもの (パスワード) とユーザーが所有しているもの (MFA トークンや携帯電話によって生成されたワンタイムコード、または指紋などの生体認証属性)。

ServiceNow は、ローカルアカウント、LDAP、SAML を使用した SSO、OIDC、またはダイジェストとの直接 MFA 統合をサポートしています。

適応認証は、MFA を使用した SSO の前提条件です。

MFA は、指定したユーザーおよび指定したロールに対して有効にし、使いやすさを考慮して構成できます。たとえば、認識されたデバイスを数時間免除することができます。

セキュリティセンターで MFA を使用するためのメトリクスを表示できます。

SAML 認証の詳細については、次のリソースを参照してください。

• SAML 2.0 のコンセプト
• マルチプロバイダー SSO を使用した SAML 2.0 構成

メールフィルターを作成して、 ServiceNow ウイルス対策保護によって不審とマークされたメッセージを除外します。ウイルス対策保護は、ウイルス対策に加えて、電子メールのマルウェアとスパムを分析し、スコアリングとその結果により、これらの情報を x ヘッダーのメッセージに追加します。必要に応じて、これらのヘッダーをメールフィルタープラグインの基準として使用できます。

ServiceNowのウイルス対策機能の詳細については、アンチウイルススキャンをご覧ください。

インスタンスでメールフィルターを構成する方法については、「 Email filters」を参照してください。

ServiceNow syslog プローブを使用して、インスタンスからセキュリティ情報およびイベントマネージャー (SIEM) にログメッセージを送信します。SIEM は、アクティビティの監視とセキュリティイベントの識別に使用できるサードパーティのソフトウェアまたはサービスです。

syslog プローブ構成の詳細についてはServiceNowSyslog probeを参照してください。

独自の (またはサードパーティの) インフラストラクチャを使用してインスタンス関連のメールを送受信し、より正確な境界メール制御のメリットを活用することを検討してください。