アトラシアンの技術的および組織的なセキュリティ対策

概要

セキュリティはアトラシアンラシアンのサービスの不可欠な要素です。このページでは、顧客データを不正なアクセス、破壊、使用、変更、および開示から保護するためのアトラシアンのセキュリティ プログラム、認定、ポリシー、および物理的、技術的、組織的、管理上の制御 (「セキュリティ対策」) について説明します。セキュリティ対策は、NIST 800-53 管理策を含む、同様の状況にあるサービスとしてのソフトウェア プロバイダーに一般に認められている基準 (「業界基準」) に沿うことを目的としています。

本覚書の英語版において使用されている大文字で始まる用語は、本覚書上、またはデータ処理補遺で定義されていない限り、基本契約で定義する当該用語の意味を有するものとします。アトラシアンのセキュリティ体制の詳細については、Trust Center とコンプライアンスのリソース センターをご覧ください。

1. アクセス制御

アトラシアンは、顧客データの適切なアクセス制御および保護のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• ユーザー プロビジョニングのフレームワークや原則を含む、アクセス制御標準に対応するアクセス管理ポリシー。
• 上位階層サービスにおける多要素認証の要件を含む、ゼロ トラスト モデル アーキテクチャに基づいて指定された重大度の階層。
• 関連する担当業務、および認証プロセスで実施される最小権限の原則に基づく、アトラシアンのシステム、アプリ、インフラストラクチャへのアクセスのためのユーザー プロビジョニング。
• アトラシアンのスタッフのための厳格なロール ベースのアクセス制御による、知る必要がある場合のみの顧客データへのアクセスの許可。
• (i) アクセス制御レビュー、(ii) 人事アプリ管理対象セキュリティ グループ、および (iii) ワークフロー制御を含むがこれらに限定されない、職務分掌。
• データ分類レベルに基づいてデータ、アプリ、インフラストラクチャ、またはネットワーク コンポーネントへのアクセスを許可する前の、すべてのユーザー アカウントのアトラシアン経営陣による事前の承認、および関連するロールで必要とされるアクセス権の定期的なレビュー。
• 情報分類とアトラシアンのゼロ トラスト モデル アーキテクチャに基づく、VPN (仮想プライベート ネットワーク) や MFA (多要素認証) などの技術的制御の使用。

• エンドポイントとモバイル デバイスのロックアウト期間の定義や体制チェックを含む、一元管理された MDM (モバイル デバイス管理) ソリューション。

2. 意識向上とトレーニング

アトラシアンは、適切なトレーニングとセキュリティ意識向上のアクティビティ実施のための以下を含む包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• さまざまな形式 (オンライン、対面、事前に録画されたセッション、フィッシング シミュレーション) を活用して、すべての従業員を対象とした、入社時および年次のセキュリティ、プライバシー、コンプライアンスのトピックに関する広範な意識向上トレーニング。
• 関連するリスクに対処し、特定のナレッジ ベースを強化するための、昇格権限を持つ従業員向けに対象を絞ったロール別トレーニング。
• 指定された学習管理システムによる、すべてのトレーニング記録の管理。
• 各マネージャーへのエスカレーション プロセスを組み込んだ、トレーニングの締め切りを知らせる自動リマインダー。
• 現在の脅威とベスト セキュリティ プラクティスを網羅した、(請負業者やパートナーも対象とする) 継続的なセキュリティ意識向上トレーニング。
• エンジニアリング チームにおける、セキュリティ チャンピオンによる安全なコーディング トレーニング。

• セキュリティに対する連帯責任を強調し、さまざまなアクティビティを通じてセキュリティ原則を強化するための必須の年次セキュリティ トレーニングとイベント。

3. 監査および説明責任

アトラシアンは、適切な監査と説明責任のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 年次レビューと上級管理職の承認を含む、アトラシアンのポリシー管理フレームワークの一部としての包括的なロギング基準。
• 読み取り専用アクセスのクラウド インフラストラクチャの一元化されたログ プラットフォームへの、関連するシステム ログの安全な転送および保存。
• 異常を確認し、対処するための確立されたプロセスによるセキュリティ監査ログの監視と異常なアクティビティの検出。
• 新機能や変更に対応するためのクラウド製品および関連インフラストラクチャの情報およびシステム イベントのログ範囲の定期的な更新。

• 関連するクラウド サービス プロバイダー (AWS や Microsoft Azure など) の時刻同期サービスを使用した、デプロイされたすべてのインスタンスでの信頼性できるタイムキーピング。

4. 評価、承認、監視

アトラシアンは、一貫したシステム監視とセキュリティ評価のための以下を含む包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• 年次レビューと更新を含む広範な監査と保証のポリシー。
• 年次レビューや上級管理職によるプログラム承認など、グローバル ポリシーをさまざまな分野に分類する、一元化された内部ポリシー プログラム。
• 計画、リスク分析、セキュリティ コントロール評価、結論、是正スケジュール、過去の監査報告書のレビューを含む監査管理。
• 法的および契約上の要件、およびコンプライアンス評価のための制御とプロセスの有効性に関して年次評価を実施する内部、および独立した外部による監査。
• 関連する基準や規制 (ISO 27001 や SOC 2 など) への準拠の継続的な検証。
• すべて文書化および綿密に追跡された根本原因分析、重大度評価、および是正措置を考慮した監査結果から見つかった、すべての不適合に対する体系的な対処。
• 製品の年次ペネトレーション テスト、および脆弱性の検出と軽減のためのプロアクティブなバグ報奨金プログラム。

• アトラシアンのポリシーに従って脆弱性を特定し、修正する継続的な脆弱性スキャン。

5. 構成管理

アトラシアンは、適切な構成管理のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 内部および外部のすべての資産変更のリスク管理を対象とし、年次でレビューされる変更管理ポリシー。
• データを安全に取り扱うため、そのセキュリティ分類に従って暗号化と暗号技術 (暗号化キーなど) に適用される変更管理の標準の手順。
• 年次レビューや上級管理職によるプログラム承認など、グローバル ポリシーをさまざまな分野に分類する、一元化された内部ポリシー プログラム。
• 業界標準に沿った、(i) 暗号化、(ii) 暗号技術、(iii) エンドポイント管理、(iv) 資産追跡を含む厳格なポリシー。
• 実装と権限者による承認の前に文書化をテストするために確立された変更管理の基準。
• 本番コードとインフラストラクチャの変更に対して、複数のレビューなテストの成功を必要とするピア レビューとグリーン ビルド プロセス。
• コードへの緊急変更のための厳格な実装後テストと承認のプロセス。
• 不正な変更を管理し、これを防御する IDS (侵入検知システム) で補完された包括的な自動化システム。

• すべての物理的および論理的資産の綿密なカタログ化、および年次レビューによるリアルタイムの資産管理の確保。

6. 緊急時対応計画

アトラシアンは、ビジネス継続性とディザスタ リカバリに向けた適切な緊急時対応計画のための以下を含む包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• スキルの高い人材と、製品提供に不可欠な電気通信やテクノロジーを含む堅牢な IT インフラストラクチャ。
• 定義された RTO (目標復旧時間) と RPO (目標復旧時点) を含む、ビジネス継続性とディザスタ リカバリ計画 (「BCDR 計画」)。
• アクセスと利用の中断を防ぐように合理的に設計された、データ ストレージと使用継続性を含むビジネス継続性計画。
• グローバルな人材とクラウド インフラストラクチャによる地理的多様性。
• 日次バックアップ、年次の復元テスト、代替クラウド インフラストラクチャのストレージ サイトなどの回復性管理による事業運営の強化。
• ビジネス継続性を維持するためのサイバー イベントへの対応と修復のための回復性の枠組みと手順。
• 対応戦略を強化するための四半期ごとのディザスタ リカバリのテストと演習、および適用可能な BCDR 計画に沿った継続的な改善のためのテスト後分析。
• クラウド製品および関連インフラストラクチャに対する DDoS (分散型サービス拒否攻撃) の緩和など、サービスの可用性と処理能力を維持するための内部監視と調整を含む、製品全体の継続的なキャパシティ管理。
• ビジネス継続性に関するすべてのグローバル ポリシーの年次レビューおよび更新のための一元化された内部ポリシー プログラム。

• (i) データ暗号化、(ii) データ センター間の冗長性、(iii) 緊急時対応計画を強化するための定期的なテストを含む、堅牢なバックアップ プロトコル。

7. 識別と認証

アトラシアンは、適切な識別と認証のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• アプリへのアクセスに SSO (シングル サインオン) を利用する、アクティブ ディレクトリを介した従業員の一意の識別。
• 安全なアクセス、特にアトラシアンのゼロ トラスト モデル アーキテクチャに基づく SSO 経由の VPN とアプリ起動のための MFA の使用。
• パスワードの作成と管理のセキュリティ面に焦点を当てた、NIST 800-63B ガイドラインに従ったパスワード ポリシー。
• 高度な暗号化方法 (パスワードとシークレット管理システムなど) を使用した、保存されている認証情報のセキュリティの確保。

• 文書化された承認、ユーザーとアカウントの定期的なレビュー、関連する ID システムと人事システム間の自動同期による、識別データの整合性と精度の維持。

8. セキュリティ インシデント対応

アトラシアンは、適切なセキュリティ インシデント対応のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 準備、封じ込め、根絶、復旧を強調し、データ保護やその他の規制要件にも重点を置く、セキュリティインシデント対応計画。
• セキュリティ インシデントを処理する専任の部門横断型チーム。セキュリティ イベントの適切なトリアージ プロセスの定義など、効果的なコミュニケーションとコラボレーションを確保します。
• セキュリティ インシデント管理の有効性を追跡し、向上させるための確立されたメトリックを使用した対応計画の定期的なテスト。
• 現在のベスト プラクティスを全社的に反映、共有するための全社的なインシデント対応計画とポリシーの年次レビュー。
• システムの改善と学習に重点を置き、重大度の高いセキュリティ インシデントについて実施する根本原因分析による PIR (インシデント事後レビュー)。
• ダウンタイムとセキュリティ リスクを最小限に抑えるために、重要なビジネス プロセスに組み込まれたインシデント対応手順および計画。
• セキュリティ インシデントの処理と報告に役立つ、システムの可用性に関して公開されている情報: https://status.atlassian.com/、および https://www.loomstatus.com/ (該当する場合)。
• お客様がインシデント、脆弱性、バグ、課題を報告して、システムの不具合、可用性、セキュリティ、機密性に関連する懸念に迅速に対応するための機能。

• アトラシアンのデータ処理補遺に基づく、セキュリティ インシデントに関するお客様への通知を不当に遅滞なく行うことの確約。これには、適用されるデータ保護法の遵守に必要な情報をお客様に提供する義務も含まれます。

9. 保守

アトラシアンは、そのクラウド製品の効率維持のための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 外部監査人による BCDR 計画の定期テストおよび四半期ごとの評価。
• インフラストラクチャの可用性と信頼性の定期テストによる複数リージョンの可用性のリアルタイム監視。

• 第 4 条 (評価、承認、監視)、第 6 条 (緊急時対応計画)、第 18 条 (システムと通信の保護) に概説する対策。

10. メディア保護

アトラシアンは、(内外の) メディアを確実に保護するための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 信頼できるサード パーティのサービス (Microsoft Azure や AWS など) の利用による、復処理者として顧客データを処理するための物理的インフラストラクチャの運用。
• 業界標準 (ISO 27001) に沿った顧客データを含むハード ドライブを含む、サード パーティのクラウド サービス プロバイダーによる使用済み機器のデータ消去と消磁。
• 顧客データを保存するサーバーおよびデータベース、およびエンドポイント デバイス上のデータ ドライブに採用されている、業界標準 (AES-256 など) を使用したフル ディスク暗号化。
• 顧客データへのアクセスを安全かつ規制に準拠したデバイスを介した場合のみ許可し、アトラシアンのゼロ トラスト モデル アーキテクチャに従うすべてのデバイスに対する技術的制御 (VPN など) によってアクセスを制限する、社内の BYOD (個人所有デバイスの業務使用) ポリシー。

• セキュリティが確保された職場のガイダンスに従い、機密データが表示されないようにするために必要な無人ワークスペース。

11. 物理および環境面での保護

アトラシアンは、顧客データの物理および環境面での保護のための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• アトラシアンのオフィス全体に制御を実装した、安全でセキュリティが確保された職場環境。
• バッジ リーダー、カメラ監視、時間指定のアクセス制限の採用によるセキュリティの強化。
• 調査を目的としたオフィス ビルへのアクセスのログの実装と保持。
• サード パーティ データ センター プロバイダーによって実装される、生体認証やオンプレミス セキュリティを含む、複数のコンプライアンス認定や強固な物理的セキュリティ対策。
• サード パーティのデータ センター プロバイダーによって実装されている、制御されたアクセス ポイントと高度な監視システム、および電源ケーブルと通信ケーブルの保護対策および環境制御システム。

• (アトラシアンとそのサード パーティ データ センター プロバイダーの両方による) リスクの低い環境区域への重要機器の配置による安全性の強化。

12. 計画

アトラシアンは、事業運営の適切な計画のための以下を含む一連の包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• 法務チームとコンプライアンス チームによる規制上の義務に関するアクティブな監視と文書化。
• システムの境界と製品の説明に関する包括的なドキュメントを含む、詳細なシステム セキュリティ計画。
• 社内ユーザーや顧客への主要な製品やサービスの大幅な変更に関する通知。

• セキュリティ管理プログラムの定期的なレビューと更新。

13. プログラム管理

アトラシアンは、適切なプログラム管理のための以下を含む一連の包括的なポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• セキュリティ関連のすべてのポリシーとプラクティスを網羅する、経営幹部レベルのセキュリティ管理プログラムのサポート。
• (i) ロール定義、(ii) リスク軽減、(iii) サービス プロバイダーのセキュリティ管理プログラムを含む、文書化された情報セキュリティ ポリシー。
• 顧客データを処理するシステムの定期的なリスク評価、および是正措置のためのセキュリティ インシデントの迅速なレビュー。
• SOC 2、ISO27001、NIST 800-53 などの標準に準拠した公式のセキュリティ制御の枠組み。
• 最高信託責任者によって承認された緩和計画と定期的な実施状況の追跡による、セキュリティ リスクの特定および定量化のプロセス。
• さまざまな潜在的攻撃ベクトルをカバーするセキュリティ テストへの包括的かつ多様なアプローチ。
• セキュリティ管理プログラムの定期的なレビュー、テスト、および更新 (年 1 回以上)。
• 定期的なトレーニングによるセキュリティ スタッフ向けの能力開発プログラム、ロールと責任を明確にした組織図。
• 経営幹部による戦略的運用目標の設定およびレビュー。

• リスクおよびコンプライアンス責任者による、リスク管理ポリシー、リスク評価、詐欺リスク評価を含む、ERM (エンタープライズ リスク管理) の枠組みの年次レビュー。

14. 人的セキュリティ

アトラシアンは、顧客データへのアクセス権を持つアトラシアンの全従業員のセキュリティのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 犯罪歴調査を含む雇用前の身元調査。特に上級管理職や経理担当の場合は、適用される現地の法律で認められる範囲で徹底して実施します。
• 機密保持契約、雇用契約、さまざまな方針や行動規範の確認を含む、広範なオンボーディング プロセス。
• 年次で維持、レビューされるグローバルおよびローカルの雇用ポリシー。
• 自動プロビジョニング解除や従業員の退職時チェックリストなど、ロール変更や離職の手続き、アクセス権の再プロビジョニングに必要な管理者の承認。
• 特定のロールに特化したトレーニングやチーム内のセキュリティ チャンピオンの存在による、従業員向けの継続的なセキュリティおよびコンプライアンス トレーニング。
• セキュリティ教育を強化し、組織のセキュリティ維持における業績を認めるための年次セキュリティ認識月間の実施。

• アトラシアンのポリシー違反を管理するために確立された懲戒プロセス。

15. 個人データの処理と透明性

アトラシアンは、適切なデータ保護法に準拠した個人データ処理のコンプライアンスのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 必要な保護対策やプロセスを含めデータ保護法を見直し、それに適応するためのグローバルなプライバシー コンプライアンス プログラム。
• 個人データのカテゴリー、処理目的、処理原則を明確に定義した社内の個人データ処理ポリシーの維持。
• 処理原則、適用される法的根拠、保持、破棄などのトピックをカバーする、さまざまなカテゴリーの個人データの処理に関する詳細な基準。
• 業界標準のプラクティスと、仮名識別子を再マッピングできるシステムを管理する技術的かつ組織的な措置による、確立された仮名化データ セット作成方法。
• ユーザーと顧客向けの透明性の高いプライバシー ポリシー、および従業員向けの内部ガイドライン。
• (i) 処理活動、(ii) プライバシーの影響評価、(iii) 移転影響評価、(iv) 同意、(v) 顧客やベンダーとのデータ処理契約を含むがこれらに限定されない、包括的なコンプライアンス ドキュメント。
• 初期の設計段階からセキュリティとデータ保護に重点を置いた、開発ライフサイクルのすべての段階にわたるセキュリティを確保した開発プラクティス。

• 関連するデータ保護法に従い、個人データへのアクセス、修正、削除を行う個人の権利の尊重。

16. リスク評価

アトラシアンは、堅牢な情報セキュリティ管理システムのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 情報に基づいたリスク管理の意思決定を支援するために、さまざまなリスクを特定、評価、対処するための包括的なリスク管理プログラム。
• 関連するリスクを軽減するために、全社的な各種ポリシーを ISO 27001 やその他の関連基準に合わせるポリシー プログラム。
• (i) ペネトレーション テスト、(ii) バグ報奨金、(iii) プロアクティブな脅威軽減を含む、継続的なセキュリティ テスト。
• 脆弱性管理アクティビティを報告するためのプロセスとメトリック。

• 独立した外部および内部監査を含む、徹底的なセキュリティ評価。

17. システムとサービスの取得

アトラシアンは、システム開発、保守、変更管理のための以下を含む構造化されたセキュリティ中心の手法を実施しており、今後もこれを維持します。

• 適応性と効率性のための、アジャイルで安全なソフトウェア開発ライフサイクル、およびシステムとインフラストラクチャの変更の徹底的なレビューと文書化。
• システム構成の変更とデプロイのプロセスを自動化した、安全で標準化されたアプリのデプロイ。
• ピア レビュー済みのプル リクエストとマージ前の必須の自動テストを含む定義済みの開発プロセス。
• 指定した従業員間で分離した変更管理責任。
• 重大インシデントの発生時に迅速に対応する体制を整えるための「ブレーク グラス」手順を含めた緊急変更プロセス。
• アトラシアンのソース コードとデプロイ システムにおける堅牢なコンプライアンス設定 (Bitbucket Cloud など) による不正な改ざんの防止。
• すべての構成変更の明確な文書化と監視、およびピア レビューの実施によるコンプライアンス違反または改ざんの自動アラート。
• ベンダー ソフトウェアへの変更に対する厳格な管理。

• サードパーティまたはオープンソースのライブラリの定期的なスキャンと更新、およびコード ベースの継続的なスキャン。

18. システムと通信の保護

アトラシアンは、システムおよび通信の保護のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 信頼性が高く安全な暗号化技術を使用した、パブリック インターネットを含むネットワーク上で保存および送信される機密情報を保護する暗号化メカニズム。
• パブリック ネットワークでの TLS 1.2+ および PFS (Perfect Forward Secrecy) を使用した、保存中および転送中の顧客データの暗号化。
• 本番環境と非本番環境の間の接続を制限するゾーン制限と環境分離。
• (i) セキュリティ パッチのデプロイ、(ii) パスワード保護、(iii) 画面ロック、(iv) 資産管理ソフトウェアによるドライブの暗号化を含む、ワークステーション資産の継続的な管理。
• ゼロ トラスト モデル アーキテクチャの原則に従った、MDM プラットフォームに登録されている既知の準拠デバイスのみへのアクセス限定。
• セキュリティ層の増強のため、プラットフォームと非プラットフォームのホステッド デバイスの両方に対する企業エッジでのファイアウォールの維持。
• オペレーティング システムの強化、ネットワークのセグメンテーション、データ損失防止技術を含む、ネットワークとホストの防御。

• 顧客データを他の顧客データと論理的に分離して保持するための確立された対策。

19. システムと情報の完全性

アトラシアンは、特に以下のようなシステムと情報の完全性に関する制御と保護を含む公式に確立されたポリシーとプラクティスを実施しており、今後も維持します。

• 脆弱性を迅速に特定し、修復するための継続的な脆弱性スキャン。
• ストレージ メディアからのデータをサニタイズ後に復旧不可能にすることを合理的に保証する、適用法に従った厳格なデータ廃棄プロトコルの遵守。
• 非本番環境での本番データの使用を禁止し、データの整合性と分離を確保するための厳格なポリシー。
• 一元管理された読み取り専用のシステム ログ、セキュリティ インシデントの監視、セキュリティのベスト プラクティスに沿った保存ポリシー。
• ネットワークのセキュリティと信頼性を高めるためのシステムやアプリとのエンドポイントの互換性の管理。
• マルウェア対策ポリシーと検出ツールの定期的な更新による、マルウェアの脅威に対する保護を強化するための関連するインフラストラクチャとアトラシアン デバイスへのマルウェア対策戦略の展開。

• 一意の識別子とトークンベースのアクセス制御による、論理的に分離された、顧客データへの安全かつ制限されたアクセスの保証。

20. サプライ チェーンのリスク管理

アトラシアンは、以下を含むサプライ チェーンのリスク管理に関する確立された公式ポリシーとプラクティスを実施しており、今後も維持します。

• ベンダー関係を管理し、ライフサイクル全体でサプライヤーのセキュリティ、可用性、機密保持基準を調整するための公式の枠組み。
• すべてのサードパーティのリスク評価、デュー デリジェンス、契約管理、継続的な監視を含めた、強固な TPRM (サード パーティ リスク管理) 評価プロセス。
• 法務、調達、セキュリティ、リスクの各部門を含む専門チームによる、セキュリティとデータの機密性に関するリスク管理のための契約、SLA、およびセキュリティ対策のレビュー。
• ポリシーの更新時や関係の大幅な変更の際の改定を含む、リスク レベルに基づくオンボーディング前と定期的に実施するサプライヤーの機能的リスク評価。
• アトラシアンに提供されるサービスに関連する所有権とリスク レベルを詳述したすべてのサプライヤーのインベントリ。
• 監査報告書 (SOC 2 など) の年次レビュー、IT ガバナンス ポリシーの定期レビューとサプライ チェーンのセキュリティ評価による、統制が適切かつ効果的に準拠していることの確認。

• モバイル デバイスおよび私有デバイス ポリシーに基づくコンプライアンス監視と選択的制限に焦点を当てた、サードパーティ エンドポイント保護のための対策。