ServiceNow CSAのセキュリティでは、Security Center という機能が出てきます。Security posture dashboard・Findings・Customer Actions・特権アカウント・データ保護…と画面の要素が多く、「何を見て、何をすればいいのか、試験でどう判断するのか」が掴みにくい——そう感じている方は多いはずです。
この記事は、CSAで問われるSecurity Centerを、①そもそも何を可視化する仕組みか → ②これがないと現場で何が起きるか → ③見えた状態から何をすべきか選ぶ早見表の順で理解するための記事です。用語の暗記ではなく、模試で迷わない判断軸を持ち帰ることをゴールにします。
▶ この分野の模擬試験を無料・登録不要で解く
CMDB・データ移行など分野別に分けた、AI生成のCSA模試です
- そもそもSecurity Centerとは
- これがないとどうなる ——「退職者の管理者権限が、半年放置されていた話」
- だからCSAはSecurity Centerを問う ——鍵は「点数」でなく「対応と責任」
- Security Center 判断早見表(迷ったらここに戻る)
- Findings と Security Task:検出を「見て終わり」にしない
- Customer Actions:顧客側の責任として扱う
- 特権・未使用アカウント:知らぬ間に増える攻撃面
- データ保護・ログイン保護:持ち出しと侵入の兆候を見る
- 「点数を上げることを目的化する罠」
- Security Centerの運用ベストプラクティス
- PDIで手を動かして確認する場所
- まとめ:可視化を対応につなげられると、判断問題に強くなる
そもそもSecurity Centerとは
Security Centerは、インスタンスのセキュリティ状態を一画面(Security posture dashboard)で可視化する仕組みです。主に次の領域を、コンプライアンススコアや件数とともに見ます。
- コンプライアンススコア / At a glance:全体のセキュリティ姿勢を概観する
- Findings:セキュリティチェックに違反したレコードや設定の検出結果
- Customer Actions:顧客側で実施すべきセキュリティ対応(期限つき)
- 特権・未使用アカウント / ログイン保護:高権限アカウントやログインの兆候
- データ保護:分類済みデータやエクスポートの状況
CSAで繰り返し問われる本質は、「点数を上げること」ではなく「検出を対応につなげられるか」「顧客側の責任を理解しているか」です。次の事故を見ると、可視化がないと何が起きるか分かります。
これがないとどうなる ——「退職者の管理者権限が、半年放置されていた話」
ある組織で監査の直前に、慌てて手作業でセキュリティ状態をかき集めました。すると、退職者の管理者(admin相当)アカウントが半年も残り、未対応のセキュリティ推奨が溜まり、分類済みデータが想定外に持ち出されていたことが次々に判明。誰も全体像を把握しておらず、対応は後手に回りました。
これは可視化がないと起きることの典型です。Security Centerがあれば、高権限アカウント・未対応のCustomer Actions・データ持ち出しが一画面で常時見えていたはずでした。Security Centerは、こうした「気づかないうちに積み上がるリスク」を可視化するための入口です。
だからCSAはSecurity Centerを問う ——鍵は「点数」でなく「対応と責任」
こうしたリスクに気づき対応できるかを確認するため、CSAの試験範囲にSecurity Centerが含まれています。問われるのは画面操作の暗記ではなく、「検出(Findings)を対応(Security Task)につなげられるか」「Customer Actionsを顧客側の責任として扱えるか」です。
この先は、(1)迷ったとき立ち返る判断早見表、(2)主要な領域を「事故 → 放置するとどうなる → どう使って対応するか → 改善後」で、の順に、模試で迷わない判断軸を作っていきます。
Security Center 判断早見表(迷ったらここに戻る)
Security Centerの問題は、見えた状態(問題文)と取るべき対応を結べれば解けます。次の早見表が、この記事全体の地図です。各領域は後の章で事故付きで深掘りします。
ここからは、主要な領域を「実際に起きがちな事故」から見ていきます。事故の形を知っていると、選択肢の言い換えに惑わされなくなります。
Findings と Security Task:検出を「見て終わり」にしない
現場で起きる事故:Security CenterのFindings(検出結果)は表示されているのに、誰がいつ直すかが決まらず放置。件数だけが増えていった。
放置するとどうなる:Findingを見ているだけでは、リスクは下がりません。検出は「直すべき対象」を示すだけで、対応しなければ意味がありません。
CSAでこう使う:FindingはSecurity Taskとして作業化し、担当・期限をつけて修正を追跡します。なおMuteはFindingを一時的に抑制する考え方で、根本修正ではありません(抑制の理由と再確認の期限を管理します)。
改善後:検出が対応タスクに落ち、実際にリスクが下がっていきます。
早見表の該当行:「検出結果がある」→ Findings → Security Taskで作業化。Muteは一時抑制であって対応ではない。
Customer Actions:顧客側の責任として扱う
現場で起きる事故:Customer Actions(顧客側で実施すべき推奨)が「ServiceNow側がやってくれるもの」と誤解され、期限が過ぎても放置されていた。
放置するとどうなる:Customer Actionsは顧客側の対応事項です。放置すると、責任分担(Shared Responsibility)上、顧客側の未対応リスクとして残ります。
CSAでこう使う:Customer ActionsはShared Responsibility Modelとつなげ、「顧客側が設定・運用で実施すべき対応」として扱います。期限の近いものから、何を直すかを判断して対応します。
改善後:顧客側の対応事項が期限内に処理され、責任分担上の抜けがなくなります。
早見表の該当行:「未対応の推奨が多い」→ Customer Actions → 顧客側で対応(Shared Responsibility)。
特権・未使用アカウント:知らぬ間に増える攻撃面
現場で起きる事故:冒頭で紹介した「退職者の管理者権限が半年放置」がこれです。高権限アカウントや一度もログインしていないアカウントが、誰にも気づかれず残っていました。
放置するとどうなる:高権限アカウントは攻撃時の影響が大きく、未使用アカウントは不要なアクセス面になります。放置すると、漏洩・不正アクセスのリスクが膨らみます。
CSAでこう使う:Security CenterのActive privileged accountsやNever logged-in usersを定期的に確認し、必要最小限か・退職者や不要アカウントが残っていないかを棚卸しします。
改善後:高権限が必要な範囲に絞られ、不要アカウントが整理されて攻撃面が小さくなります。
早見表の該当行:「高権限アカウントが多い」→ 特権アカウント → 棚卸し・最小権限。
データ保護・ログイン保護:持ち出しと侵入の兆候を見る
現場で起きる事故:分類済みデータ(PII等)のエクスポートが増えていたが誰も気づかず、後から「誰がどの目的で持ち出したか」を追えなかった。ログイン失敗の急増も見逃していた。
放置するとどうなる:データの持ち出しやログインの異常を可視化しないと、漏洩や不正アクセスの兆候を見逃します。
CSAでこう使う:Data protectionで分類済みデータやエクスポートの状況を、Login protectionでログイン失敗や特権アカウントのログイン兆候を確認します。アクセス権・業務上の必要性・監査可能性を見ます。
改善後:データ持ち出しとログイン異常の兆候を早期に捉え、対応につなげられます。
早見表の該当行:「分類データのエクスポート増」→ データ保護。「ログイン失敗が多い」→ ログイン保護。
「点数を上げることを目的化する罠」
Security Centerの判断問題でも、「スコアを上げる行動」と「実際にリスクを下げる行動」を見分けられるかが問われます。具体シナリオに翻訳して違いを見ます。
| やった気になる対処 | 具体シナリオ | 本当はどうする |
|---|---|---|
| FindingをMuteして件数を減らす | 見かけ上スコアは上がるが、原因は直っていない | Security Taskで原因を修正する |
| 評価範囲を狭めて点数を上げる | 重要な領域が評価から外れ、リスクが残る | 運用判断に使える状態かで考える |
| Customer Actionsを後回しにする | 顧客側の未対応リスクが責任分担上残る | 期限の近いものから顧客側で対応 |
| 可視化して満足する | Findingsを見ているだけでリスクは下がらない | 検出を対応(Security Task)につなげる |
「最も適切なのは?」と問われたら、「点数・件数・可視化」ではなく「実際にリスクを下げる対応・責任」を選びます。これが迷わないための判断軸です。
Security Centerの運用ベストプラクティス
リスクを可視化して対応につなげるために、現場で押さえておきたい運用のベストプラクティスは次の5つです。
- posture dashboardを定期的に確認する。コンプライアンススコア・Findings・Customer Actions・特権アカウントを定点で見ます。
- 検出は必ず作業化する。FindingをSecurity Taskにして担当・期限をつけ、対応を追跡します。
- Customer Actionsは顧客責任として処理する。Shared Responsibilityで自社の対応範囲を明確にします。
- 高権限・未使用アカウントを棚卸しする。最小権限を徹底し、退職者・不要アカウントを整理します。
- 点数でなく「リスクが下がったか」で評価する。Muteや範囲縮小で見かけ上上げないようにします。
PDIで手を動かして確認する場所
Personal Developer Instance(PDI)で実際の画面を触ると、早見表が記憶に定着します。
- Security Center / Security posture dashboard:コンプライアンススコアとAt a glanceを見る
- Findings / Security Task:検出結果から対応タスクへの流れを確認する
- Customer Actions:顧客側の対応事項と期限を見る
- Active privileged accounts / Never logged-in users:アカウントの棚卸し観点を確認する
- Data protection / Login protection:データ持ち出し・ログイン兆候を見る
まとめ:可視化を対応につなげられると、判断問題に強くなる
- Security Centerは「可視化→検出→対応→責任」で考える
- 検出(Findings)はSecurity Taskで作業化し、見て終わりにしない
- Customer Actionsは顧客側の責任(Shared Responsibility)として処理する
- 高権限・未使用アカウント、データ保護・ログイン保護を定期確認する
- 点数・件数・可視化でなく「実際にリスクが下がったか」で判断する
Security Centerは、CSAでも「点数でなく対応・責任」を突く判断問題が多いテーマです。事故の形と早見表が頭に入ったら、実際の問題で手を動かして判断軸を固めましょう。
セキュリティ領域の判断問題を集中特訓する:ServiceNow CSA セキュリティ集中特訓へ進む
ACL・ロール・責任範囲を含む全体像はServiceNow CSAのセキュリティ対策もあわせてご覧ください。
