セキュリティのエキスパートによる専任のグローバルチームが、24 時間 365 日お客様のデータを保護します。Now Platform® のセキュリティを保護する方法をご紹介します。
ServiceNow では毎年、様々な国際基準と現地の基準に準拠していることを証明するために、独立第三者企業および政府機関による厳格な監査を受けています。
お客様のデータセキュリティは、当社の最優先事項です。これをクラウドサービスの設計の基本とし、Now Platform のあらゆるリリースに新たなセキュリティプロパティを装備しています。
当社では、お客様がデータを完全に制御できるよう尽力しており、業界標準のポートフォリオのうちの 1 つに準拠するとともに、デジタルプライバシーと安全要件の変化にも対応していきます。
ISO/IEC 27001:2013
SO/IEC 27001:2013 認証は、ISO/IEC 27002 のベストプラクティスガイドに基づいて、セキュリティ管理のベストプラクティスとコントロールを規定します。これにより、当社の情報セキュリティ管理システム (ISMS) が適切に調整され、セキュリティ上の脅威の変化に対応していることが保証されています。これは目まぐるしく変化する IT セキュリティにおいては不可欠な要素です。
再認定は、3 年ごとに監査によって取得され、これに含まれる年次監査モニタリングオーダーにより ServiceNow の以下の事項が立証されています。
1. 包括的な ISMS を設計し、実装している。
2. 継続的なリスク管理プロセスを採用し、進化し続ける脅威の状況やリスクに合わせて適切な情報セキュリティコントロールが確実に実施されている。
3. 体系的に情報セキュリティリスクを適切に評価し、組織の脅威や脆弱性の影響を含むいくつかの要因を考慮している。
ServiceNow は、2012 年以降、ISO/IEC 27001 の認定を受けており、認定証はこちらにあります。
ISO/IEC 27017:2015
ISO/IEC 27017:2015 は、ISO/IEC 27002 で指定されているクラウド固有の情報セキュリティコントロールの実装に関する規格です。
この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2018 年から ISO/IEC 27017:2015 の認定を受けています。
ISO/IEC 27018:2019
ISO/IEC 27018:2019 は ISO/IEC 27002 に基づく実践のための規範であり、ISO/IEC 29100 のプライバシー原則に従って、公共クラウドでの個人識別情報 (PII) の保護を取り扱っています。
この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2016 年から ISO/IEC 27018:2019 の認定を受けています。
SSAE 18 SOC 1 および SOC 2 レポート
サービスの組織的制御 (SOC) フレームワークは、クラウド内にあるお客様データの機密性、完全性、可用性を保護するための適切なコントロール能力に関し、ServiceNow が必要な基準を満たしていることを証明する証明書です。
- SOC 1 は、お客様の財務レポートに影響を与える内部コントロールの有効性に焦点を当てています。
- SOC 2 は、可用性、完全性、セキュリティ、機密性、またはプライバシーに関連するコントロールを評価します。
ServiceNow は、サードパーティによる監査を毎年受けており、2011 年以降、SSAE 18 SOC 1 タイプ 2 の証明書を維持しています (2017 年に SSAE 16 は SSAE 18 に更新)。SSAE 18 は国際規格 ISAE3402 に準拠しており、現在は廃止されている SAS70 に代わるものです。
ServiceNow の SOC 1 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。
また、2013 年以来 ServiceNow は、AICPA 信頼サービス基準 (TSC) に記載されているセキュリティ、可用性、および機密性のコントロールに関連する、年次 SOC 2 タイプ 2 の証明書を維持しています。
ServiceNow の SOC 2 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。
ブリッジレターは、各監査期間の間に提供されるため、ServiceNow は年間を通じて監査の対象となります。
ServiceNow の SOC 1 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末まで ServiceNow CORE から入手可能となります。
ServiceNow の SOC 2 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末まで ServiceNow CORE から入手可能となります。
BSI クラウドコンピューティングコンプライアンスコントロールカタログ (C5) 標準
C5 はドイツ連邦情報安全局 (BSI) によって策定された、クラウド固有のコンプライアンスコントロールカタログであり、公的機関と民間セクターの両方で活用されています。C5 証明レポートは AICPA SOC 2 レポートと同様のプロセスとスキーマに従っており、多くが AICPA 信頼サービス基準と重なる要件とともに、クラウドを中心とした特定の追加要件が定められています。ServiceNow は 2020 年に C5 証明レポートを受けています。
APEC プロセッサー向けプライバシー識別 (PRP)
APEC PRP は、アジア太平洋地域に特化したデータ処理者のための自主的な認定であり、同地域のローカルメンバーによって開発されました。認定は 1 年ごとに更新されますが、処理者のプライバシーに関わるプロセスや手順に大きな影響を与える変更があった場合は、より高い頻度で評価担当者が派遣されることがあります。
ISO/IEC 27701:2019
この ISO/IEC 27001 の拡張版は、個人情報管理システム (PIMS) の構築と維持に焦点を当てています。これは個人識別情報 (PII) を含む可能性がある顧客データの処理者としての ServiceNow に関連するものです。ServiceNow は 2020 年にこの認定を受けています。
PinkVERIFY™
PinkVERIFY™ により、ServiceNow は自社の IT Service Management (ITSM) 製品が Information Technology Infrastructure Library (ITIL) のベストプラクティスとの互換性を示せることが保証されています。
ServiceNow は、2009 年に 11 項目の ITIL プロセスの PinkVERIFY™ ステータスを達成した最初の SaaS ベンダーであることに誇りをもっています。この業界認定を維持しながらたゆまず進化を続け、ITSM ソリューションを改善しています。
FedRAMP JAB 高程度 P-ATO (米国政府機関用)
ServiceNow は、米国連邦リスクおよび認証管理プログラムの合同認定委員会から P-ATO (FedRAMP JAB) を高程度レベルで取得しました。これにより、米国連邦政府機関において当社のセキュアクラウドソリューションの導入が加速化し、連邦情報セキュリティ管理法 (FISMA) のもと、クラウドコンピューティング製品およびサービスの評価、監視、認定を行うための標準化アプローチを提供するようになっています。
ServiceNow は、2019 年に JAB High Provisional Authority to Operate (P-ATO) の認定を受けました。FedRAMP JAB 高程度 P-ATO は、DoD 影響レベル 4 の要件も満たしています。
DoD 影響度レベル 4 認定 (米国 DoD/IC 機関用)
DoD 影響度レベル 4 認定により、米国国防総省 (DoD) およびインテリジェンスコミュニティ (IC) による ServiceNow 製品の調達が促進されています。クラウドコンピューティングのためのセキュリティ要件ガイド (SRG) で、国防情報システムエージェンシー (DISA) によって定義されているベースライン標準が設定されています。
2019 年に、ServiceNow は DoD 影響レベル 4 (IL-4) 認定を取得しました。IL-4 標準は、FedRAMP 高程度コントロール、および DISA によって定義された追加コントロールに基づいています。
プライバシーシールドコンプライアンス
ServiceNow は、欧州連合、英国、およびスイスから米国へそれぞれ移転される個人データの収集、利用および保持について、米国商務省により規定される EU 米国間のプライバシーシールドフレームワークおよびスイス米国間のプライバシーシールドフレームワークを遵守します。プライバシーシールドフレームワークの詳細については、米国商務省のこちらのプライバシーシールドに関するウェブサイトをご覧ください。
シンガポール向け多階層クラウドセキュリティ標準 (MTCS) レベル 3
MTCS レベル 3 は、ServiceNow がシンガポールのクラウドにおけるお客様のデータの機密性と完全性に関する基準を満たすことを保証する認定です。ISO/IEC 27001 を基盤とし、事業継続性のプランニングおよび災害復旧とともに、データの主権、保存、可用性を対象とします。
ServiceNow は、取得可能な最高レベルの認定である MTCS レベル 3 を取得していることを誇りに思います。
クラウドサービスの OFFICIAL と PROTECTED の ASD IRAP 評価
ServiceNow の Australian Platforms は、OFFICIAL とPROTECTED のデータに関するオーストラリア ISM コントロールを満たすため、公認の IRAP 審査員により中立的に評価されました。IRAP の評価を受けた OFFICIAL および PROTECTED のクラウドサービスにより、オーストラリア政府の顧客は NOW Platform に信頼と信用を寄せられるようになるため、ServiceNow はオーストラリア政府機関や重要なインフラストラクチャプロバイダーと効果的に連携することが可能になります。オーストラリアの規制対象顧客の詳細については、https://your.servicenow.com/microsoftregulatedindustries/australia をご確認ください。
カナダ政府 GC クラウドプロバイダー
カナダサイバーセキュリティセンター (CCCS) は、GC クラウドプロバイダーとして認定されるために必要な物理的および論理的な要件を定めています。クラウドプロバイダーが GC クラウドプロバイダーとして承認されるためには、CCCS の担当者にそのコンプライアンスを証明する必要があります。GC とは政府が定義した、クラウドに保存することが認められているデータの分類レベルです。
ServiceNow は 2020 年に GC クラウドプロバイダーとして認定されました。詳細についてはこちらをご覧ください。
SOC 2 + HITRUST レポート
HITRUST はヘルスケア業界によって開発され、コントロールの CSF フレームワークを通じて、コンプライアンス目標を標準化するために、当初 ISO27001 をベースに構築されました。その後、NIST 800-53 や AICPA SOC 2 信頼サービス基準など、多くの一般的なセキュリティ基準を取り入れ、調整されています。SOC 2 + HITRUST レポートは、AICPA と HITRUST アライアンスが共同で作成するもので、サービス監査人が信頼サービス基準と HITRUST CSF の設計および有効性について、同一レポートの中で見解を述べる仕組みを提供しています。
Cyber Essentials Plus 認定
Cyber Essentials Plus は、英国政府が支援するスキームで、組織による自社の IT システムに対するサイバーセキュリティの脅威のリスク緩和とアセスメントの実証を支援します。このスキームでは、外部監査人が実施するベストプラクティスと、最高レベルのセキュリティを確保するための多様な技術的コントロールの実装が要求されます。このスキームは地域に重点を置いているため、認定の対象は英国地域となっています。