ACSC - Cloud Computing Security for Cloud Service Providers (クラウド サービス プロバイダー向けのクラウド コンピューティング セキュリティ) - 2023 年ガイダンスのレビュー
免責事項
提供されているガイダンスは、ACSC (オーストラリア サイバー セキュリティ センター) によって規制対象とされている公共機関と企業組織のクラウド顧客が、Atlassian Cloud 製品とそれが提供するサービスについてのみ、このガイダンスをどのように検討しているかを説明することのみを目的としています。
このレポートは、アトラシアンが Cloud Computing Security for Cloud Service Providers (クラウド サービス プロバイダー向けのクラウド コンピューティング セキュリティ) にどのように準拠しているかに関して、アトラシアンがクラウド顧客に情報やガイダンスを提供することのみを目的としています。これと並行して、CSP と顧客の両方に推奨されるさまざまな責任について説明した専用の責任共有ホワイトペーパーがあります。責任共有モデルでは、Atlassian Cloud 製品を使用するお客様の説明責任とリスクがなくなるわけではありませんが、システム コンポーネントや施設の物理的制御を管理・制御する負担を軽減するのに役立ちます。また、セキュリティとコンプライアンス コストの一部をアトラシアンに移し、お客様から切り離します。
お客様のデータ保護への取り組みについての詳細は、アトラシアンのセキュリティ プラクティス ページをご覧ください。
リスク | 参照 | 緩和策 | アトラシアンの対応 |
---|---|---|---|
全般的にすべてのタイプのクラウド サービスに関連する最も効果的なリスク軽減策 | |||
テナントのデータの機密性、完全性、可用性を維持できないという包括的な失敗 | 参照 1 - 全般 | 緩和策 ISM [1] に対して、テナントのデータを処理するために必要な適切な分類レベルで、クラウド サービスと基盤となるインフラストラクチャを評価します (この文書では明示的に軽減策を説明しています)。 | アトラシアンの対応 アトラシアンでは、データ プライバシー フレームワーク原則の遵守、これらの原則への非遵守による影響を受ける個人の救済策、および原則に従わなかった場合の影響を保証するための強固なメカニズムを用意しています。このためにアトラシアンでは、定期的かつ臨時の自己評価や、必要な場合には外部監査やコンプライアンス レビューを行っています。特に、年に一度、サードパーティ プロバイダーの TrustArc と協力し、アトラシアンのプライバシー慣行がデータ プライバシー フレームワークの原則を遵守していることを証明しています。TrustArc は当社の自己認証をサポートし、お客様からのプライバシー関連の苦情に対して独立した紛争調停サービスも提供しています。また、アトラシアンでは、自己評価、外部監査/コンプライアンス レビュー、および随時実施する可能性のある改善計画とともに、監査証跡として使用できる Jira チケットのコンプライアンスを追跡および監視しています。データ処理の慣行を監視し、データ プライバシー侵害プログラムを維持して、データ プライバシー インシデント/侵害を追跡しています。 |
| 参照 2 - 全般 | 緩和策 セキュリティ ガバナンスを実施しています。これには、強固な変更管理を含むセキュリティ関連アクティビティの管理および調整を行う上級管理職が関与しています。また、技術的に熟練したスタッフを特定のセキュリティ担当者に配置しています。 | アトラシアンの対応 アトラシアンの CISO である Bala Sathiamurthy は、サンフランシスコのオフィスを拠点としています。当社のセキュリティ チームには、製品セキュリティ、セキュリティ インテリジェンス、セキュリティ アーキテクチャ、信頼、リスク、コンプライアンスの分野に 230 人を超えるチーム メンバーがいます。また、シドニー、アムステルダム、オースティン、ベンガルール、マウンテンビュー、サンフランシスコ、ニューヨークのオフィスにわたる開発および SRE チームと多数のリモート チーム メンバーを擁しています。 |
| 参照 3 - 全般 | 緩和策 サイバー セキュリティ インシデント対応計画を実施して毎年テストし、緊急連絡先情報、通常はアクセスできないフォレンジック エビデンスへのアクセス機能、およびインシデントの通知をテナントに提供しています。 | アトラシアンの対応 アトラシアンでは、以下の主要原則を含むセキュリティ インシデント対応ポリシーと計画を文書化しています。
|
テナントのデータが悪意のあるサードパーティによって転送中に侵害される | 参照 4 - 全般 | 緩和策 テナントと CSP の間の転送中データを保護するために、ASD 承認暗号管理をサポートおよび使用しています (例: 承認されたアルゴリズム、キーの長さ、およびキー管理を備えたアプリケーション レイヤー TLS または IPsec VPN)。 | アトラシアンの対応 アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。 |
参照 5 - 全般 | 緩和策 パブリック インターネット インフラストラクチャなどの安全でない通信チャネルを介した CSP のデータ センター間の転送で、ASD 承認暗号管理を使用して、転送中のデータを保護しています。 | アトラシアンの対応 アトラシアンには、暗号技術と暗号化ポリシー、および実装ガイドラインがあります。このポリシーは、PMP (ポリシー管理プログラム) に従って毎年見直され、更新されています。詳細については、「当社の Atlassian Trust Management System (ATMS)」をご覧ください。 | |
参照 6 - 全般 | 緩和策 オンボーディングまたはオフボーディングの一環としてデータを転送する際の、テナントと CSP の間で郵便/クーリエ便で転送されるストレージ メディアの保存データを保護するために、ASD 承認暗号管理をサポートおよび使用しています。 | アトラシアンの対応 アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。 | |
テナントのクラウド サービス アカウントの認証情報が悪意のあるサードパーティによって侵害される [2] [3] [4] [5] | 参照 7 - 全般 | 緩和策 テナントが CSP の Web サイトのコントロール パネルと API を介してクラウド サービスを使用および管理できるように、ID とアクセス管理 (多要素認証やさまざまな権限を持つアカウント ロールなど) を提供しています [6]。 | アトラシアンの対応 Confluence、Jira については、個々のアカウントで多要素認証が利用可能です。多要素認証を有効にする方法の詳細については、「2 段階認証の強制」を参照してください。 |
参照 8 - 全般 | 緩和策 テナントが CSP の Web サイトのコントロール パネルと API を介してクラウド サービスを使用および管理する際の、転送中の認証情報と管理アクティビティを保護するために、ASD 承認暗号管理をサポートおよび使用しています。 | アトラシアンの対応 アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。 | |
参照 9 - 全般 | 緩和策 時間同期された詳細なログをテナントがダウンロードし、リアルタイム アラートを受信できるようにしています。これらは、クラウド サービスへのアクセス、特にクラウド サービスの管理に使用されたテナントのクラウド サービス アカウントに対して生成されるものです。 | アトラシアンの対応 ログが読み取り専用となっている各システムから、重要なシステム ログが中央のログ記録用プラットフォームに転送されます。アトラシアン セキュリティ チームでは、セキュリティ分析プラットフォーム (Splunk) 上でアラートを作成し、セキュリティ侵害の兆候を監視します。SRE チームでは、このプラットフォームを使用して、可用性またはパフォーマンスの課題を監視します。ログは、ホット バックアップで 30 日間、コールド バックアップで 365 日間保持されます。 | |
テナントのデータが悪意のある CSP スタッフまたは悪意のあるサードパーティによって侵害される | 参照 10 - 全般 | 緩和策 時間同期された詳細なログをテナントがダウンロードし、リアルタイム アラートを受信できるようにしています。これらは、テナントが使用しているクラウド サービスによって生成されるものです (例: オペレーティング システム、Web サーバー、およびアプリケーションのログ)。 | アトラシアンの対応 アトラシアンでは Casper (https://www.jamf.com) と OSQuery (https://osquery.io/) を使用して、ログに記録される内容とログが保持される期間を管理します。ログは論理的に分離されたシステムに保存され、ログへの書き込みアクセスはセキュリティ チームのメンバーに制限されます。ログから特定のアクションやイベントが識別されると、セキュリティ チームまたはサービス デスクにアラートが送信されます。当社の一元化されたロギング サービス (Splunk) は自動分析のためにセキュリティ分析インフラストラクチャと統合されており、アラートが作成されて潜在的な問題が特定されます。 |
参照 11 - 全般 | 緩和策 トラブルシューティング、リモート管理、およびカスタマー サポートのために、CSP スタッフによってテナント データが保存、バックアップ、処理、アクセスされている (または今後数か月以内にそうなる) 国と法域を開示しています。 | アトラシアンの対応 アトラシアンは、米国東部、米国西部、アイルランド、フランクフルト、シンガポール、シドニーの各リージョンで AWS (Amazon Web Services) を利用しています (Confluence および Jira)。詳細については、「クラウド ホスティング インフラストラクチャ」を参照してください。 | |
参照 12 - 全般 | 緩和策 システムやデータへのアクセス レベルに応じて、CSP スタッフの身元確認を行っています。機密性の高いデータにアクセスするスタッフのセキュリティ クリアランスを維持しています [7]。 | アトラシアンの対応 世界各国で、アトラシアンの新入社員には、身元確認を行うことが求められます。買収によって新たに雇用された社員については、買収後に身元確認が行われます。犯罪歴の確認は、すべての新入社員と独立した請負業者に対して一律に実施されます。役割や役職に必要であれば、学歴検証、職歴検証、与信確認が追加されます。上級管理職や経理職については特に身元確認を徹底しています。 | |
参照 13 - 全般 | 緩和策 テナント データを保存したり、テナント データにアクセスできる、物理的に安全なデータ センターやオフィスを使用しています [8]。すべてのスタッフと訪問者の身元を確認して記録します。訪問者が許可なくデータにアクセスしないように、訪問者をエスコートします。 | アトラシアンの対応 アトラシアンのオフィスは、物理的な出入り口の監視などを含め、社内の物理および環境面でのセキュリティ ポリシーに従っています。当社パートナーのデータ センターは、複数のコンプライアンス認証を取得しています。これらの認証は、物理的なセキュリティ、システムの可用性、ネットワークと IP バックボーン アクセス、顧客のプロビジョニング、問題管理を目的としています。データ センターへのアクセスは権限を付与された人員に限られ、生体認証手段によって検証されます。物理的なセキュリティ対策には、常駐の警備員、有線のビデオ監視、侵入者用の装置、その他の侵入保護措置が含まれます。AWS では、データ センターの保護のために複数の認定を取得しています。AWS の物理的な保護に関する保証情報については、http://aws.amazon.com/compliance/ をご覧ください。 | |
参照 14 - 全般 | 緩和策 CSP スタッフの職務に基づいて、システムやデータへの特権アクセスを制限しています [9]。特権アクセスを必要とする CSP スタッフに対して、3 か月ごとの再承認を要求しています。CSP スタッフの雇用が終了したらアクセス権を取り消します。 | アトラシアンの対応 アトラシアンは、このアクセスを職務や責任上、必要とする人員のみに限定しています。第 1 層のシステムはすべて、アトラシアンで一元化されたシングル サインオン (SSO) とディレクトリ ソリューションで管理されています。ユーザーには、当社の人事管理システムからのワークフローを介して、これらのプロファイルに基づく適切なアクセス権が付与されます。アトラシアンは MFA を利用して第 1 層システムのすべてにアクセスしています。ハイパーバイザー管理コンソールと AWS API への 2 要素認証と、ハイパーバイザー管理機能へのすべてのアクセスに関する毎日の監査レポートを有効にしています。ハイパーバイザー管理コンソールと AWS API へのアクセス・リストは四半期ごとに見直されます。また、人事システムと ID ストアの間で 8 時間ごとの同期を維持しています。 | |
参照 15 - 全般 | 緩和策 隔離された安全なログ サーバーに記録されている CSP スタッフの行動ログを迅速に分析しています。他の権限や職務を持たない CSP スタッフにログ分析を求めることで、職務の分離を実施しています。 | アトラシアンの対応 アトラシアンの主力製品には次の職務分掌管理の機能がありますが、その他の機能もあります。
| |
参照 16 - 全般 | 緩和策 ソフトウェア、ハードウェア、またはサービスを入手する前に、サプライヤーのデュー デリジェンス レビューを実施して、CSP のセキュリティ リスク プロファイルが増大する可能性を評価しています。 | アトラシアンの対応 アトラシアンの新規ベンダーは、契約にある当社のプライバシーおよびセキュリティの補遺とポリシーに同意する必要があります。アトラシアンの法務部門と調達部門は、契約、SLA、およびベンダー内部ポリシーを確認して、ベンダーがセキュリティ、可用性、機密保持の要件を満たしているかどうかを判断します。アトラシアンでは、「データの復処理者のリスト」という公開ページを保持しています。 | |
参照 17 - 全般 | 緩和策 ASD 承認暗号管理を使用して、機密性の高い保存データを保護しています。ストレージ メディアのデータを消去してから、残りのバックアップのデータについて秘密保持契約を結んで、修理、廃棄、テナントのオフボーディングを実施します。 | アトラシアンの対応 このプロセスはワークプレース テクノロジーで処理され、機器は適切にデータを消去され、消磁されます。アトラシアンには、クラウド製品やサービスをサポートする物理メディアはありません。 | |
テナントントのデータが別の悪意のある/侵害されたテナントによって侵害される [10] [11] [12] [13] [14] [15] [16] [17] [18] | 参照 18 - 全般 | 緩和策 マルチテナント メカニズムを実装して、テナントのデータに他のテナントがアクセスするのを防いでいます。ネットワーク トラフィック、ストレージ、メモリ、コンピュータ処理を分離しています。再利用する前にストレージ メディアのデータを消去しています。 | アトラシアンの対応 アトラシアンはマルチテナント型の SaaS アプリケーションです。マルチテナントは Atlassian Cloud の重要な機能であり、それぞれの顧客テナントのアプリケーション データを分離しながら、複数のお客様が Jira または Confluence アプリケーション レイヤーの 1 つのインスタンスを共有できるようにします。Atlassian Cloud では TCS (テナント コンテキスト サービス) によってこれを実現しています。すべてのユーザー ID はそれぞれ 1 つのテナントに関連付けられ、それが Atlassian Cloud アプリケーションへのアクセスに使用されます。詳細については「セキュリティ プラクティス」をご覧ください。 |
破損、削除 [19]、または CSP によるアカウント/サービス終了により、テナントのデータを利用できない | 参照 19 - 全般 | 緩和策 CSP ロックインを回避する形式で、テナントが最新のバックアップを実行できるようにします。アカウントまたはクラウド サービスが終了した場合は、すぐにテナントに通知し、少なくとも 1 か月間は、データをダウンロードできるようにします。 | アトラシアンの対応 アトラシアンは、さまざまな種類のデータをどのくらいの期間、保持しなければならないかを示すデータ保持および破壊基準に従っています。データは、アトラシアンのデータ セキュリティおよび情報のライフサイクル ポリシーに従って分類され、それに基づいてコントロールが実装されます。顧客データについては、アトラシアンとの契約が終了すると、顧客チームに属するデータは本稼働中のデータベースから削除され、アトラシアンに直接アップロードされた添付ファイルはすべて 14 日以内に削除されます。チームのデータは暗号化され、バックアップに残りますが、60 日間のバックアップ保持期間を過ぎるとアトラシアンのデータ保持ポリシーに従って破棄されます。データ削除が要求されてから 60 日以内にデータベース復元が必要になった場合、運用チームは、本稼働中のシステムが完全に復元された後、可能な限り速やかにデータを再削除します。詳細については、「ストレージを追跡し、製品間でデータを移動する」をご覧ください。 |
CSP の破産やその他の法的措置により、テナントのデータを利用できないか、または侵害される | 参照 20 - 全般 | 緩和策 契約上、テナントがデータの法的所有権を保持することを保証します。 | アトラシアンの対応 アトラシアンの顧客は、当社のサービス利用が適用法および規制に準拠していることを確認する責任を負います。当社の特定の法的合意と方針の詳細については、当社の法的リソースのページ https://www.atlassian.com/legal をご覧ください。 |
CSP のネットワーク接続が不十分なため、クラウド サービスを利用できない | 参照 21 - 全般 | 緩和策 テナントが要求する可用性レベルを満たすように、テナントとクラウド サービスの間の十分に高い帯域幅、低い遅延、信頼性の高いネットワーク接続をサポートします。 | アトラシアンの対応 アトラシアンは Cloud インスタンスのパフォーマンスと可用性を監視していますが、現時点では正式なアプリの可用性 SLA は提供していません。当社のサポート チームは初回応答時間の SLA を提供しています。公式のサポート解決 SLA はありませんが、内部目標として、割り当てられたすべてのケースを 48 時間以内に解決するとしています。アトラシアンでは、最新の Cloud システム ステータスの統計を https://status.atlassian.com に示しています。 |
CSP エラー、計画的な停止、ハードウェアの故障、または自然災害により、クラウド サービスを利用できない | 参照 22 - 全般 | 緩和策 テナントが要求する可用性レベルを満たすよう設計します (例: 単一障害点の最小化、クラスタリングと負荷分散、データ レプリケーション、自動フェイルオーバー、リアルタイムの可用性監視)。 | アトラシアンの対応 Atlassian Cloud サービスでは、ビジネス継続性計画とディザスタ リカバリ計画を少なくとも四半期ごとにテストしています。複数のリージョンの可用性がリアルタイムで監視されています。自動リージョン フェイルオーバー テストは、本番前環境で毎週実施されています。構成データの自動復元テストは、本番環境で毎日実施されています。 |
参照 23 - 全般 | 緩和策 テナントが要求する可用性レベルを満たすように、ディザスタ リカバリ計画とビジネス継続性計画を策定し、毎年テストします。たとえば、CSP のスタッフやインフラストラクチャが永続的に損なわれるようなインシデントに対して制定されます。 | アトラシアンの対応 ビジネス継続性とディザスタ リカバリに関するポリシー、およびその計画が策定されており、ビジネス継続性/ディザスタ リカバリ運営委員会によって毎年レビューされています。すべてのミッション クリティカルなシステム、プロセス、またはサービスの所有者は、災害時には中断の許容度に従って、適切なビジネス継続性やディザスタ リカバリを確実に実行します。BCDR 計画は四半期ごとに必ずテストし、課題を特定して対処します。詳細については、「セキュリティ プラクティス」と「弾力性に対するアトラシアンのアプローチ」を参照してください。 | |
需要の本格的な急増または帯域幅/CPU のサービス妨害により、クラウド サービスを利用できない | 参照 24 - 全般 | 緩和策 テナントが要求する可用性レベルを満たすように、サービス妨害軽減策を実施します (例: トラフィックの調整とフィルターを備えた、冗長な高帯域幅の外部および内部ネットワーク接続)。 | アトラシアンの対応 アトラシアン セキュリティ エンジニアリングは、オフィス環境に実装されている IPS テクノロジーを使用しています。ネットワーク脅威対策は、DDoS 保護や一部の Web アプリ ファイアウォール機能を含め、AWS によって実施されています。 |
参照 25 - 全般 | 緩和策 テナントが要求する可用性レベルを満たすように、インフラストラクチャ キャパシティと応答性の高い自動スケーリングを提供します。 | アトラシアンの対応 アトラシアンでは、キャパシティについては 6 か月から 12 か月前に計画し、高度な戦略的計画については 36 か月後に通知されます。 | |
需要の本格的な急増または帯域幅/CPU のサービス妨害による財務上の影響 | 参照 26 - 全般 | 緩和策 契約上の支出制限、リアルタイムのアラート、CSP のインフラストラクチャ キャパシティの使用に関する設定可能な制限により、テナントが需要の本格的な急増やサービス妨害のコストを管理できるようにします。 | アトラシアンの対応 当社の SaaS サービスでは、使用量に応じた顧客への請求は行いません。現在、キャパシティやユーザー レポートはテナントと共有されていません。 |
悪意のあるテナントまたは悪意のあるサードパーティにより、CSP のインフラストラクチャが侵害される | 参照 27 - 全般 | 緩和策 カスタマー サポートを提供し、クラウド サービスとインフラストラクチャを管理するには、企業が承認した安全なコンピュータ、ジャンプ サーバー、専用アカウント、強力なパスフレーズ、多要素認証を使用します。 | アトラシアンの対応 従業員は、可能な場合には 2FA を必須化し、ランダムで安全なパスワードでパスワード マネージャーを使用する必要があります。権限を与えられた従業員は、独自の強力なパスワードと TOTP ベースの 2FA を使用して VPN への認証を行い、パスフレーズで保護された個人用 RSA 証明書を使用して、ssh ターミナル接続でのみ本番環境にアクセスします。SSO、SSH、2FA、VPN すべてが必要です。 |
参照 28 - 全般 | 緩和策 CSP のデータ センターと CSP 管理者/カスタマー サポート スタッフの間の安全でない通信チャネルを介した送信では、ASD が承認した暗号制御を使用して、認証情報や管理アクティビティを保護します。 | アトラシアンの対応 アトラシアンのクラウド製品とサービス内に保存されるすべての顧客データは、パブリック ネットワーク経由での転送中に TLS (Transport Layer Security) 1.2 以上と PFS (Perfect Forward Secrecy) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーの長さを使用する必要があります。 | |
参照 29 - 全般 | 緩和策 インターネット、テナントで使用される CSP インフラストラクチャ、CSP でクラウド サービスとインフラストラクチャを管理するために使用するネットワーク、および CSP の企業 LAN の間で、ネットワークのセグメンテーションと分離 [20] を実装します。 | アトラシアンの対応 顧客データが、AWS の安全なサーバー内に保存されている本番環境の外部にレプリケートされることはありません。厳格なファイアウォール ルールが設けられているため、本番環境へのアクセスはアトラシアンの VPN ネットワークと許可されたシステムに制限されています。VPN には、多要素認証が必要です。アトラシアンの主力製品には次の職務分掌管理の機能がありますが、その他の機能もあります。
| |
参照 30 - 全般 | 緩和策 CSP [21] [22] [23] が開発したソフトウェアの安全なプログラミング プラクティスを利用します。 | アトラシアンの対応 アトラシアンは開発ライフサイクルのすべてのフェーズで、安全な開発を実践しています。詳細については、「アトラシアンにおけるソフトウェア開発時のセキュリティ」をご覧ください。 | |
参照 31 - 全般 | 緩和策 クラウド サービスと基盤となるインフラストラクチャの安全な設定、継続的な脆弱性管理、迅速なパッチ適用、毎年のサードパーティによるセキュリティ レビュー、ペネトレーション テストを実施します。 | アトラシアンの対応 外部向けアプリについては、サードパーティのコンサルタント会社を採用してペネトレーション テストを毎年実施しています。また、このようなテストの補足として、社内のセキュリティ テスト チームが小規模で継続的なセキュリティ テストも実施しています。これらのペネトレーション テストの評価レポート、および当社のテスト プロセスの詳細については、「社外セキュリティ テストに対するアプローチ」をご覧ください。 | |
参照 32 - 全般 | 緩和策 すべての CSP スタッフをトレーニングします (特に管理者)。これは、テナント データの保護、クラウド サービス可用性の維持、セキュリティ インシデントの積極的な特定 (例: プロンプト ログ分析を使用) を目的として、雇用開始時と年に 1 回行います。 | アトラシアンの対応 アトラシアンでは、オンボーディング トレーニング (「Rocketfuel」) の一環として新入社員向けに、また全スタッフに対して継続的な情報セキュリティ トレーニングを提供しています。採用候補者や契約社員は、会社での業務を開始する前に秘密保持契約を結ぶ必要があります。テクノロジーの変化やその他の大きな変化が発生した場合は、イントラネットを通じて既存の従業員にコースが提供され、通知されます。 | |
特に IaaS に関連する最も効果的なリスク軽減策 | |||
悪意のあるサードパーティにより、テナントの VM (仮想マシン) が侵害される [24] | 参照 1 - IaaS | 緩和策 テナントがネットワークのセグメンテーションと分離 [25] を実装できるように、ネットワーク アクセス制御を提供します。これには、IP アドレス以外による VM のリモート管理を禁止するネットワーク フィルター機能が含まれます。 | アトラシアンの対応 これは該当しません。アトラシアンは SaaS プロバイダーです。 |
参照 2 - IaaS | 緩和策 安全に設定されパッチが適用された VM テンプレート イメージをテナントに提供します。新しくプロビジョニングされた VM に弱い管理パスフレーズを割り当てないようにします。 | アトラシアンの対応 これは該当しません。アトラシアンは SaaS プロバイダーです。 | |
特に PaaS に関連する最も効果的なリスク軽減策 | |||
悪意のあるサードパーティにより、テナントのデータが侵害される | 参照 1 - PaaS | 緩和策 オペレーティング システム、Web サーバー、プラットフォーム ソフトウェアを強化し、安全に設定します。必要なポート/プロトコルのみにインバウンドとアウトバウンドのネットワーク接続を制限します。パッチ適用とログ分析を迅速に実行します。 | アトラシアンの対応 これは該当しません。アトラシアンは SaaS プロバイダーです。 |
特に SaaS に関連する最も効果的なリスク軽減策 | |||
悪意のあるサードパーティにより、テナントのデータが侵害される | 参照 1 - SaaS | 緩和策 クラウド サービス固有の制御を実装します。たとえば、サービスとして配信されるメールの場合、メールとメールの添付ファイルの自動動的分析を使用したコンテンツ フィルターなどの機能を提供します。 | アトラシアンの対応 これは、当社の製品内で提供しています。アトラシアンは、Proofpoint (https://www.proofpoint.com/au/products/email-protection) を利用して、添付ファイルをスキャンし、フィッシング詐欺を防ぐために URL を書き換えます。アトラシアンは、Google G-Suite に組み込まれているメール保護 (Cloud セキュリティとデータ保護サービス) も利用しています。 |
参照 2 - SaaS | 緩和策 一般的な管理を実施する [26] 例: 必要なポート/プロトコルのみにインバウンドおよびアウトバウンドのネットワーク接続を制限し、ウイルス対策ソフトウェアを毎日更新し、侵入防止システムを実施して迅速なログ分析を行います。 | アトラシアンの対応 適用外。アトラシアンは、本番環境用 Server にはマルウェア対策は行っていません。CI/CD パイプライン以外では書き込みができないためです。Jira Cloud または Confluence Cloud をホストするアトラシアンのアプリケーション サービスは、アプリケーション コードのみをホストします。Jira および Confluence Cloud のサーバーは、アトラシアンのデプロイ パイプライン、CI/CD パイプライン以外では書き込みはできません。 |