データのセキュリティとプライバシーを確保するための定期的な監査

ISO/IEC 27001:2013 認定は、ISO/IEC 27002 のベストプラクティスガイドに基づいて、セキュリティ管理のベストプラクティスとコントロールを指定します。 これにより、当社の情報セキュリティマネジメントシステム（ISMS）が適切に調整され、セキュリティ上の脅威の変化に対応していることが保証されています。これは目まぐるしく進化する IT Security の世界では不可欠な要素です。

再認定は、3 年ごとに監査によって取得され、これに含まれる年次監査モニタリングオーダーにより ServiceNow の以下の事項が立証されています。

• 1.包括的な ISMS を設計して実装している。

• 2.継続的なリスク管理プロセスを採用し、進化し続ける脅威の状況やリスクに合わせて適切な情報セキュリティコントロールを確実に実施されている。

• 3.体系的に情報セキュリティリスクを適切に評価し、組織の脅威や脆弱性の影響を含む複数の要因を考慮している。

ServiceNow は、2012 年以降、ISO/IEC 27001 の認定を受けており、認定証はこちらにあります。

ISO/IEC 27017:2015 は、ISO/IEC 27002 で指定されているクラウド固有の情報セキュリティコントロールの実装に関する規格です。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2018 年から ISO/IEC 27017:2015 の認定を受けている組織です。

ISO/IEC 27018:2019 は ISO/IEC 27002 に基づく実践のための規範であり、ISO/IEC 29100 のプライバシー原則に従って、公共クラウドでの個人識別情報 (PII) の保護を取り扱っています。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2016 年から ISO/IEC 27018:2019 の認定を受けています。

サービスの組織的制御（SOC）フレームワークは、クラウド内のお客様のデータの機密性、完全性、可用性を保護するための適切なコントロール能力に関し、ServiceNow が必要な基準を満たしていることを証明する証明書です。

• - SOC 1 は、お客様の財務レポートに影響を与える内部コントロールの有効性に焦点を当てています。
• - SOC 2 は、可用性、完全性、セキュリティ、機密性、またはプライバシーに関連するコントロールを評価します。

ServiceNow は、第三者による監査を受けており、2011 年以降、SSAE 18 SOC 1 タイプ 2 の証明書を維持しています（2017 年に SSAE 16 は SSAE 18 に更新）。 SSAE 18 は国際規格 ISAE3402 に準拠しており、現在は廃止されている SAS70 が置き換えられました。

ServiceNow の SOC 1 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。

4 月 1 日から 3 月 31 日までの期間を対象とする SOC 1 レポートは、各暦年の第 2 四半期末 (6 月) までに ServiceNow CORE から入手可能となります。

また、2013 年以来 ServiceNow は、AICPA 信頼サービス基準 (TSC) に記載されているセキュリティ、可用性、および機密性のコントロールに関連する、年次 SOC 2 タイプ 2 の証明書を維持しています。

ServiceNow の SOC 2 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。

ブリッジレターは、各監査期間の間に提供されるため、ServiceNow は年間を通じて監査の対象となります。

ServiceNow の SOC 1 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末までに ServiceNow CORE から入手可能となります。

4 月 1 日から 6 月 30 日までの期間を対象とする SOC 1 ブリッジレターは、各暦年の第 3 四半期末までに ServiceNow CORE から入手可能となります。

ServiceNow の SOC 2 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末まで ServiceNow CORE から入手可能となります。

C5 はドイツ連邦情報安全局 (BSI) によって策定された、クラウド固有のコンプライアンスコントロールカタログであり、公的機関と民間セクターの両方で活用されています。 C5 証明レポートは AICPA SOC 2 レポートと同様のプロセスとスキーマに従っており、多くが AICPA 信頼サービス基準と重なる要件とともに、クラウドを中心とした特定の追加要件が定められています。 ServiceNow は 2020 年に C5 証明レポートを受けています。

APEC PRP は、アジア太平洋地域に特化したデータ処理者による任意認定資格であり、この地域のローカルメンバーによって開発されています。 認定資格は毎年更新されますが、処理者のプライバシープロセスや手順に重大な影響を与える可能性のある変更については、より頻繁に査定を行う可能性があります。

ISMAP (Information System Security Management and Assessment Program) は、日本政府が調達するクラウドサービスにおいて、日本政府のセキュリティ要件を満たすクラウドサービスを評価して登録し、セキュリティレベルを確保することを目的としたプログラムです。  ServiceNow の Now Platform は、ISMAP の管理における管理基準を満たしていると、ISMAP の登録審査員による独立した評価を受け、2022 年 3 月から ISMAP クラウドサービスとして登録されています。  ISMAP クラウドサービス一覧はこちらからご覧いただけます。https://www.ismap.go.jp/csm?id=cloud_service_list

ISO / IEC 27001 のこの拡張版は、個人情報管理システム (PIMS) の確立と保守に焦点を当てています。 これは個人識別情報 (PII) を含む可能性のある顧客データの処理者である ServiceNow にとって関連があります。 ServiceNow は 2020 年にこの認定を受けています。

PinkVERIFY™ により、ServiceNow は自社の IT Service Management (ITSM) 製品が Information Technology Infrastructure Library (ITIL) のベストプラクティスと互換性があることを示せることが保証されています。

ServiceNow は、2009 年に 11 項目の ITIL プロセスの PinkVERIFY™ ステータスを達成した最初の SaaS ベンダーであることに誇りをもっています。この業界認定を維持しながらたゆまず進化を続け、ITSM ソリューションを改善しています。

ServiceNow の Government Community Cloud (GCC) は現在、米国連邦政府によるリスクおよび認証管理プログラムの合同認定委員会 (FedRAMP JAB) から受けた P-ATO (High Baseline Provisional Authority to Operate) を保持しています。 これにより ServiceNow は、当社のセキュアクラウドソリューションの米国連邦政府機関とプロバイダーへの導入を加速化させ、連邦情報セキュリティ管理法 (FISMA) のもと、クラウドコンピューティング製品やサービスの評価、監視、認定を行うための標準化された手法を実装することが可能となっています。

GCC は、2019 年 8 月に最初の GCC FedRAMP High Provisional Authority to Operate (P-ATO) の認定を受けました。 GCC はまた、米国防総省 (DoD) の影響度レベル 4 (IL4) と CNSSI 1253F プライバシーオーバーレイ高気密性 PII + PHI の規制要件も満たしています。

FedRAMP Marketplace に登録された ServiceNow はこちらからご覧ください。

ServiceNow の Government Community Cloud (GCC) サービスは現在、米国防総省 (DoD) の影響度レベル 4 (IL4) の暫定認可 (PA) を維持しています。 これにより、米国の国防総省 (DoD) とインテリジェンスコミュニティ (IC) による ServiceNow 製品の調達が容易になり、国防情報システム局 (DISA) が開発した DoD クラウドコンピューティング (CC) セキュリティ要求事項ガイド (SRG) によって定義された、ベースライン標準が確立されています。

ServiceNow は、2019 年 10 月に最初の GCC DoD IL4 PA を取得しました。 DoD IL4 PA には、FedRAMP High と DoD IL4 の両方の規制要件が含まれています。 ServiceNow の GCC は、CNSSI 1253F プライバシーオーバーレイ高気密性 PII + PHI の規制要件も満たしています。

ここをクリックすると、DISA Storefront の『Standard Offering』セクションで ServiceNow が示されています。

ServiceNow は、欧州連合、英国、およびスイスから米国へそれぞれ移転される個人データの収集、利用および保持について米国商務省により規定される EU 米国間のプライバシーシールドフレームワークおよびスイス米国間のプライバシーシールドフレームワークを遵守します。 プライバシーシールドフレームワークの詳細については、米国商務省のこちらのプライバシーシールドに関するウェブサイトをご覧ください。

MTCS レベル 3 は、ServiceNow がシンガポールのクラウドにおけるお客様のデータの機密性と完全性に関する基準を満たすことを保証する認定です。 ISO/IEC 27001 を基盤とし、事業継続性のプランニングと災害復旧とともに、データの主権、保存、可用性を対象とします。

ServiceNow は、取得可能な最高レベルの認定である MTCS レベル 3 を取得していることを誇りに思います。

ServiceNow のオーストラリアプラットフォームについては、OFFICIAL データと PROTECTED データに関してオーストラリアの ISM コントロールを満たしていることが公認の IRAP 審査員によって中立的に評価されています。 IRAP で評価された OFFICIAL クラウドサービスと PROTECTED クラウドサービスは、オーストラリア政府のお客様に Now Platform の信頼と自信を提供し、ServiceNow がオーストラリア政府機関や重要なインフラストラクチャプロバイダーに効果的に関与することを可能にしています。 オーストラリアの規制対象のお客様向け詳細については、こちらをご確認ください。https://your.servicenow.com/microsoftregulatedindustries/australia

カナダサイバーセキュリティセンター (CCCS) は、GC クラウドプロバイダーとして認定されるために満たす必要のある一連の物理的要件と論理的要件の両方を確立しています。 GC クラウドプロバイダーとして承認される前に、クラウドプロバイダーは CCCS に準拠していることを実証する必要があります。 GC とは、クラウド内に保存することが承認されている、政府によって定義されたデータ分類レベルです。

ServiceNow は 2020 年に GC クラウドプロバイダーとして認定されました。詳細についてはこちらをご覧ください。

HITRUST は、CSF フレームワークのコントロールを利用したコンプライアンスの標準化を目的として、医療業界によって開発されました。当初は ISO27001 に基づいて構築されました。 それ以降、NIST 800-53、AICPA SOC 2 Trust Services Criteria など、多くの一般的なセキュリティ標準に組み込まれ、明示されています。 SOC 2 + HITRUST レポートは、AICPA (米国公認会計士協会) と HITRUST Alliance 間のコラボレーションにより作成され、 サービスの監査人が、Trust Services Criteria と HITRUST CSF の設計と有効性に関する意見をこの同一のレポートで述べています。

Cyber Essentials Plus は、英国政府が支援するスキームで、組織が IT システムに対するサイバーセキュリティの脅威のリスク軽減と評価を実証することを支援します。 この制度では、外部監査人により、ベストプラクティスと最高レベルのセキュリティを確保するための様々な技術的コントロールの実施が求められます。 このスキームは地域に特化したものであるため、この認証は英国地域に限定されています。

ServiceNow は、米国国防総省 (DOD) の影響度レベル 5 (IL5) の暫定認可を取得しました。 これにより、ServiceNow National Security Cloud (NSC) は、国防総省の厳しいクラウドコンピューティングセキュリティ要求事項ガイドを影響度レベル 5 で満たすように構築され認可された、数少ない SaaS (Software-as-a-service) / PaaS (Platform-as-a-Service) 製品の 1 つとなりました。

この IL5 暫定認可によって、国防総省、そのミッションパートナー、一部の連邦政府機関は、管理された非分類情報や非分類国家安全保障システムなどの機密性の高いデータを、Microsoft Azure Government にホストされた ServiceNow のクラウドベースソリューションに移行できるため、国防総省のデジタル変革を加速させることができます。

Payment Card Industry Data Security Standard (PCI DSS) は Visa、MasterCard、Discover Financial Services、JCB International、American Express が 2004 年に策定した一連のセキュリティ基準です。 このコンプライアンス要件は Payment Card Industry Security Standards Council (PCI SSC) によって管理されており、データの盗難や不正利用から、クレジットカード取引とデビットカード取引のセキュリティを保護することを目的として作成されました。 これはクレジットカードデータを含む可能性のある顧客データの処理者である ServiceNow に関連するものです。 ServiceNow は 2023 年にこの認定を受けています。