アトラシアンの共通統制フレームワーク
多くの企業同様、Atlassian も製品開発と運用環境に適用される国際的な統制基準を多数設けています。こうした個別の基準は重複する点が多く、内部環境への適用基準を一貫させるために、基準を見直すことにしました。こうした基準は主としてクラウド ホスティング プラットフォーム環境に適用されます。そのため、この分野でお客様とお客様のデータに対して適切な保護策を講じていることを示す必要が当然あるわけですが、すべての基準がすべての環境に適用されるわけではありません。たとえば、SOX (サーベンス・オクスリー) 法は財務報告用システムに主に適用されますが、クラウド サービスはせいぜい二番手にすぎません。以下、Atlassian が評価する基準と理由について見ていきましょう。
適用される国際基準
以下は、アトラシアンが社内の共通統制フレームワークを組み込んだ基準のリストです。
Standard | 提供元 |
ISO27001 | 国際標準化機構 |
ISO27002 | 国際標準化機構 |
ISO27018 | 国際標準化機構 |
SOC 2 | 米国公認会計士協会 (AICPA) |
NIST SP 800-53 Rev 4 | 国立標準技術研究所 |
FedRAMP | 米国連邦政府 |
CSA CCM | クラウドセキュリティアライアンス |
HIPAA | 米国連邦政府 |
SOX 404 (IT) | 米国連邦政府 |
PCI DSS | PCI Security Standards Council |
共通コントロールフレームワーク
上の表で示されるように、種類や性質の異なる一連の要件があり、その多くは同じ環境、システム、チームに適用されます。アトラシアンは、社内のチームがこれら基準の重複点と類似点を把握しやすくなるように、各統制要件を評価し、各基準が本質的に同じ分野を評価している重複箇所を特定しました。その結果、各基準を簡単にマッピングする共通の統制フレームワークを確立しました。
結論
アトラシアン共通統制フレームワークの策定は、アトラシアンのチームが「何度も評価して実行は一度だけ」という思考方法を身に付けることができた点で評価に値します。複数のチームに何度も依頼する代わりに、このフレームワークの効率性を利用して、統制を策定し適用する場所を定義することで、すべてのお客様のために当社組織の各部分が協力して信頼を実現する要件と方法について、会社全体が理解できるようになりました。