| アプリケーション制御 | - ワークステーションでは、オペレーティング システム、Web ブラウザ、電子メール クライアントが使用する標準ユーザー プロファイルや一時フォルダ内の実行可能ファイル、ソフトウェア ライブラリ、スクリプト、インストーラー、コンパイル済み HTML、HTML アプリケーション、コントロール パネル アプレットの実行が禁止されています。
| - アプリケーション制御は、ワークステーションとインターネットに接続されたサーバーに実装されています。
- アプリケーション制御は、実行可能ファイル、ソフトウェア ライブラリ、スクリプト、インストーラー、コンパイル済み HTML、HTML アプリケーション、およびコントロール パネル アプレットの実行を、組織が承認したセットに制限します。
- ワークステーションとインターネットに接続しているサーバーで許可された実行イベントとブロックされた実行イベントがログに記録されます。
| - アプリケーション制御は、ワークステーションとサーバーに実装されています。
- アプリケーション制御は、実行ファイル、ソフトウェア ライブラリ、スクリプト、インストーラー、コンパイル済み HTML、HTML アプリケーション、コントロール パネル アプレット、ドライバーの実行を組織が承認したセットに制限します。
- マイクロソフトの「推奨ブロック ルール」が実装されています。マイクロソフトの「推奨ドライバー ブロック ルール」が実装されています。
- アプリケーション制御のルール セットは、少なくとも年に 1 回、検証されます。
- ワークステーションとサーバーで許可された実行イベントとブロックされた実行イベントが一元的にログに記録されます。
- イベント ログは、不正な変更や削除から保護されています。イベント ログは侵害の兆候がないか監視され、侵害の兆候が検出されたときには対策が実行されます。
| 本稼働環境でのユーティリティ プログラムの使用は制限および制御されています。すべてのサーバーは、一元化された Puppet 構成システムを使用して、既定のイメージから一部のパッケージを削除したり、重要なパッケージを更新したりして、標準の運用環境に合わせて構成されています。すべてのサーバー ロールは、受信するすべてのネットワーク リクエストがデフォルトで拒否されます。特定のポートのみ、そのポートが機能するためのアクセス権を持つその他のサーバー ロールに対して開かれます。アトラシアンの企業ネットワークは本稼働ネットワークから分離されており、マシン イメージは必要なポートとプロトコルのみを許可するように強化されています。現在、すべての本稼働システムは、使用しているクラウド プロバイダの米国リージョンでホストされています。強化された仮想プライベート クラウド ネットワーク (VPC) 外にある転送中のデータはすべて、業界標準チャネルで暗号化されます。
さらに、すべての本稼働サーバーに IDS システムが導入されており、本稼働システムのファイルや構成の変更、あるいは異常なセキュリティ イベントがリアルタイムで監視され、警告されます。 |
| アプリケーションへのパッチ適用 | - 自動資産検出が少なくとも 2 週間に 1 回実行され、その後の脆弱性スキャンによる資産検出をサポートします。
- 脆弱性スキャンには、最新の脆弱性データベースを使用する脆弱性スキャナーが使用されます。インターネットに接続しているサービスの脆弱性については、少なくとも 1 日に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートがないかを特定します。
- オフィス生産性スイート、Web ブラウザとその拡張機能、メール クライアント、PDF ソフトウェア、およびセキュリティ製品の脆弱性については、少なくとも 2 週間に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートを特定します。
- インターネットに接続しているサービスの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- オフィス生産性スイート、Web ブラウザとその機能拡張、メール クライアント、PDF ソフトウェア、およびセキュリティ製品の脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 1 か月以内に適用されます。
- インターネットに接続しているサービス、オフィス生産性スイート、Web ブラウザとその拡張機能、メール クライアント、PDF ソフトウェア、Adobe Flash Player、およびベンダーによるサポートが終了したセキュリティ製品は削除されます。
| - 自動資産検出が少なくとも 2 週間に 1 回実行され、その後の脆弱性スキャンによる資産検出をサポートします。
- 脆弱性スキャンには、最新の脆弱性データベースを使用する脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスの脆弱性については、少なくとも 1 日に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートがないかを特定します。
- オフィス生産性スイート、Web ブラウザとその拡張機能、メール クライアント、PDF ソフトウェア、およびセキュリティ製品の脆弱性については、少なくとも週に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートを特定します。
- その他のアプリケーションの脆弱性については、少なくとも 2 週間に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートがないかを特定します。
- インターネットに接続しているサービスの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- オフィス生産性スイート、Web ブラウザとその機能拡張、メール クライアント、PDF ソフトウェア、およびセキュリティ製品の脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内に適用されます。
- その他のアプリケーションの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 1 か月以内に適用されます。
- インターネットに接続しているサービス、オフィス生産性スイート、Web ブラウザとその拡張機能、メール クライアント、PDF ソフトウェア、Adobe Flash Player、およびベンダーによるサポートが終了したセキュリティ製品は削除されます。
| - 自動資産検出が少なくとも 2 週間に 1 回実行され、その後の脆弱性スキャンによる資産検出をサポートします。
- 脆弱性スキャンには、最新の脆弱性データベースを使用する脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスの脆弱性については、少なくとも 1 日に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートがないかを特定します。
- オフィス生産性スイート、Web ブラウザとその拡張機能、メール クライアント、PDF ソフトウェア、およびセキュリティ製品の脆弱性については、少なくとも週に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートを特定します。
- その他のアプリケーションの脆弱性については、少なくとも 2 週間に 1 回、脆弱性スキャナーを使用して、適用されていないパッチやアップデートがないかを特定します。
- インターネットに接続しているサービスの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- オフィス生産性スイート、Web ブラウザとその機能拡張、メール クライアント、PDF ソフトウェア、およびセキュリティ製品の脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内に、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- その他のアプリケーションの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 1 か月以内に適用されます。
- ベンダーのサポートが終了したアプリケーションは削除されます。
| すべての製品とサービスについて、広範囲にわたるバグ修正プロセスがあります (アトラシアン製品である Jira を活用して課題を把握し、リクエストの解決に役立てています)。これを支えているのが、アトラシアンが遵守しているさまざまなセキュリティ バグ修正ポリシー、アドバイザリ サービス、SLO です。アトラシアンはサポート チャネル、バグ報奨金プログラム、および security@atlassian.com を通じてバグ報告を受け付けています。セキュリティ バグ修正 SLO の詳細については、Trust Center を参照してください。
セキュリティ テストへのアプローチに関する詳細は、Trust Center の外部セキュリティ テストへのアプローチにもあります。
アトラシアンのセキュリティ チームは、複数の方法を使用して、内部と外部の両方のインフラストラクチャの脆弱性を検出しています。追跡と修復のために Jira チケットが作成され、重大度と脆弱性の原因に基づき、SLO に従って期限が割り当てられます。特定された脆弱性に関するチケットをシステム所有者に発行する継続的なプロセスがあり、セキュリティ管理チームが報告された脆弱性をレビューし、それに対して対策が講じられていることを確認します。 |
| Microsoft Office マクロ設定 | - Microsoft Office マクロは、業務に不要なユーザーには無効化されています。
- インターネットから取得したファイル内の Microsoft Office マクロはブロックされています。
- Microsoft Office マクロのウイルス対策スキャンが有効になっています。
- Microsoft Office マクロのセキュリティ設定は、ユーザーが変更できません。
| - Microsoft Office マクロは、業務に不要なユーザーには無効化されています。
- インターネットから取得したファイル内の Microsoft Office マクロはブロックされています。Microsoft Office マクロのウイルス対策スキャンが有効になっています。
- Microsoft Office マクロでは、Win32 API の呼び出しがブロックされています。
- Microsoft Office マクロのセキュリティ設定は、ユーザーが変更できません。
- 許可およびブロックされた Microsoft Office マクロ実行イベントがログに記録されます。
| - Microsoft Office マクロは、業務に不要なユーザーには無効化されています。
- サンドボックス環境、信頼できる場所の中で実行される Microsoft Office マクロ、または信頼できる発行元によってデジタル署名された Microsoft Office マクロのみが実行できます。
- Microsoft Office マクロに悪意のあるコードが含まれていないことを確認する責任を負う特権ユーザーのみが、信頼できる場所の中でコンテンツを書き込んだり変更したりできます。
- 信頼できない発行元によってデジタル署名された Microsoft Office マクロは、メッセージ バーや Backstage ビューで有効にできません。
- Microsoft Office の信頼できる発行元のリストは、少なくとも年に 1 回、検証されます。
- インターネットから取得したファイル内の Microsoft Office マクロはブロックされています。
- Microsoft Office マクロのウイルス対策スキャンが有効になっています。
- Microsoft Office マクロでは、Win32 API の呼び出しがブロックされています。
- Microsoft Office マクロのセキュリティ設定は、ユーザーが変更できません。
- 許可およびブロックされた Microsoft Office マクロ実行イベントが一元的にログに記録されます。
- イベント ログは、不正な変更や削除から保護されています。
- イベント ログは侵害の兆候がないか監視され、侵害の兆候が検出されたときには対策が実行されます。
| アトラシアンは、サードパーティの下請け業者と協働し、Web サイト、アプリケーションの開発、ホスティング、保守、バックアップ、ストレージ、仮想インフラストラクチャ、支払い決済、分析、その他のサービスを提供しています。こうした業務において、当該サードパーティであるサービス プロバイダーが PII にアクセスする、または処理する必要が生じることがあります。アトラシアンは、PII を処理する下請け業者の利用に関して、処理が行われる前に、通知を介して関連するお客様に開示します。アトラシアンが提携している下請け業者の外部向けリストは、アトラシアン復処理者のページのデータ復処理者のリストにあります。このページの訪問者は、アトラシアンの復処理者が新たに追加された際に通知を受けるための RSS フィードの購読を促されます。
Mac ノート パソコン用の一元的なシステム管理ソリューション (モバイル デバイス管理) を導入しました。
Windows エンドポイントとスマートフォン (VMware Workplace ONE) 用のモバイル デバイス管理ソリューションを導入しました。 |
| ユーザー アプリケーションの強化 | - Web ブラウザは、インターネットからの Java を処理しません。
- Web ブラウザは、インターネットからのウェブ広告を処理しません。
- Internet Explorer 11 は、インターネットからのコンテンツを処理しません。
- Web ブラウザのセキュリティ設定は、ユーザーが変更できません。
| - Web ブラウザは、インターネットからの Java を処理しません。
- Web ブラウザは、インターネットからのウェブ広告を処理しません。
- Internet Explorer 11 は、インターネットからのコンテンツを処理しません。
- Web ブラウザの ACSC またはベンダー強化ガイダンスが実装されています。
- Web ブラウザのセキュリティ設定は、ユーザーが変更できません。
- Microsoft Office では、子プロセスの作成がブロックされています。
- Microsoft Office では、実行可能コンテンツの作成がブロックされています。
- Microsoft Office は、コードを他のプロセスに挿入できないようにブロックされています。
- Microsoft Office は、OLE パッケージのアクティブ化を防ぐように設定されています。
- Microsoft Office の ACSC またはベンダー強化ガイダンスが実装されています。
- Microsoft Office のセキュリティ設定は、ユーザーが変更できません。
- PDF ソフトウェアでは、子プロセスの作成がブロックされています。
- PDF ソフトウェアの ACSC またはベンダー強化ガイダンスが実装されています。
- PDF ソフトウェアのセキュリティ設定は、ユーザーが変更できません。
- ブロックされた PowerShell スクリプト実行イベントがログに記録されます。
| - Web ブラウザは、インターネットからの Java を処理しません。
- Web ブラウザは、インターネットからのウェブ広告を処理しません。
- Internet Explorer 11 が無効になっているか、削除されています。
- Web ブラウザの ACSC またはベンダー強化ガイダンスが実装されています。
- Web ブラウザのセキュリティ設定は、ユーザーが変更できません。
- Microsoft Office では、子プロセスの作成がブロックされています。
- Microsoft Office では、実行可能コンテンツの作成がブロックされています。
- Microsoft Office は、コードを他のプロセスに挿入できないようにブロックされています。
- Microsoft Office は、OLE パッケージのアクティブ化を防ぐように設定されています。
- Microsoft Office の ACSC またはベンダー強化ガイダンスが実装されています。
- Microsoft Office のセキュリティ設定は、ユーザーが変更できません。
- PDF ソフトウェアでは、子プロセスの作成がブロックされています。
- PDF ソフトウェアの ACSC またはベンダー強化ガイダンスが実装されています。
- PDF ソフトウェアのセキュリティ設定は、ユーザーが変更できません。
- .NET Framework 3.5 (.NET 2.0 と 3.0 を含む) が無効になっているか、削除されています。
- Windows PowerShell 2.0 が無効になっているか、削除されています。
- PowerShell が Constrained Language Mode を使用するように設定されています。
- ブロックされた PowerShell スクリプト実行イベントが一元的にログに記録されます。
- イベント ログは、不正な変更や削除から保護されています。
- イベント ログは侵害の兆候がないか監視され、侵害の兆候が検出されたときには対策が実行されます。
| AWS Linux AMI ベースの OS イメージ ビルドで、ポート、プロトコル、サービスが制限されています。アトラシアンのビルドを現在の AMI バージョンと比較して、設定が適切かどうかを確認します。
アトラシアンの Docker イメージは厳重に制御された変更環境で管理されているため、すべての変更が適切にレビューされ、承認されます。
アトラシアンのエンドポイントはユーザーを保護するために強化されていますが、ハードウェア ポートへのアクセスは制限されていません。
Jira/Confluence のパブリック エッジにはサードパーティの HTTP プロキシ製品を使用しており、それに対して L7 の HTTP セキュリティ ルールを実装しています (機能は基本的に WAF と同じ)。 |
| 管理者権限の制限 | - システムやアプリケーションへの特権アクセスのリクエストは、最初にリクエストされたときに検証されます。
- 特権アカウント (特権サービス アカウントを除く) は、インターネット、電子メール、Web サービスにアクセスできません。
- 特権ユーザーは、特権のある運用環境と特権のない運用環境を分けて使用します。
- 権限のないアカウントは、特権のある運用環境にログオンできません。
- 特権アカウント (ローカル管理者アカウントを除く) は、特権のない運用環境にログオンできません。
| - システムやアプリケーションへの特権アクセスのリクエストは、最初にリクエストされたときに検証されます。
- システムやアプリケーションへの特権アクセスは、再検証されない限り、12 か月後に自動的に無効になります。
- システムやアプリケーションへの特権アクセスは、45 日間使用しないと自動的に無効になります。
- 特権アカウント (特権サービス アカウントを除く) は、インターネット、電子メール、Web サービスにアクセスできません。
- 特権ユーザーは、特権のある運用環境と特権のない運用環境を分けて使用します。
- 特権のある運用環境は、特権のない運用環境内に仮想化されません。
- 権限のないアカウントは、特権のある運用環境にログオンできません。
- 特権アカウント (ローカル管理者アカウントを除く) は、特権のない運用環境にログオンできません。
- 管理アクティビティはジャンプ サーバーを介して行われます。
- ローカル管理者アカウントとサービス アカウントの認証情報は長く、一意で、予測不可能であり、管理されています。
- 特権アクセス イベントがログに記録されます。
- 特権アカウントとグループ管理イベントがログに記録されます。
| - システムやアプリケーションへの特権アクセスのリクエストは、最初にリクエストされたときに検証されます。
- システムやアプリケーションへの特権アクセスは、再検証されない限り、12 か月後に自動的に無効になります。
- システムやアプリケーションへの特権アクセスは、45 日間使用しないと自動的に無効になります。
- システムやアプリケーションへの特権アクセスは、ユーザーとサービスが職務を遂行するために必要なものに限定されています。
- 特権アカウントは、インターネット、電子メール、Web サービスにアクセスできません。
- 特権ユーザーは、特権のある運用環境と特権のない運用環境を分けて使用します。
- 特権のある運用環境は、特権のない運用環境内に仮想化されません。
- 権限のないアカウントは、特権のある運用環境にログオンできません。
- 特権アカウント (ローカル管理者アカウントを除く) は、特権のない運用環境にログオンできません。
- システムとアプリケーションの管理には、ジャスト イン タイム管理が使用されます。
- 管理アクティビティはジャンプ サーバーを介して行われます。
- ローカル管理者アカウントとサービス アカウントの認証情報は長く、一意で、予測不可能であり、管理されています。
- Windows Defender Credential Guard と Windows Defender Remote Credential Guard が有効になっています。
- 特権アクセス イベントが一元的にログに記録されます。
- 特権アカウントとグループ管理イベントが一元的にログに記録されます。
- イベント ログは、不正な変更や削除から保護されています。
- イベント ログは侵害の兆候がないか監視され、侵害の兆候が検出されたときには対策が実行されます。
| アトラシアンは、このアクセスを職務や責任上、必要とする人員のみに限定しています。第 1 層のシステムはすべて、アトラシアンで一元化された SSO (シングル サインオン) とディレクトリ ソリューションで管理されています。ユーザーには、当社の人事管理システムからのワークフローを介して、これらのプロファイルに基づく適切なアクセス権が付与されます。アトラシアンは MFA を利用して第 1 層システムのすべてにアクセスしています。ハイパーバイザー管理コンソールと AWS API への 2 要素認証と、ハイパーバイザー管理機能へのすべてのアクセスに関する毎日の監査レポートを有効にしています。ハイパーバイザー管理コンソールと AWS API へのアクセス リストは四半期ごとに見直されます。また、人事システムと ID ストアの間で 8 時間ごとの同期を維持しています。
資格審査プロセスで重要なサービスの審査サイクルを年 2 回、実施しています。社内ユーザー アカウントのシステム所有者に対して、ユーザー アクセスの検証が定期的に行われます。 |
| オペレーティング システムへのパッチ適用 | - 自動資産検出が少なくとも 2 週間に 1 回実行され、その後の脆弱性スキャンによる資産検出をサポートします。
- 脆弱性スキャンには、最新の脆弱性データベースを使用する脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスのオペレーティング システムの脆弱性について、適用されていないパッチやアップデートがないかを特定するために、少なくとも 1 日に 1 回、脆弱性スキャナーが使用されます。
- ワークステーション、サーバー、ネットワーク デバイスのオペレーティング システムにある脆弱性のパッチやアップデートを特定するために、少なくとも 2 週に 1 回、脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスのオペレーティング システムの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- ワークステーション、サーバー、ネットワーク デバイスのオペレーティング システムの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 1 か月以内に適用されます。
- ベンダーのサポートが終了したオペレーティング システムは交換されます。
| - 自動資産検出が少なくとも 2 週間に 1 回実行され、その後の脆弱性スキャンによる資産検出をサポートします。
- 脆弱性スキャンには、最新の脆弱性データベースを使用する脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスのオペレーティング システムの脆弱性について、適用されていないパッチやアップデートがないかを特定するために、少なくとも 1 日に 1 回、脆弱性スキャナーが使用されます。
- ワークステーション、サーバー、ネットワーク デバイスのオペレーティング システムにある脆弱性のパッチやアップデートを特定するために、少なくとも週に 1 回、脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスのオペレーティング システムの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- ワークステーション、サーバー、ネットワークデバイスのオペレーティング システムの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内に適用されます。
- ベンダーのサポートが終了したオペレーティング システムは交換されます。
| - 自動資産検出が少なくとも 2 週間に 1 回実行され、その後の脆弱性スキャンによる資産検出をサポートします。
- 脆弱性スキャンには、最新の脆弱性データベースを使用する脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスのオペレーティング システムの脆弱性について、適用されていないパッチやアップデートがないかを特定するために、少なくとも 1 日に 1 回、脆弱性スキャナーが使用されます。
- ワークステーション、サーバー、ネットワーク デバイスのオペレーティング システムにある脆弱性のパッチやアップデートを特定するために、少なくとも週に 1 回、脆弱性スキャナーが使用されます。
- インターネットに接続しているサービスのオペレーティング システムの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- ワークステーション、サーバー、およびネットワーク デバイスのオペレーティング システムの脆弱性に対するパッチ、アップデート、またはその他のベンダー緩和策は、リリースから 2 週間以内、または実際に攻撃を受けている場合は 48 時間以内に適用されます。
- オペレーティング システムの最新リリースまたは 1 つ前のリリースが使用されています。ベンダーのサポートが終了したオペレーティング システムは交換されます。
| すべての製品とサービスについて、広範囲にわたるバグ修正プロセスがあります。つまり、課題を把握し、リクエストの解決に役立つ自社製品の Jira を活用しています。これを支えているのが、アトラシアンが遵守しているさまざまなセキュリティ バグ修正ポリシー、アドバイザリ サービス、SLO です。アトラシアンはサポート チャネル、バグ報奨金プログラム、および security@atlassian.com を通じてバグ報告を受け付けています。セキュリティ バグ修正 SLO の詳細については、Trust Center を参照してください。
セキュリティ テストへのアプローチに関する詳細は、Trust Center の次の場所にもあります。外部セキュリティ テストへのアプローチ
アトラシアンのセキュリティ チームは、複数の方法を使用して、内部と外部の両方のインフラストラクチャの脆弱性を検出しています。追跡と修復のために Jira チケットが作成され、重大度と脆弱性の原因に基づき、SLO に従って期限が割り当てられます。特定された脆弱性に関するチケットをシステム所有者に発行する継続的なプロセスがあり、セキュリティ管理チームが報告された脆弱性をレビューし、それに対して対策が講じられていることを確認します。 |
| 多要素認証 | - 組織のユーザーが組織のインターネット向けサービスへの認証を行うとき、多要素認証が使用されます。
- 組織のユーザーが、組織の機密データを処理、保存、または伝達するサードパーティのインターネット向けサービスへの認証を行うとき、多要素認証が使用されます。
- 組織のユーザーが、組織の非機密データを処理、保存、または伝達するサードパーティのインターネット向けサービスへの認証を行うとき、多要素認証 (利用可能な場合) が使用されます。
- 組織の非組織ユーザー (ただしオプト アウトは可能) が組織のインターネット向けサービスへの認証を行うとき、多要素認証がデフォルトで有効化されています。
| - 組織のユーザーが組織のインターネット向けサービスへの認証を行うとき、多要素認証が使用されます。
- 組織のユーザーが、組織の機密データを処理、保存、または伝達するサードパーティのインターネット向けサービスへの認証を行うとき、多要素認証が使用されます。
- 組織のユーザーが、組織の非機密データを処理、保存、または伝達するサードパーティのインターネット向けサービスへの認証を行うとき、多要素認証 (利用可能な場合) が使用されます。
- 組織の非組織ユーザー (ただしオプト アウトは可能) が組織のインターネット向けサービスへの認証を行うとき、多要素認証がデフォルトで有効化されています。
- システムの特権ユーザーを認証するために多要素認証が使用されます。
- 次のいずれかが多要素認証で使用されます: ユーザーの所持情報と知識情報、またはユーザーの知識情報または生体情報でロックが解除されるユーザーの所持情報。
- 多要素認証の成功イベントと失敗イベントがログに記録されます。
| - 組織のユーザーが組織のインターネット向けサービスへの認証を行うとき、多要素認証が使用されます。
- 組織のユーザーが、組織の機密データを処理、保存、または伝達するサードパーティのインターネット向けサービスへの認証を行うとき、多要素認証が使用されます。
- 組織のユーザーが、組織の非機密データを処理、保存、または伝達するサードパーティのインターネット向けサービスへの認証を行うとき、多要素認証 (利用可能な場合) が使用されます。
- 組織の非組織ユーザー (ただしオプト アウトは可能) が組織のインターネット向けサービスへの認証を行うとき、多要素認証がデフォルトで有効化されています。
- システムの特権ユーザーを認証するために多要素認証が使用されます。
- 重要なデータ リポジトリのユーザーを認証するために多要素認証が使用されます。
- 多要素認証にはフィッシング耐性があり、次のいずれかが使用されます: ユーザーの所持情報と知識情報、またはユーザーの知識情報または生体情報でロックが解除されるユーザーの所持情報。
- 多要素認証の成功イベントと失敗イベントが一元的にログに記録されます。
- イベント ログは、不正な変更や削除から保護されています。
- イベント ログは侵害の兆候がないか監視され、侵害の兆候が検出されたときには対策が実行されます。
| Confluence、Jira については、個々のアカウントで多要素認証が利用可能です。多要素認証を有効にする方法の詳細については、「2 段階認証の強制」を参照してください。
BBC は 2022 年 2 月時点でも 2FA をサポートしています。一般的に Atlassian Access と統合されており、Access を通じて提供される追加機能をサポートしています。Atlassian Access を使えば、強制的な多要素認証を組織レベルで設定できます。詳細については、「2 段階認証の強制」を参照してください。
特定の製品について:
Bitbucket は MFA ベースの SSO オプションの使用をサポートしています。詳細については、「2 段階認証の強制 | Bitbucket Cloud」を参照してください。
Halp は Slack OAuth と MS Teams 経由で SSO を使用します。Slack と MS Teams には複数の多要素認証オプションがあります。詳細については、「SAML シングル サインオン」と「Azure AD Connect: シームレスなシングル サインオン」を参照してください。
Opsgenie は MFA ベースの SSO オプションの使用をサポートしています。詳細については、「Opsgenie の SSO を設定する」を参照してください。
Statuspage は MFA ベースの SSO オプションの使用をサポートしています。
Trello は多要素認証をサポートしています。多要素認証を有効にする方法の詳細については、「Trello アカウントの 2 段階認証を有効化」を参照してください。
Jira Align は MFA ベースの SSO オプションの使用をサポートしています。 |
| 定期的なバックアップ | - 重要なデータ、ソフトウェア、および構成設定のバックアップが、事業継続要件に従って、一定の頻度と保存期間で実行され、保持されます。
- 共通の時点に復元できるよう、重要なデータ、ソフトウェア、構成設定のバックアップが同期されます。
- 重要なデータ、ソフトウェア、構成設定のバックアップが、安全で復元性のある方法で保持されます。
- 重要なデータ、ソフトウェア、および構成設定をバックアップから共通の時点に復元するプロセスが、ディザスタ リカバリ作業の一環としてテストされます。
- 権限のないアカウントは、他のアカウントのバックアップにアクセスできません。
- 権限のないアカウントは、バックアップを変更したり削除したりできません。
| - 重要なデータ、ソフトウェア、および構成設定のバックアップが、事業継続要件に従って、一定の頻度と保存期間で実行され、保持されます。
- 共通の時点に復元できるよう、重要なデータ、ソフトウェア、構成設定のバックアップが同期されます。
- 重要なデータ、ソフトウェア、構成設定のバックアップが、安全で復元性のある方法で保持されます。
- 重要なデータ、ソフトウェア、および構成設定をバックアップから共通の時点に復元するプロセスが、ディザスタ リカバリ作業の一環としてテストされます。
- 権限のないアカウントは、他のアカウントのバックアップにアクセスできません。
- 特権アカウント (バックアップ管理者アカウントを除く) は、他のアカウントのバックアップにアクセスできません。
- 権限のないアカウントは、バックアップを変更したり削除したりできません。
- 特権アカウント (バックアップ管理者アカウントを除く) は、バックアップを変更したり削除したりできません。
| - 重要なデータ、ソフトウェア、および構成設定のバックアップが、事業継続要件に従って、一定の頻度と保存期間で実行され、保持されます。
- 共通の時点に復元できるよう、重要なデータ、ソフトウェア、構成設定のバックアップが同期されます。
- 重要なデータ、ソフトウェア、構成設定のバックアップが、安全で復元性のある方法で保持されます。
- 重要なデータ、ソフトウェア、および構成設定をバックアップから共通の時点に復元するプロセスが、ディザスタ リカバリ作業の一環としてテストされます。
- 権限のないアカウントは、他のアカウントや自分のアカウントのバックアップにアクセスできません。
- 特権アカウント (バックアップ管理者アカウントを除く) は、他のアカウントや自分のアカウントのバックアップにはアクセスできません。
- 権限のないアカウントは、バックアップを変更したり削除したりできません。特権アカウント (バックアップ管理者アカウントを含む) は、保存期間中にバックアップを変更したり削除したりできません。
| アトラシアンは、さまざまな種類のデータをどのくらいの期間、保持しなければならないかを示すデータ保持および破壊基準に従っています。データは、アトラシアンのデータ セキュリティおよび情報のライフサイクル ポリシーに従って分類され、それに基づいてコントロールが実装されます。
顧客データについては、アトラシアンとの契約が終了すると、顧客チームに属するデータは本稼働中のデータベースから削除され、アトラシアンに直接アップロードされた添付ファイルはすべて 14 日以内に削除されます。チームのデータは暗号化され、バックアップに残りますが、60 日間のバックアップ保持期間を過ぎるとアトラシアンのデータ保持ポリシーに従って破棄されます。データ削除が要求されてから 60 日以内にデータベース復元が必要になった場合、運用チームは、本稼働中のシステムが完全に復元された後、可能な限り速やかにデータを再削除します。詳細については、「ストレージを追跡し、製品間でデータを移動する」をご覧ください。 |
