Close
ACSC ロゴ

ACSC - Cloud Computing Security for Cloud Service Providers (クラウド サービス プロバイダー向けのクラウド コンピューティング セキュリティ) - 2023 年ガイダンスのレビュー

免責事項

提供されているガイダンスは、ACSC (オーストラリア サイバー セキュリティ センター) によって規制対象とされている公共機関と企業組織のクラウド顧客が、Atlassian Cloud 製品とそれが提供するサービスについてのみ、このガイダンスをどのように検討しているかを説明することのみを目的としています。

このレポートは、アトラシアンが Cloud Computing Security for Cloud Service Providers (クラウド サービス プロバイダー向けのクラウド コンピューティング セキュリティ) にどのように準拠しているかに関して、アトラシアンがクラウド顧客に情報やガイダンスを提供することのみを目的としています。これと並行して、CSP と顧客の両方に推奨されるさまざまな責任について説明した専用の責任共有ホワイトペーパーがあります。責任共有モデルでは、Atlassian Cloud 製品を使用するお客様の説明責任とリスクがなくなるわけではありませんが、システム コンポーネントや施設の物理的制御を管理・制御する負担を軽減するのに役立ちます。また、セキュリティとコンプライアンス コストの一部をアトラシアンに移し、お客様から切り離します。

お客様のデータ保護への取り組みについての詳細は、アトラシアンのセキュリティ プラクティス ページをご覧ください。

リスク

参照

緩和策

アトラシアンの対応

全般的にすべてのタイプのクラウド サービスに関連する最も効果的なリスク軽減策

テナントのデータの機密性、完全性、可用性を維持できないという包括的な失敗

参照

1 - 全般

緩和策

ISM [1] に対して、テナントのデータを処理するために必要な適切な分類レベルで、クラウド サービスと基盤となるインフラストラクチャを評価します (この文書では明示的に軽減策を説明しています)。

アトラシアンの対応

アトラシアンでは、データ プライバシー フレームワーク原則の遵守、これらの原則への非遵守による影響を受ける個人の救済策、および原則に従わなかった場合の影響を保証するための強固なメカニズムを用意しています。このためにアトラシアンでは、定期的かつ臨時の自己評価や、必要な場合には外部監査やコンプライアンス レビューを行っています。特に、年に一度、サードパーティ プロバイダーの TrustArc と協力し、アトラシアンのプライバシー慣行がデータ プライバシー フレームワークの原則を遵守していることを証明しています。TrustArc は当社の自己認証をサポートし、お客様からのプライバシー関連の苦情に対して独立した紛争調停サービスも提供しています。また、アトラシアンでは、自己評価、外部監査/コンプライアンス レビュー、および随時実施する可能性のある改善計画とともに、監査証跡として使用できる Jira チケットのコンプライアンスを追跡および監視しています。データ処理の慣行を監視し、データ プライバシー侵害プログラムを維持して、データ プライバシー インシデント/侵害を追跡しています。

 

参照

2 - 全般

緩和策

セキュリティ ガバナンスを実施しています。これには、強固な変更管理を含むセキュリティ関連アクティビティの管理および調整を行う上級管理職が関与しています。また、技術的に熟練したスタッフを特定のセキュリティ担当者に配置しています。

アトラシアンの対応

アトラシアンの CISO である Bala Sathiamurthy は、サンフランシスコのオフィスを拠点としています。当社のセキュリティ チームには、製品セキュリティ、セキュリティ インテリジェンス、セキュリティ アーキテクチャ、信頼、リスク、コンプライアンスの分野に 230 人を超えるチーム メンバーがいます。また、シドニー、アムステルダム、オースティン、ベンガルール、マウンテンビュー、サンフランシスコ、ニューヨークのオフィスにわたる開発および SRE チームと多数のリモート チーム メンバーを擁しています。

 

参照

3 - 全般

緩和策

サイバー セキュリティ インシデント対応計画を実施して毎年テストし、緊急連絡先情報、通常はアクセスできないフォレンジック エビデンスへのアクセス機能、およびインシデントの通知をテナントに提供しています。

アトラシアンの対応

アトラシアンでは、以下の主要原則を含むセキュリティ インシデント対応ポリシーと計画を文書化しています。

  • セキュリティ インシデントを予想して、インシデント対応への準備をします。
  • インシデントの拡大を防いで完全に除去し、インシデントから回復させます。
  • セキュリティ インシデントが発生した際に確実に検知して分析できるように、アトラシアンの人材、プロセス、テクノロジーに投資します。
  • セキュリティ インシデント発生時の個人/顧客情報の保護を最優先します。
  • セキュリティ インシデント対応プロセスを定期的に実施します。
  • セキュリティ インシデント管理機能から学び、改善します。
  • 重要なセキュリティ インシデントをアトラシアン リーダーシップ グループに伝達します。
このポリシーに基づいて、アトラシアンはセキュリティ インシデント対応計画を維持しています。セキュリティ インシデント対応プロセスの詳細については、「セキュリティ インシデント管理プロセス」をご覧ください。

テナントのデータが悪意のあるサードパーティによって転送中に侵害される

参照

4 - 全般

緩和策

テナントと CSP の間の転送中データを保護するために、ASD 承認暗号管理をサポートおよび使用しています (例: 承認されたアルゴリズム、キーの長さ、およびキー管理を備えたアプリケーション レイヤー TLS または IPsec VPN)。

アトラシアンの対応

アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Bitbucket Cloud、Confluence Cloud、Statuspage、Opsgenie、Trello の顧客データと添付資料を保管するサーバーのデータ ドライブは、業界標準のフル ディスク AES-256 を使用して保存データを暗号化しています。

保存データの暗号化では、具体的には Jira 課題データ (詳細、コメント、添付ファイル) または Confluence ページ データ (ページ コンテンツ、コメント、添付ファイル) などのディスクに保存されている顧客データを暗号化します。保存データの暗号化により、データは不正なアクセスから保護され、暗号化キーへの監査付きアクセス権を持つ許可されたロールとサービスのみがデータにアクセスできるようになります。

アトラシアンでは、キー管理に AWS KMS (Key Management Service) を利用しています。暗号化、復号化、キー管理のプロセスが AWS の既存の内部検証プロセスの一部として、定期的に検査されて検証されます。各キーには所有者が割り当てられ、所有者は、適切なレベルのセキュリティ制御をキーに設定する役割を果たします。

参照

5 - 全般

緩和策

パブリック インターネット インフラストラクチャなどの安全でない通信チャネルを介した CSP のデータ センター間の転送で、ASD 承認暗号管理を使用して、転送中のデータを保護しています

アトラシアンの対応

アトラシアンには、暗号技術と暗号化ポリシー、および実装ガイドラインがあります。このポリシーは、PMP (ポリシー管理プログラム) に従って毎年見直され、更新されています。詳細については、「当社の Atlassian Trust Management System (ATMS)」をご覧ください。

参照

6 - 全般

緩和策

オンボーディングまたはオフボーディングの一環としてデータを転送する際の、テナントと CSP の間で郵便/クーリエ便で転送されるストレージ メディアの保存データを保護するために、ASD 承認暗号管理をサポートおよび使用しています

アトラシアンの対応

アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Bitbucket Cloud、Confluence Cloud、Statuspage、Opsgenie、Trello の顧客データと添付資料を保管するサーバーのデータ ドライブは、業界標準のフル ディスク AES-256 を使用して保存データを暗号化しています。

保存データの暗号化では、具体的には Jira 課題データ (詳細、コメント、添付ファイル) または Confluence ページ データ (ページ コンテンツ、コメント、添付ファイル) などのディスクに保存されている顧客データを暗号化します。保存データの暗号化により、データは不正なアクセスから保護され、暗号化キーへの監査付きアクセス権を持つ許可されたロールとサービスのみがデータにアクセスできるようになります。

アトラシアンでは、キー管理に AWS KMS (Key Management Service) を利用しています。暗号化、復号化、キー管理のプロセスが AWS の既存の内部検証プロセスの一部として、定期的に検査されて検証されます。各キーには所有者が割り当てられ、所有者は、適切なレベルのセキュリティ制御をキーに設定する役割を果たします。

テナントのクラウド サービス アカウントの認証情報が悪意のあるサードパーティによって侵害される [2] [3] [4] [5]

参照

7 - 全般

緩和策

テナントが CSP の Web サイトのコントロール パネルと API を介してクラウド サービスを使用および管理できるように、ID とアクセス管理 (多要素認証やさまざまな権限を持つアカウント ロールなど) を提供しています [6]。

アトラシアンの対応

Confluence、Jira については、個々のアカウントで多要素認証が利用可能です。多要素認証を有効にする方法の詳細については、「2 段階認証の強制」を参照してください。

BBC は 2022 年 2 月時点でも 2FA をサポートしています。一般的に Atlassian Access と統合されており、Access を通じて提供される追加機能をサポートしています。Atlassian Access を使えば、強制的な多要素認証を組織レベルで設定できます。詳細については、「2 段階認証の強制」を参照してください。

特定の製品について: Bitbucket は MFA ベースの SSO オプションの使用をサポートしています。詳細については、「2 段階認証の強制 | Bitbucket Cloud」を参照してください。

Halp は Slack OAuth と MS Teams 経由で SSO を使用します。Slack と MS Teams には複数の多要素認証オプションがあります。詳細については、「SAML シングル サインオン」と「Azure AD Connect: シームレス シングル サインオン」を参照してください。
Opsgenie は MFA ベースの SSO オプションの使用をサポートしています。詳細については、「Opsgenie の SSO を設定する」を参照してください。
Statuspage は MFA ベースの SSO オプションの使用をサポートしています。
Trello は多要素認証をサポートしています。多要素認証を有効にする方法の詳細については、「Trello アカウントの 2 段階認証を有効化」を参照してください。Jira Align は MFA ベースの SSO オプションの使用をサポートしています。

参照

8 - 全般

緩和策

テナントが CSP の Web サイトのコントロール パネルと API を介してクラウド サービスを使用および管理する際の、転送中の認証情報と管理アクティビティを保護するために、ASD 承認暗号管理をサポートおよび使用しています

アトラシアンの対応

アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Bitbucket Cloud、Confluence Cloud、Statuspage、Opsgenie、Trello の顧客データと添付資料を保管するサーバーのデータ ドライブは、業界標準のフル ディスク AES-256 を使用して保存データを暗号化しています。

保存データの暗号化では、具体的には Jira 課題データ (詳細、コメント、添付ファイル) または Confluence ページ データ (ページ コンテンツ、コメント、添付ファイル) などのディスクに保存されている顧客データを暗号化します。保存データの暗号化により、データは不正なアクセスから保護され、暗号化キーへの監査付きアクセス権を持つ許可されたロールとサービスのみがデータにアクセスできるようになります。

アトラシアンでは、キー管理に AWS KMS (Key Management Service) を利用しています。暗号化、復号化、キー管理のプロセスが AWS の既存の内部検証プロセスの一部として、定期的に検査されて検証されます。各キーには所有者が割り当てられ、所有者は、適切なレベルのセキュリティ制御をキーに設定する役割を果たします。

参照

9 - 全般

緩和策

時間同期された詳細なログをテナントがダウンロードし、リアルタイム アラートを受信できるようにしています。これらは、クラウド サービスへのアクセス、特にクラウド サービスの管理に使用されたテナントのクラウド サービス アカウントに対して生成されるものです。

アトラシアンの対応

ログが読み取り専用となっている各システムから、重要なシステム ログが中央のログ記録用プラットフォームに転送されます。アトラシアン セキュリティ チームでは、セキュリティ分析プラットフォーム (Splunk) 上でアラートを作成し、セキュリティ侵害の兆候を監視します。SRE チームでは、このプラットフォームを使用して、可用性またはパフォーマンスの課題を監視します。ログは、ホット バックアップで 30 日間、コールド バックアップで 365 日間保持されます。

重要なログの詳細: 監査ログから組織アクティビティを追跡する

テナントのデータが悪意のある CSP スタッフまたは悪意のあるサードパーティによって侵害される

参照

10 - 全般

緩和策

時間同期された詳細なログをテナントがダウンロードし、リアルタイム アラートを受信できるようにしています。これらは、テナントが使用しているクラウド サービスによって生成されるものです (例: オペレーティング システム、Web サーバー、およびアプリケーションのログ)。

アトラシアンの対応

アトラシアンでは Casper (https://www.jamf.com) と OSQuery (https://osquery.io/) を使用して、ログに記録される内容とログが保持される期間を管理します。ログは論理的に分離されたシステムに保存され、ログへの書き込みアクセスはセキュリティ チームのメンバーに制限されます。ログから特定のアクションやイベントが識別されると、セキュリティ チームまたはサービス デスクにアラートが送信されます。当社の一元化されたロギング サービス (Splunk) は自動分析のためにセキュリティ分析インフラストラクチャと統合されており、アラートが作成されて潜在的な問題が特定されます。

当社の内外の脆弱性スキャナーには、予期しないポートが開いている場合、あるいは他の構成変更 (リスニング サーバーの TLS プロファイルなど) に関する警告が含まれています。ログから特定のアクションやイベントが識別されると、セキュリティ チームまたはサービス デスクにアラートが送信されます。

参照

11 - 全般

緩和策

トラブルシューティング、リモート管理、およびカスタマー サポートのために、CSP スタッフによってテナント データが保存、バックアップ、処理、アクセスされている (または今後数か月以内にそうなる) 国と法域を開示しています

アトラシアンの対応

アトラシアンは、米国東部、米国西部、アイルランド、フランクフルト、シンガポール、シドニーの各リージョンで AWS (Amazon Web Services) を利用しています (Confluence および Jira)。詳細については、「クラウド ホスティング インフラストラクチャ」を参照してください。

特定の製品について: Trello は、AWS 米国東部 (オハイオ州) で利用可能です。Jira Align: 顧客データの物理的な場所は、サポート チケット リクエストで要求できます。「Jira Align サポート」を参照してください。

Statuspage は、AWS 米国西部 (オレゴン州、カリフォルニア州)、米国東部 (オハイオ州) のリージョンで利用可能です。Opsgenie は米国と欧州の両方に AWS アカウントがあります。お客様は、サインアップ時に AWS 米国 (オレゴン州、カリフォルニア州) または欧州 (フランクフルト) にオプトインする必要があります。

Halp は、US-East-2 と US-West-2 のリージョンの AWS でホストされています。Bitbucket リポジトリと主なアプリケーション機能は、米国東部と米国西部の AWS でホストされています。

参照

12 - 全般

緩和策

システムやデータへのアクセス レベルに応じて、CSP スタッフの身元確認を行っています。機密性の高いデータにアクセスするスタッフのセキュリティ クリアランスを維持しています [7]。

アトラシアンの対応

世界各国で、アトラシアンの新入社員には、身元確認を行うことが求められます。買収によって新たに雇用された社員については、買収後に身元確認が行われます。犯罪歴の確認は、すべての新入社員と独立した請負業者に対して一律に実施されます。役割や役職に必要であれば、学歴検証、職歴検証、与信確認が追加されます。上級管理職や経理職については特に身元確認を徹底しています。

参照

13 - 全般

緩和策

テナント データを保存したり、テナント データにアクセスできる、物理的に安全なデータ センターやオフィスを使用しています [8]。すべてのスタッフと訪問者の身元を確認して記録します。訪問者が許可なくデータにアクセスしないように、訪問者をエスコートします。

アトラシアンの対応

アトラシアンのオフィスは、物理的な出入り口の監視などを含め、社内の物理および環境面でのセキュリティ ポリシーに従っています。当社パートナーのデータ センターは、複数のコンプライアンス認証を取得しています。これらの認証は、物理的なセキュリティ、システムの可用性、ネットワークと IP バックボーン アクセス、顧客のプロビジョニング、問題管理を目的としています。データ センターへのアクセスは権限を付与された人員に限られ、生体認証手段によって検証されます。物理的なセキュリティ対策には、常駐の警備員、有線のビデオ監視、侵入者用の装置、その他の侵入保護措置が含まれます。AWS では、データ センターの保護のために複数の認定を取得しています。AWS の物理的な保護に関する保証情報については、http://aws.amazon.com/compliance/ をご覧ください。

参照

14 - 全般

緩和策

CSP スタッフの職務に基づいて、システムやデータへの特権アクセスを制限しています [9]。特権アクセスを必要とする CSP スタッフに対して、3 か月ごとの再承認を要求しています。CSP スタッフの雇用が終了したらアクセス権を取り消します。

アトラシアンの対応

アトラシアンは、このアクセスを職務や責任上、必要とする人員のみに限定しています。第 1 層のシステムはすべて、アトラシアンで一元化されたシングル サインオン (SSO) とディレクトリ ソリューションで管理されています。ユーザーには、当社の人事管理システムからのワークフローを介して、これらのプロファイルに基づく適切なアクセス権が付与されます。アトラシアンは MFA を利用して第 1 層システムのすべてにアクセスしています。ハイパーバイザー管理コンソールと AWS API への 2 要素認証と、ハイパーバイザー管理機能へのすべてのアクセスに関する毎日の監査レポートを有効にしています。ハイパーバイザー管理コンソールと AWS API へのアクセス・リストは四半期ごとに見直されます。また、人事システムと ID ストアの間で 8 時間ごとの同期を維持しています。

参照

15 - 全般

緩和策

隔離された安全なログ サーバーに記録されている CSP スタッフの行動ログを迅速に分析しています。他の権限や職務を持たない CSP スタッフにログ分析を求めることで、職務の分離を実施しています。

アトラシアンの対応

アトラシアンの主力製品には次の職務分掌管理の機能がありますが、その他の機能もあります。

  • アクセス制御レビュー
  • 人事アプリケーション管理対象セキュリティ・グループ
  • 変更承認/ピア・レビュー/実装(PRGB)
  • ワークフロー制御
SOC2 と ISO 27001 の認証は、「包括的なデータ保護」からダウンロードできます。

参照

16 - 全般

緩和策

ソフトウェア、ハードウェア、またはサービスを入手する前に、サプライヤーのデュー デリジェンス レビューを実施して、CSP のセキュリティ リスク プロファイルが増大する可能性を評価しています。

アトラシアンの対応

アトラシアンの新規ベンダーは、契約にある当社のプライバシーおよびセキュリティの補遺とポリシーに同意する必要があります。アトラシアンの法務部門と調達部門は、契約、SLA、およびベンダー内部ポリシーを確認して、ベンダーがセキュリティ、可用性、機密保持の要件を満たしているかどうかを判断します。アトラシアンでは、「データの復処理者のリスト」という公開ページを保持しています。

参照

17 - 全般

緩和策

ASD 承認暗号管理を使用して、機密性の高い保存データを保護しています。ストレージ メディアのデータを消去してから、残りのバックアップのデータについて秘密保持契約を結んで、修理、廃棄、テナントのオフボーディングを実施します。

アトラシアンの対応

このプロセスはワークプレース テクノロジーで処理され、機器は適切にデータを消去され、消磁されます。アトラシアンには、クラウド製品やサービスをサポートする物理メディアはありません。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Confluence Cloud、Bitbucket Cloud、Statuspage、Opsgenie、Trello の顧客データと添付資料を保管するサーバーのデータ ドライブは、業界標準のフルディスク AES-256 を使用して保存データを暗号化しています。

テナントントのデータが別の悪意のある/侵害されたテナントによって侵害される [10] [11] [12] [13] [14] [15] [16] [17] [18]

参照

18 - 全般

緩和策

マルチテナント メカニズムを実装して、テナントのデータに他のテナントがアクセスするのを防いでいます。ネットワーク トラフィック、ストレージ、メモリ、コンピュータ処理を分離しています。再利用する前にストレージ メディアのデータを消去しています

アトラシアンの対応

アトラシアンはマルチテナント型の SaaS アプリケーションです。マルチテナントは Atlassian Cloud の重要な機能であり、それぞれの顧客テナントのアプリケーション データを分離しながら、複数のお客様が Jira または Confluence アプリケーション レイヤーの 1 つのインスタンスを共有できるようにします。Atlassian Cloud では TCS (テナント コンテキスト サービス) によってこれを実現しています。すべてのユーザー ID はそれぞれ 1 つのテナントに関連付けられ、それが Atlassian Cloud アプリケーションへのアクセスに使用されます。詳細については「セキュリティ プラクティス」をご覧ください。
アトラシアンでは、本番環境と非本番 (開発) 環境を論理的かつ物理的に分離しており、このような環境の分離にさまざまな手法を使用しています。
ステージング環境は論理的に分離されていますが、物理的には分離されておらず、本番環境グレードの変更管理とアクセスのプロセスで管理されています。

破損、削除 [19]、または CSP によるアカウント/サービス終了により、テナントのデータを利用できない

参照

19 - 全般

緩和策

CSP ロックインを回避する形式で、テナントが最新のバックアップを実行できるようにします。アカウントまたはクラウド サービスが終了した場合は、すぐにテナントに通知し、少なくとも 1 か月間は、データをダウンロードできるようにします。

アトラシアンの対応

アトラシアンは、さまざまな種類のデータをどのくらいの期間、保持しなければならないかを示すデータ保持および破壊基準に従っています。データは、アトラシアンのデータ セキュリティおよび情報のライフサイクル ポリシーに従って分類され、それに基づいてコントロールが実装されます。顧客データについては、アトラシアンとの契約が終了すると、顧客チームに属するデータは本稼働中のデータベースから削除され、アトラシアンに直接アップロードされた添付ファイルはすべて 14 日以内に削除されます。チームのデータは暗号化され、バックアップに残りますが、60 日間のバックアップ保持期間を過ぎるとアトラシアンのデータ保持ポリシーに従って破棄されます。データ削除が要求されてから 60 日以内にデータベース復元が必要になった場合、運用チームは、本稼働中のシステムが完全に復元された後、可能な限り速やかにデータを再削除します。詳細については、「ストレージを追跡し、製品間でデータを移動する」をご覧ください。

CSP の破産やその他の法的措置により、テナントのデータを利用できないか、または侵害される

参照

20 - 全般

緩和策

契約上、テナントがデータの法的所有権を保持することを保証します。

アトラシアンの対応

アトラシアンの顧客は、当社のサービス利用が適用法および規制に準拠していることを確認する責任を負います。当社の特定の法的合意と方針の詳細については、当社の法的リソースのページ https://www.atlassian.com/legal をご覧ください。

CSP のネットワーク接続が不十分なため、クラウド サービスを利用できない

参照

21 - 全般

緩和策

テナントが要求する可用性レベルを満たすように、テナントとクラウド サービスの間の十分に高い帯域幅、低い遅延、信頼性の高いネットワーク接続をサポートします

アトラシアンの対応

アトラシアンは Cloud インスタンスのパフォーマンスと可用性を監視していますが、現時点では正式なアプリの可用性 SLA は提供していません。当社のサポート チームは初回応答時間の SLA を提供しています。公式のサポート解決 SLA はありませんが、内部目標として、割り当てられたすべてのケースを 48 時間以内に解決するとしています。アトラシアンでは、最新の Cloud システム ステータスの統計を https://status.atlassian.com に示しています。

Premium または Enterprise サービスの使用を選択した場合は、当然、SLA が保証されます。

CSP エラー、計画的な停止、ハードウェアの故障、または自然災害により、クラウド サービスを利用できない

参照

22 - 全般

緩和策

テナントが要求する可用性レベルを満たすよう設計します (例: 単一障害点の最小化、クラスタリングと負荷分散、データ レプリケーション、自動フェイルオーバー、リアルタイムの可用性監視)。

アトラシアンの対応

Atlassian Cloud サービスでは、ビジネス継続性計画とディザスタ リカバリ計画を少なくとも四半期ごとにテストしています。複数のリージョンの可用性がリアルタイムで監視されています。自動リージョン フェイルオーバー テストは、本番前環境で毎週実施されています。構成データの自動復元テストは、本番環境で毎日実施されています。

アトラシアンのすべてのサービスは、四半期ごとに本番前環境でアベイラビリティ ゾーンの回復力テストを実施しています。ビジネス継続性プログラムの詳細については、https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e をご覧ください。

当社のディザスタ リカバリ計画は、コンプライアンス プログラムの一環として外部監査人によってテストされ、検証されています。詳細については、https://www.atlassian.com/trust/compliance/resources をご覧ください。

参照

23 - 全般

緩和策

テナントが要求する可用性レベルを満たすように、ディザスタ リカバリ計画とビジネス継続性計画を策定し、毎年テストします。たとえば、CSP のスタッフやインフラストラクチャが永続的に損なわれるようなインシデントに対して制定されます。

アトラシアンの対応

ビジネス継続性とディザスタ リカバリに関するポリシー、およびその計画が策定されており、ビジネス継続性/ディザスタ リカバリ運営委員会によって毎年レビューされています。すべてのミッション クリティカルなシステム、プロセス、またはサービスの所有者は、災害時には中断の許容度に従って、適切なビジネス継続性やディザスタ リカバリを確実に実行します。BCDR 計画は四半期ごとに必ずテストし、課題を特定して対処します。詳細については、「セキュリティ プラクティス」と「弾力性に対するアトラシアンのアプローチ」を参照してください。

需要の本格的な急増または帯域幅/CPU のサービス妨害により、クラウド サービスを利用できない

参照

24 - 全般

緩和策

テナントが要求する可用性レベルを満たすように、サービス妨害軽減策を実施します (例: トラフィックの調整とフィルターを備えた、冗長な高帯域幅の外部および内部ネットワーク接続)。

アトラシアンの対応

アトラシアン セキュリティ エンジニアリングは、オフィス環境に実装されている IPS テクノロジーを使用しています。ネットワーク脅威対策は、DDoS 保護や一部の Web アプリ ファイアウォール機能を含め、AWS によって実施されています。

特定の製品について、Jira Align では、WAF、DDOS、DNS-SEC に Cloudflare が使用されています。アトラシアンでは、Alert Logic IDS、ログ分析、CloudTrail を使用しています。Atlassian Cloud スタックで共有ネットワーク コンポーネントをスキャンする場合は、Nexpose を使用しています。カスタムの Splunk ログ分析を使用しています。

参照

25 - 全般

緩和策

テナントが要求する可用性レベルを満たすように、インフラストラクチャ キャパシティと応答性の高い自動スケーリングを提供します

アトラシアンの対応

アトラシアンでは、キャパシティについては 6 か月から 12 か月前に計画し、高度な戦略的計画については 36 か月後に通知されます。

SLA/SLO: アトラシアン システムは、その運用特性の目標について次のように合意しています。
(1) すべてのシステムには、そのシステムのコア機能に関連する一連の SLO が存在します。
(2) これらの SLO は、四半期ごと (またはより高い頻度で) 定期的に見直されます。
(3) アトラシアンの一部の顧客には、アトラシアンが提供するサービスの SLA が提供されます。これらの SLA には、内部 SLO による裏付けが必要です。
(4) 1 つまたは複数の SLO を達成できなかったチームは、その他の作業よりも先に、メトリックを回復する取り組みを優先する必要があります。

需要の本格的な急増または帯域幅/CPU のサービス妨害による財務上の影響

参照

26 - 全般

緩和策

契約上の支出制限、リアルタイムのアラート、CSP のインフラストラクチャ キャパシティの使用に関する設定可能な制限により、テナントが需要の本格的な急増やサービス妨害のコストを管理できるようにします

アトラシアンの対応

当社の SaaS サービスでは、使用量に応じた顧客への請求は行いません。現在、キャパシティやユーザー レポートはテナントと共有されていません。

悪意のあるテナントまたは悪意のあるサードパーティにより、CSP のインフラストラクチャが侵害される

参照

27 - 全般

緩和策

カスタマー サポートを提供し、クラウド サービスとインフラストラクチャを管理するには、企業が承認した安全なコンピュータ、ジャンプ サーバー、専用アカウント、強力なパスフレーズ、多要素認証を使用します

アトラシアンの対応

従業員は、可能な場合には 2FA を必須化し、ランダムで安全なパスワードでパスワード マネージャーを使用する必要があります。権限を与えられた従業員は、独自の強力なパスワードと TOTP ベースの 2FA を使用して VPN への認証を行い、パスフレーズで保護された個人用 RSA 証明書を使用して、ssh ターミナル接続でのみ本番環境にアクセスします。SSO、SSH、2FA、VPN すべてが必要です。

参照

28 - 全般

緩和策

CSP のデータ センターと CSP 管理者/カスタマー サポート スタッフの間の安全でない通信チャネルを介した送信では、ASD が承認した暗号制御を使用して、認証情報や管理アクティビティを保護します

アトラシアンの対応

アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Bitbucket Cloud、Confluence Cloud、Statuspage、Opsgenie、Trello の顧客データと添付資料を保管するサーバーのデータ ドライブは、業界標準のフル ディスク AES-256 を使用して保存データを暗号化しています。

保存データの暗号化では、具体的には Jira 課題データ (詳細、コメント、添付ファイル) または Confluence ページ データ (ページ コンテンツ、コメント、添付ファイル) などのディスクに保存されている顧客データを暗号化します。保存データの暗号化により、データは不正なアクセスから保護され、暗号化キーへの監査付きアクセス権を持つ許可されたロールとサービスのみがデータにアクセスできるようになります。

アトラシアンでは、キー管理に AWS KMS (Key Management Service) を利用しています。暗号化、復号化、キー管理のプロセスが AWS の既存の内部検証プロセスの一部として、定期的に検査されて検証されます。各キーには所有者が割り当てられ、所有者は、適切なレベルのセキュリティ制御がキーに設定されていることを確認します。

参照

29 - 全般

緩和策

インターネット、テナントで使用される CSP インフラストラクチャ、CSP でクラウド サービスとインフラストラクチャを管理するために使用するネットワーク、および CSP の企業 LAN の間で、ネットワークのセグメンテーションと分離 [20] を実装します

アトラシアンの対応

顧客データが、AWS の安全なサーバー内に保存されている本番環境の外部にレプリケートされることはありません。厳格なファイアウォール ルールが設けられているため、本番環境へのアクセスはアトラシアンの VPN ネットワークと許可されたシステムに制限されています。VPN には、多要素認証が必要です。アトラシアンの主力製品には次の職務分掌管理の機能がありますが、その他の機能もあります。

  • アクセス制御レビュー
  • 人事アプリケーション管理対象セキュリティ・グループ
  • 変更承認/ピア・レビュー/実装(PRGB)
  • ワークフロー制御
SOC2 と ISO 27001 の認証は、「包括的なデータ保護」からダウンロードできます。

参照

30 - 全般

緩和策

CSP [21] [22] [23] が開発したソフトウェアの安全なプログラミング プラクティスを利用します

アトラシアンの対応

アトラシアンは開発ライフサイクルのすべてのフェーズで、安全な開発を実践しています。詳細については、「アトラシアンにおけるソフトウェア開発時のセキュリティ」をご覧ください。

設計フェーズの実践には脅威モデリング、設計レビュー、セキュリティ標準の定期的にアップデートされるライブラリがあり、セキュリティ要件が確実に考慮されます。

開発中、最初のセキュリティ レビューとしては、必須のピア レビューがあります。これは自動での静的分析チェック (SAST) と手動でのセキュリティ テスト (どちらもリスク評価プロセスで規定されている社内チームとサードパーティの専門家によるもの) に支えられています。開発はアプリのセキュリティ トレーニング プログラム、およびセキュリティ チームが保持しているセキュリティのナレッジ ベースにも支えられています。

次に、正式な運用準備と変更管理のプロセスにより、承認された変更のみが本番環境にデプロイされます。デプロイ後は、定期的な自動脆弱性スキャンと業界をリードするバグ報奨金プログラム (https://bugcrowd.com/atlassian) を利用して、当社アプリを継続的に保証します。

参照

31 - 全般

緩和策

クラウド サービスと基盤となるインフラストラクチャの安全な設定、継続的な脆弱性管理、迅速なパッチ適用、毎年のサードパーティによるセキュリティ レビュー、ペネトレーション テストを実施します

アトラシアンの対応

外部向けアプリについては、サードパーティのコンサルタント会社を採用してペネトレーション テストを毎年実施しています。また、このようなテストの補足として、社内のセキュリティ テスト チームが小規模で継続的なセキュリティ テストも実施しています。これらのペネトレーション テストの評価レポート、および当社のテスト プロセスの詳細については、「社外セキュリティ テストに対するアプローチ」をご覧ください。

また、アトラシアンは BugCrowd と協力し、バグ報奨金プログラムに取り組んでおり、公開されている製品とサービスの脆弱性評価を継続的に実施しています。このプログラムについては、https://bugcrowd.com/atlassian をご覧ください。バグ報奨金プログラムの継続的なペネトレーション テストの結果については、「社外セキュリティ テストに対するアプローチ」で公開しています。

検出されたすべての脆弱性は、各セキュリティ課題の重大度レベルに基づいて計算される SLO (サービスレベル目標) を定義するセキュリティ バグ修正ポリシーの対象となります。この解決期間とポリシーの詳細については、「セキュリティ バグ修正ポリシー」をご覧ください。脆弱性管理プログラムの詳細については、「アトラシアンでの脆弱性管理」をご覧ください。

開発プラクティスにセキュリティを組み込む方法の詳細については、「アトラシアンにおけるソフトウェア開発時のセキュリティ」をご覧ください。

参照

32 - 全般

緩和策

すべての CSP スタッフをトレーニングします (特に管理者)。これは、テナント データの保護、クラウド サービス可用性の維持、セキュリティ インシデントの積極的な特定 (例: プロンプト ログ分析を使用) を目的として、雇用開始時と年に 1 回行います。

アトラシアンの対応

アトラシアンでは、オンボーディング トレーニング (「Rocketfuel」) の一環として新入社員向けに、また全スタッフに対して継続的な情報セキュリティ トレーニングを提供しています。採用候補者や契約社員は、会社での業務を開始する前に秘密保持契約を結ぶ必要があります。テクノロジーの変化やその他の大きな変化が発生した場合は、イントラネットを通じて既存の従業員にコースが提供され、通知されます。

この一般的な情報セキュリティ トレーニングに加えて、開発者向けとして組み込みセキュリティ エンジニア プログラムが支援するセキュア コーディングに的を絞ったトレーニングを提供しています。また、アトラシアンでは、マルウェア、フィッシング、その他のセキュリティ問題に関連するトピック別トレーニングも継続的に提供しています。アトラシアンのスタッフと請負業者は、本人確認と労働者の適格性確認の対象となります。

特に IaaS に関連する最も効果的なリスク軽減策

悪意のあるサードパーティにより、テナントの VM (仮想マシン) が侵害される [24]

参照

1 - IaaS

緩和策

テナントがネットワークのセグメンテーションと分離 [25] を実装できるように、ネットワーク アクセス制御を提供します。これには、IP アドレス以外による VM のリモート管理を禁止するネットワーク フィルター機能が含まれます。

アトラシアンの対応

これは該当しません。アトラシアンは SaaS プロバイダーです。

参照

2 - IaaS

緩和策

安全に設定されパッチが適用された VM テンプレート イメージをテナントに提供します。新しくプロビジョニングされた VM に弱い管理パスフレーズを割り当てないようにします。

アトラシアンの対応

これは該当しません。アトラシアンは SaaS プロバイダーです。

特に PaaS に関連する最も効果的なリスク軽減策

悪意のあるサードパーティにより、テナントのデータが侵害される

参照

1 - PaaS

緩和策

オペレーティング システム、Web サーバー、プラットフォーム ソフトウェアを強化し、安全に設定します。必要なポート/プロトコルのみにインバウンドとアウトバウンドのネットワーク接続を制限しますパッチ適用とログ分析を迅速に実行します。

アトラシアンの対応

これは該当しません。アトラシアンは SaaS プロバイダーです。

特に SaaS に関連する最も効果的なリスク軽減策

悪意のあるサードパーティにより、テナントのデータが侵害される

参照

1 - SaaS

緩和策

クラウド サービス固有の制御を実装します。たとえば、サービスとして配信されるメールの場合、メールとメールの添付ファイルの自動動的分析を使用したコンテンツ フィルターなどの機能を提供します。

アトラシアンの対応

これは、当社の製品内で提供しています。アトラシアンは、Proofpoint (https://www.proofpoint.com/au/products/email-protection) を利用して、添付ファイルをスキャンし、フィッシング詐欺を防ぐために URL を書き換えます。アトラシアンは、Google G-Suite に組み込まれているメール保護 (Cloud セキュリティとデータ保護サービス) も利用しています。

参照

2 - SaaS

緩和策

一般的な管理を実施する [26] 例: 必要なポート/プロトコルのみにインバウンドおよびアウトバウンドのネットワーク接続を制限し、ウイルス対策ソフトウェアを毎日更新し、侵入防止システムを実施して迅速なログ分析を行います。

アトラシアンの対応

適用外。アトラシアンは、本番環境用 Server にはマルウェア対策は行っていません。CI/CD パイプライン以外では書き込みができないためです。Jira Cloud または Confluence Cloud をホストするアトラシアンのアプリケーション サービスは、アプリケーション コードのみをホストします。Jira および Confluence Cloud のサーバーは、アトラシアンのデプロイ パイプライン、CI/CD パイプライン以外では書き込みはできません。

お客様が作成したコンテンツはすべてデータベース サーバー/RDS にあり、添付ファイルやその他のアイテムは共通の Media Services サービスに保存されます。基本的に、これは S3 バケットのフロントエンドです。アトラシアンの不正使用防止チームでは、マルウェアまたはその他の嫌悪感を抱くような内容として識別される、Media Services の添付ファイルを削除できますが、積極的にマルウェアをスキャンしません。当社は、独自のエンドポイント検出機能、およびお客様のマルウェア検出を利用しています。

アトラシアンはすべての Windows Server で Crowdstrike Falcon を使用しています。また、Crowdstrike の署名を毎日更新しています。これには、ベンダーの Crowdstrike が認識しているマルウェアがすべて含まれます。