良好なパートナーシップは信頼の上に構築されます

ISO/IEC 27001:2013 認定は、ISO/IEC 27002 のベストプラクティスガイドに基づいて、セキュリティ管理のベストプラクティスとコントロールを指定します。これにより、当社の情報セキュリティ管理システム（ISMS）が適切に調整され、セキュリティ上の脅威の変化に対応していることが保証されています。これは目まぐるしく進化する IT セキュリティの世界では不可欠な要素です。

再認定は、3 年ごとに監査によって取得され、これに含まれる年次監査モニタリングオーダーにより ServiceNow の以下の事項が立証されています。

• 1. 包括的な ISMS を設計して実装されている。

• 2. 継続的なリスク管理プロセスを採用し、進化し続ける脅威の状況やリスクに合わせて適切な情報セキュリティコントロールが確実に実施されている。

• 3. 体系的に情報セキュリティリスクを適切に評価し、組織の脅威や脆弱性の影響を含むいくつかの要因を考慮している。

ServiceNow は、2012 年以降、ISO/IEC 27001 の認定を受けている組織であり、認定証はこちらにあります。

ISO/IEC 27017:2015 は、ISO/IEC 27002 で指定されているクラウド固有の情報セキュリティコントロールの実装に関する規格です。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2018 年から ISO/IEC 27017:2015 の認定を受けている組織です。

ISO/IEC 27018:2014 は ISO/IEC 27002 に基づく実践のための規範であり、ISO/IEC 29100 のプライバシー原則に従って、公共クラウドでの個人識別情報 (PII) の保護を取り扱っています。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2016 年から ISO/IEC 27018:2014 の認定を受けている組織です。

サービスの組織的制御（SOC）フレームワークは、クラウド内のお客様のデータの機密性、完全性、可用性を保護するための適切なコントロール能力に関し、ServiceNow が必要な基準を満たしていることを証明する証明書です。

• - SOC 1 は、お客様の財務レポートに影響を与える内部コントロールの有効性に焦点を当てています。

• - SOC 2 は、可用性、完全性、セキュリティ、機密性、またはプライバシーに関連するコントロールを評価します。

ServiceNow は、第三者による監査を毎年受けており、2011 年以降、SSAE 18 SOC 1 タイプ 2 の証明書を維持しています（2017 年に SSAE 16 は SSAE 18 に更新）。SSAE 18 は国際規格 ISAE3402 に準拠しており、現在は廃止されている SAS70 が置き換えられました。

また、2013 年以来 ServiceNow は、AICPA 信頼サービス基準（TSC）に記載されているセキュリティと可用性のコントロールに関連する、年次 SOC 2 タイプ 2 の証明書を維持しています。

SOC 1 Type 2 ブリッジレターは、各監査期間の間に提供されるため、ServiceNow は 1 年を通じてその対象となります。このブリッジレターは、ServiceNow CORE を介して、毎年 1 月末に ServiceNow のお客様に提供されます。

C5 はドイツ連邦情報安全局 (BSI) によって策定された、クラウド固有のコンプライアンスコントロールカタログであり、公的機関と民間セクターの両方で活用されています。C5 証明レポートは AICPA SOC 2 レポートと同様のプロセスとスキーマに従っており、多くが AICPA 信頼サービス基準と重なる要件とともに、クラウドを中心とした特定の追加要件が定められています。ServiceNow は 2020 年に C5 証明レポートを受けています。

PinkVERIFY™ により、ServiceNow は自社の IT サービスマネジメント (ITSM) 製品が Information Technology Infrastructure Library (ITIL) のベストプラクティスと互換性があることを示せることが保証されています。

ServiceNow は、2009 年に 11 項目の ITIL プロセスの PinkVERIFY™ ステータスを達成した最初の SaaS ベンダーであることに誇りをもっています。この業界認定を維持しながらたゆまず進化を続け、ITSM ソリューションを改善しています。

ServiceNow は、米国連邦リスクおよび認証管理プログラムの合同認定委員会から p-ATO (FedRAMP JAB) を高程度レベルで取得しました。これにより、当社のセキュアクラウドソリューションの米国連邦政府機関への導入が加速化し、連邦情報セキュリティ管理法 (FISMA) のもと、クラウドコンピューティング製品およびサービスの評価、監視、認定を行うための標準化アプローチを提供しています。

ServiceNow は、2019 年に JAB High Provisional Authority to Operate (p-ATO) の認定を受けました。FedRAMP JAB 高程度 p-ATO は、DoD 影響レベル 4 の要件も満たしています。

DoD 影響度レベル 4 認定により、米国国防総省 (DoD) およびインテリジェンスコミュニティ (IC) による ServiceNow 製品の調達が促進されています。クラウドコンピューティングのためのセキュリティ要件ガイド（SRG）で、国防情報システムエージェンシー（DISA）によって定義されているベースライン標準が設定されています。

2019 年に、ServiceNow は DoD 影響レベル 4（IL-4）認定を取得しました。IL-4 標準は、FedRAMP 高程度コントロール、および DISA によって定義された追加コントロールに基づいています。

ServiceNow は、欧州連合、英国、およびスイスから米国へそれぞれ移転される個人データの収集、利用および保持について米国商務省により規定される EU 米国間のプライバシーシールドフレームワークおよびスイス米国間のプライバシーシールドフレームワークを遵守します。プライバシーシールドフレームワークの詳細については、米国商務省のこちらのプライバシーシールドに関するウェブサイトをご覧ください。

MTCS レベル 3 は、ServiceNow がシンガポールのクラウドにおけるお客様のデータの機密性と完全性に関する基準を満たすことを保証する認定です。ISO/IEC 27001 を基盤とし、事業継続性のプランニングと災害復旧とともに、データの主権、保存、可用性を対象とします。

ServiceNow は、取得可能な最高レベルの認定である MTCS レベル3 を取得していることを誇りに思います。

当社のクラウドサービスが ASD IRAP の認定を受けているおかげで、ServiceNow はオーストラリア政府機関が Now Platform^® を使用するための効率的な連携が可能になっています。この認定規格は、オーストラリア政府国防総省のインテリジェンス機関であるオーストラリア通信電子局（ASD）によって設定されています。

ServiceNow は、2017 年に ASD 認定を取得し、それに伴い、ASD 認定レターと認定レポートを発行しています。