ServiceNow AI Platform の Web アプリケーションファイアウォール - Support and Troubleshooting

ServiceNow AI Platform の Web アプリケーションファイアウォール .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } この記事では、ServiceNow が ServiceNow AI Platform 内で直接 Web アプリケーションファイアウォール (WAF) 機能を提供しない理由と、プラットフォーム内および顧客インスタンス内で顧客が利用できる補完セキュリティコントロールの概要について説明します。 この記事では、顧客が独自のWAFテクノロジーをデータアーキテクチャに統合するオプションについても説明し、そのようなソリューションの展開、構成、保守の責任は顧客または選択したサードパーティプロバイダーにあることを強調しています。

セクション WAF 管理の技術的な複雑さ ServiceNow セキュリティプログラム WAF 機能と対応する ServiceNow AI Platform 機能のリスト ServiceNow セキュリティセンター ServiceNow インスタンスへの WAF テクノロジーの統合 WAF 管理の技術的な複雑さ ServiceNow AI Platform 内での WAF の管理は、各組織のセキュリティ要件が非常に多様でカスタマイズされているため、大きな課題を抱えています。プラットフォームは、単純なワークフローから複雑な統合まで、幅広い顧客環境に対応する必要があり、この多様性により、効果的で目立たないユニバーサルなWAFルールのセットを適用することが困難になっています。

ServiceNow は通常、各顧客インスタンスに固有の特定のデータ構造、カスタムビジネスロジック、およびアプリケーションの動作を完全に把握できていません。この詳細なコンテキストがなければ、正当なアクティビティと疑わしいアクティビティを全面的に確実に区別するWAF構成を微調整することは不可能になります。この精度の欠如により、許可されたユーザーのアクションに誤ってフラグが付けられてブロックされる誤検知が頻繁に発生し、ビジネスオペレーションと生産性が低下する可能性があります。

さらに、WAF の管理には、進化するトラフィック パターンの分析、新しい脅威に対応したルール セットの更新、インシデントのトラブルシューティングなど、継続的な調整と監視が必要であり、専用の専門知識とリソースが必要です。これらのアクティビティは非常に個別のユースケースとデータフローを中心に展開されるため、ServiceNow は、すべての顧客のニーズを満たすプラットフォーム全体の WAF 管理を直接提供できる立場には配置されていません。

ServiceNow セキュリティプログラム ServiceNow は、開発からインフラストラクチャ、継続的な監視に至るまで、複数のレイヤーにまたがるコントロールを実装することで、WAF の不在を補う包括的な保護を実現し、機密データの露出のリスクを最小限に抑えます。

この包括的なアプローチにより、ServiceNow は攻撃対象領域を大幅に縮小し、あらゆる脆弱性を迅速に検出して修正することで、WAF が提供するレベルと同等かそれ以上のセキュリティレベルを提供するとともに、顧客固有のニーズに合わせて調整およびカスタマイズされたコントロールを実現できるという利点もあります。

安全な開発 ServiceNow コードは OWASP 上位 10 ガイドラインに準拠しているため、コードが本番環境に入る前に一般的な脆弱性を特定して軽減できます。

脆弱性管理とアジャイルパッチ適用 ServiceNow は、定期的かつ継続的な脆弱性アセスメントを実施し、迅速かつ系統的にパッチを適用して、新たなリスクを最小限に抑えます。

ペネトレーションテストと監査 ServiceNow は、潜在的なセキュリティ上の欠陥を検出するために、定期的な監査とともに内部および外部の両方のペネトレーションテストを実行します。

ハードニングと監視 ServiceNow は、プラットフォームのインフラストラクチャを強化し、継続的な監視を実装することで、システムセキュリティをさらに強化します。これにより、例外的な動作や侵入の試みをリアルタイムで検出できます。

ServiceNow は、開発からインフラストラクチャ、継続的な監視に至るまで、複数のレイヤーにまたがるコントロールを実装することで、WAF の不在を補う包括的な保護を実現し、機密データの露出のリスクを最小限に抑えます。

ServiceNow セキュリティプログラムの詳細については、「 ServiceNow AI Platform の保護 」を参照してください。

WAF 機能と対応する ServiceNow AI Platform 機能のリスト WAF 機能 ServiceNow プラットフォームの機能 SQL インジェクション保護:SQL インジェクションの試行を検出してブロック 入力検証、パラメーター化されたクエリ

SQL のサニタイズ変換関数 検証、サニタイズ、およびエンコーディング クロスサイトスクリプティング (XSS):ユーザー入力へのスクリプトインジェクションをブロック 。 入力のサニタイズ、CSP ヘッダー、フロントエンド検証

検証、サニタイズ、およびエンコーディング HTML サニタイザー Cross-Site Request Forgery (CSRF):不正なクロスオリジンアクションを防止 。 CSRF トークン、安全な Cookie、SameSite 設定

CSRF 厳格検証 GlideHTTPResponse - グローバル セキュアセッションの cookie 悪意のあるボットの検出とブロック:スクレイピング、ブルートフォースボットを識別してブロック 。 レート制限、CAPTCHA、ボット動作分析

HTTP 応答ヘッダー 外部ユーザー登録向けに Captcha を有効にする プロトコル異常検出:誤った形式の HTTP 要求を検出 厳格な要求解析、適切に構成されたリバースプロキシ/ロードバランサー。ServiceNow REST API では、適切な処理を確実にするために、正確なパラメーターエンコーディングとデータ処理が必要です。

HTTP 応答ヘッダー 検証、サニタイズ、およびエンコーディング XMLDocument2 ストリーミングパーサー セッションハイジャック保護:ハイジャックされたセッションまたはリプレイの試行を検出 セキュアなセッション処理、トークンの有効期限、cookie フラグ

セッション管理 • にするOAuth トークンの有効期限が切れた後にセッションを無効にする • Anti-CSRF トークンの検証時間 • トークン認証情報の自動トークンクリーンアップの設定 • HTTP のみの Cookie フラグを有効にする ヘッダーインジェクションと操作検出:不正なヘッダーや改ざんを防止 安全なデフォルトヘッダー、ヘッダー検証、厳格な CORS ポリシー

CORS ドメイン要件 CORS ルールの定義 WS-Security SOAP エンベロープヘッダー REST API セキュリティ照会ポリシー コンテンツタイプとメソッドの適用:正しい HTTP メソッドまたはコンテンツタイプを強制 X-Content-Type-Options 応答 HTTP ヘッダーは、MIME (多目的インターネットメール拡張) が Content-Type に公示されて入力されることを示すために使用されます。

コンテンツタイプのオプションの自動設定 要求と応答のコンテンツタイプの制御 GlideHTTPRequest - グローバル ログ記録とアラート:攻撃のリアルタイム監視、アラート、およびログ記録 SIEM 統合、監査ログ、プラットフォームオブザーバビリティ機能

ログエクスポートサービス (LES) ServiceNow クラウドオブザーバビリティイベント API セキュリティ:REST/GraphQL API を悪用や誤用から保護 スキーマの適用、レート制限、および JWT 検証が含まれます。

する厳格な REST API セキュリティを強制する アクセス制御リストのルール ACL を要求するようにスクリプト化された REST API リソースを構成する 受信 REST API レート制限 JWT ベアラー ServiceNow セキュリティセンター ServiceNow は、ServiceNow Security Center を通じて包括的なセキュリティコントロールスイートを顧客に提供します。ServiceNow Security Center は、顧客が ServiceNow 環境に特化したさまざまなセキュリティ機能を監視、構成、管理できる一元的なハブとして機能します。

ServiceNow セキュリティセンターの詳細を見る

ServiceNow インスタンスへの WAF テクノロジーの統合 これらの組み込みのセキュリティ対策は堅牢な保護を提供しますが、お客様は必要に応じて独自のWAFテクノロジーをデータアーキテクチャに柔軟に統合できます。

WAFルールやインシデントレスポンスの特定の構成など、このようなソリューションの設計、展開、保守の責任は、顧客または指定されたサードパーティプロバイダーにあります。ServiceNow は、データプロセッサとしての役割において、外部の WAF ソリューションやプラットフォームとの相互運用性を管理しません。これらはコア ServiceNow AI Platform サブスクリプションサービスの外部にあり、完全に顧客の管理下にあります。

ビルトインのコントロールと顧客主導の構成の組み合わせにより、組織はコンプライアンスとレジリエンスの両方を維持でき、自信を持って俊敏に ServiceNow 環境を保護できるようになります。