ServiceNow IRM と Autonomous Security & Risk と Veza の統合概要と活用ポイント

2026年6月21日

Contents

1 ServiceNow Integrated Risk Management と Autonomous Security & Risk の全体像
- 1.1 Integrated Risk Management（IRM）
- 1.2 Autonomous Security & Risk の AI‑ドリブン機能
2 Veza の位置付けと AI ベースアイデンティティ・リスク管理
- 2.1 AI エージェントと最小権限原則によるアイデンティティセキュリティ
- 2.2 ServiceNow AI Platform との統合ポイント
3 Armis と Veza の公式パートナーシップとシナジー効果
- 3.1 統合ハイライト
- 3.2 実装によるリスク管理強化メリット
4 機能比較表と導入選定指標
5 実務活用シナリオと導入チェックポイント
- 5.1 シナリオ 1：クラウド資産の可視化と最小権限付与
- 5.2 シナリオ 2：AI エージェントによる脅威ハンティングとサードパーティ評価
6 まとめと導入推奨

スポンサードリンク

ServiceNow Integrated Risk Management と Autonomous Security & Risk の全体像

ServiceNow が提供する Integrated Risk Management (IRM) と、2024 年に正式リリースされた Autonomous Security & Risk は、組織のリスク可視化と自動対策を一本化したプラットフォームです。本セクションでは、両機能の構成要素と導入によって期待できるビジネス効果を概観します。

Integrated Risk Management（IRM）

IRM は Now Platform 上に構築されたリスク評価・コントロール管理の統合基盤です。公式ドキュメントでは「単一アクションシステム」として、評価結果から自動的にワークフローを起動できる点が強調されています【ServiceNow Integrated Risk Management】。

リスク評価テンプレート
標準化された質問セットで迅速にスコアリングし、部門横断的なリスクマトリクスを生成します。
ポリシー管理と自動適用
作成したポリシーはリアルタイムで監視対象に展開され、逸脱が検知された際には自動で修正タスクが作成されます。
ITSM・GRC とのシームレス連携
IRM の評価結果は ServiceNow ITSM と自動的に紐付けられ、インシデントや変更要求として即座に処理できます。

ポイント：IRM はリスクとコントロールを単一画面で俯瞰できるだけでなく、評価結果からのアクションまでを自動化し、継続的なガバナンスを実現します。

Autonomous Security & Risk の AI‑ドリブン機能

Autonomous Security & Risk は、AI が資産・接続・アイデンティティ全体を「コントロールタワー」的に管理する新世代のモジュールです。ServiceNow の公式ロードマップ（2024‑Q3）で発表され、以下の機能が公開されています【Autonomous Security & Risk 製品概要】。

エージェントレス資産・接続自動検出
クラウド API とオンプレミスのネットワークフローを解析し、リアルタイムで全資産とその相互接続情報をマッピングします。
AI によるアイデンティティプロファイリング
人間ユーザーだけでなく、サービスアカウントや AI エージェントも同一スコアリングモデルで評価し、過剰権限や不審な行動を即座にフラグ付けします。
ポリシー自動生成と継続的適用
過去のインシデント・ベストプラクティスを学習した AI が、最適な制御ルールを提案し、承認後に自動で実装します。

ポイント：このモジュールは「検出 → 評価 → 対策」のサイクルを完全自律化することで、手作業中心のリスク管理プロセスを大幅に削減します。

Veza の位置付けと AI ベースアイデンティティ・リスク管理

Veza は ServiceNow AI Platform 上で 最小権限原則（Least‑Privilege） に特化したアイデンティティセキュリティソリューションです。公式ページでは「人間・AI エージェント・サービスアカウントすべてに対し、リアルタイムの権限最適化を提供する」と説明されています【Veza – ServiceNow】。

AI エージェントと最小権限原則によるアイデンティティセキュリティ

AI エージェントはアクセスログと行動パターンを解析し、過剰権限や不適切なロール割当てを自動で検出します。

権限最適化エンジン
行動分析に基づき、不要な権限を「リスクスコア」として可視化し、削減候補をレポートします。
AI 主導のロールマッピング
最小権限ベースのロールセットを自動生成し、承認ワークフローへシームレスに流します。
継続的評価ダッシュボード
権限変更とリスクスコアがリアルタイムで更新され、監査証跡としてエクスポート可能です。

ポイント：Veza の AI エージェントは権限の過剰付与を早期に検出し、最小権限実装に伴う人的コストを低減します。

ServiceNow AI Platform との統合ポイント

Veza は Now Platform のデータ層と直接連携し、既存の GRC・ITSM と同一 UI で操作できるよう設計されています。

CMDB 連携による資産共有
ServiceNow CMDB と双方向同期し、資産情報を即座に権限評価エンジンへ供給します。
ワークフロー拡張
権限変更要求が自動的に承認プロセスへ流れ、承認後は即時にロールが適用されます。
単一 UI 統合
Veza の分析結果は ServiceNow ダッシュボード内のウィジェットとして表示され、別ツールを開く必要がありません。

ポイント：プラットフォーム全体でアイデンティティリスク管理を統合することで、運用フローの一貫性と可視性が向上します。

Armis と Veza の公式パートナーシップとシナジー効果

2024 年 10 月に ServiceNow が発表したプレスリリース（ServiceNow × Armis × Veza パートナーシップ）では、IoT/OT 資産検出ベンダー Armis と Veza の連携が正式にアナウンスされました。本節では統合内容と実装時の具体的なメリットを整理します。

統合ハイライト

資産インベントリ自動相関
Armis が検出したエッジデバイス情報はリアルタイムで Veza の権限最適化エンジンに供給され、IoT デバイスの過剰権限が即座に可視化されます。
脅威インテリジェンス共有
Armis の STIX/TAXII ベース脅威フィードは Veza のポリシー生成ロジックに組み込まれ、危険度の高いアクセスパターンに対して自動的に防御ルールが作成されます。
単一コンソールでの操作
ServiceNow ダッシュボード上で資産可視化と権限管理を同時に操作でき、別ツール間の切り替えコストが排除されます。

実装によるリスク管理強化メリット

検出 → 評価 → 対策までの時間短縮
資産検出から権限評価、ポリシー適用までが数分で完結し、インシデント対応速度が大幅に向上します。
IoT/OT 環境への最小権限実装
従来は手作業で行われていたデバイス認証を AI が自動化し、管理負荷とヒューマンエラーを削減します。
コンプライアンス証跡の統一管理
PCI DSS、ISO 27001 など主要規格に対応した変更履歴が単一ログとして保存され、監査準備が容易になります。

ポイント：Armis と Veza の連携は、ハイブリッド環境全体での資産可視化と権限最適化を同時に実現し、組織のサイバーリスク姿勢を根本から強化します。

機能比較表と導入選定指標

以下の比較マトリクスは、ServiceNow （IRM + Autonomous Security & Risk） と Veza（AI Platform 上のソリューション） の主要機能を軸に整理したものです。各項目は実装時の意思決定材料として活用してください。

項目	ServiceNow IRM + Autonomous Security & Risk	Veza (ServiceNow AI Platform)
対象範囲	組織全体の資産・接続・アイデンティティ（内部＋サードパーティ）	アイデンティティと権限管理に特化、Armis 連携で IoT/OT カバー
自動化レベル	AI が資産検出・ポリシー生成・継続監視を全体的に実行	権限最適化とロール提案に特化した AI エージェント
UI/UX	ServiceNow 標準ダッシュボード＋カスタムレポート	Veza 専用ウィジェットが ServiceNow UI に統合
コンプライアンス支援	GRC、TPRM、PCI DSS など多層的にサポート（公式 GRC 製品連携）	最小権限原則でアクセス要件を満たす機能が中心
拡張性・API	Now Platform API が豊富で外部 SaaS と容易に接続	Veza API と Armis API による双方向データフロー
価格モデル	モジュールごとのサブスクリプション型（従量課金あり）	ServiceNow AI Platform ライセンス内オプションとして提供
導入実績	大手金融・製造業で全社リスク統合管理事例多数	金融機関やヘルスケアで最小権限プロジェクトが増加中

選定指針：組織全体の包括的リスクマネジメントを求める場合は ServiceNow のフルスタック、権限過剰付与の削減に重点を置く場合は Veza が適しています。ハイブリッド導入も技術的にはシームレスです。

実務活用シナリオと導入チェックポイント

実際の業務でどのように機能を組み合わせて価値を創出できるか、代表的なシナリオを示しつつ、導入時に確認すべき項目を整理します。

シナリオ 1：クラウド資産の可視化と最小権限付与

資産自動検出
Autonomous Security & Risk が AWS、Azure、GCP のリソースをリアルタイムで列挙。
アクセスパターン分析
Veza の AI エージェントが過去 30 日間の API 呼び出しを学習し、不要権限を特定。
最小権限ロール生成
AI が推奨ロールを作成し、ServiceNow ワークフローで承認→自動付与。

導入チェックポイント
- Cloud IAM ロールの最小権限設定（Read‑Only から始める）
- CMDB とクラウド API の接続情報を暗号化して保存
- AI エージェント学習期間は最低 2 週間確保し、評価指標 (False Positive Rate) をモニタリング

シナリオ 2：AI エージェントによる脅威ハンティングとサードパーティ評価

脅威インテリジェンス受信
Armis の STIX/TAXII フィードが ServiceNow に流入し、リアルタイムで更新。
AI 相関分析
Veza が脅威情報と権限データを照合し、高リスクアクセスをフラグ付け。
サードパーティリスクスコア算出
TPRM モジュールがベンダーごとのリスク評価を自動化し、ポリシーを更新。

導入チェックポイント
- サードパーティ契約情報（SLA・認証方式）を ServiceNow に統合
- 脅威フィードのフォーマット (STIX 2.1 推奨) と API 認証方式を確立
- AI エージェントの誤検知率を定期的にレビューし、ヒューマンオーバーライド手順を文書化

まとめと導入推奨

ServiceNow の IRM と Autonomous Security & Risk は組織全体のリスク・資産管理を統合的に自動化し、ガバナンスとコンプライアンスを強固にします。一方で Veza は最小権限原則に特化した AI エージェントを提供し、アイデンティティの過剰権限問題を迅速に解決します。

包括的リスク統合が必要 → ServiceNow フルスタック（IRM + Autonomous）
権限最適化・IoT/OT デバイスの最小権限実装 → Veza + Armis の連携

ハイブリッド導入により、資産可視化と権限管理をそれぞれベストなツールで担うことが可能です。導入時は データ統合基盤の設計、AI 学習期間の確保、ガバナンス体制の明文化 を最優先課題として設定し、段階的にパイロットを実施することでリスクとコストを最小化できます。