アトラシアンのセキュリティ & テクノロジーポリシー
アトラシアンでは ISMP (情報セキュリティ管理プログラム) を確立して、信頼とセキュリティ プログラムを維持することを目的とした原則とルールを定めています。これを実現するために継続的に運用リスクを評価して、アトラシアンの環境におけるセキュリティ、機密性、整合性、可用性を改善しています。さらに、セキュリティ ポリシーを定期的に確認して更新し、アトラシアン環境のアプリケーションとネットワークのセキュリティ テストを実施すると同時に、セキュリティ ポリシーの順守について監視しています。
以下は、アトラシアンが内部環境とクラウド環境に対して定めている、セキュリティとテクノロジーの主なポリシーのリストとその簡単な説明です。
セキュリティ ポリシー、リスク、ガバナンス
このポリシーでは、アトラシアンのセキュリティ管理の基本原則とガイドラインを定めています。
基本原則には次が含まれます。
- アトラシアンは業務上の必要性に基づいてアトラシアンの価値観に沿い、企業情報と顧客情報へのアクセスを管理します。
- アトラシアンは、このポリシーに従ってセキュリティの実装を管理する目的で一連の規制を実施します。
- アトラシアンは定期的に、リスクとそのリスクを管理することを目的とした規制の効果を評価します。
- アトラシアンは適用される個人情報保護法とクラウド顧客の契約条件への準拠を達成すべく、継続的にサポートしてその実現に向けて尽力します。
アクセス管理
このポリシーでは、アクセス管理の基本原則とガイドラインを定めています。
基本原則には次が含まれます。
- アトラシアンは、システムへのアクセス管理方法を定めたアクセス管理ポリシーを保持します。
- アクセスを管理する目的でユーザー アカウントを使用します。
- 全ユーザーは、自身が使用するシステムへのアクセスを管理する責任を負います。
- 不適切なアクセスがないか、システムを記録して監視します。
- リモート アクセスは多要素認証経由で有効化されます。
- 職務は必要に応じて分離します。
アセット管理
このポリシーでは、アトラシアンの IT アセットの管理およびアセットの扱い方に関する一般原則とガイドラインを定めています。
アトラシアンにおけるアセット管理の基本原則は次のとおりです。
- アトラシアンがアセットのインベントリを保持します。
- アセット管理データベースで管理されるアセットには、所有者を特定します。
- 許容可能なアセットの使用は、特定されて文書化されたうえで実行されます。
- 従業員が解雇された場合、アセットはアトラシアンに返却されます。
事業継続とディザスタリカバリ
このポリシーでは、プロセス、システム、サービスの回復性、可用性、継続性に対するアトラシアンの姿勢を明確にする基本原則を定め、事業継続、ディザスタ リカバリ、危機管理プロセスにかかわる要件を定義します。
基本原則には次が含まれます。
- ミッション クリティカルなシステム、プロセス、またはサービスの所有者は、災害時には中断の許容度に従って、適切な事業継続やディザスタ リカバリを確実に実行します。
- 事業継続計画には、コア機能 (最低限の機能) を提供する適切な「最後の砦」となる環境と、その環境がない場合の計画を含めます。また、通常業務再開までの検討事項も必ず含める必要があります。
- 対応する事業継続計画がなくとも本番環境にデプロイできるミッション クリティカルなシステム、プロセス、機能はありません。
- 計画は四半期ごとに必ずテストし、課題を特定して対処します。
- RTO (最大復旧時間) はイベントの検知からコア機能が稼働するまでを指します。サービスを階層に分けて、階層ごとに最大 RTO と RPO を定義します。
通信セキュリティ
このポリシーでは、アトラシアンのコミュニケーションとネットワークのセキュリティを管理するための一般原則とガイドラインを定めています。
基本原則には次が含まれます。
- ネットワーク アクセスを制御します。
- ネットワーク アクセスを供給して、全ユーザーはポリシー (電子システムとコミュニケーション) を周知している必要があります。
- ネットワークは重要度に基づいて分離します。
暗号技術と暗号化
このポリシーでは、アトラシアンが適切な暗号化プロセスを導入して重要なデータの機密性と整合性を確保するための一般原則を定めています。機密情報の保存やインターネットなどのパブリック ネットワークを含むネットワーク経由で機密情報を送信する行為に伴うリスクを軽減するために、アトラシアンでは暗号化メカニズムを導入しています。企業の機密情報への不正アクセスや改ざんのリスクを軽減するために、信頼性が高く安全で効果的に機能することが証明されている暗号化技術の使用を促進することが、この規格の重要な目的です。
基本原則には次が含まれます。
- 機密情報を適切に暗号化します。
- ふさわしい強度の暗号化方法を情報分類ごとに選択します。
- 暗号化キーを厳重に管理します。
- 承認済みの暗号化アルゴリズムとソフトウェア モジュールのみを使用します。
データの分類
データの分類評価を設定して定義するこのポリシーは、各分類評価に含まれるデータの取り扱いに関する説明、例、要件、ガイドラインを含みます。この分類評価は、アトラシアン、その顧客、パートナー、パートナーに対するデータの法的要件、機密性、価値、重要度に基づいています。
基本原則には次が含まれます。
- 法的必要条件、価値、アトラシアンにとっての重要度の観点からデータを分類する必要があります。
- データは適切な取り扱いを確保するために、識別してラベル付けし、データ フロー マップで最新の状態に保つ必要があります。
- 処分するメディアのデータを安全な方法で削除する必要があります。
- 企業情報を内蔵するメディアを、不正なアクセス、誤用、移動中の破損から保護する必要があります。
モバイルデバイス & 私有デバイスの業務利用 (BYOD)
このポリシーでは、アトラシアンのネットワークとシステムを用いて私有デバイスを使用するための一般原則とガイドラインを定めています。
基本原則には次が含まれます。
- この私有デバイスの業務利用ポリシー (ここでは BYOD ポリシーまたはポリシーと呼びます) の背景にある理念は、BYOD の使用法に関して可能な限り柔軟でおしつけがましくないものとしています。アトラシアン社員の自主性を保ちつつ、顧客データと企業情報を確実に保護できるようにします。
- そのため、設定や心構えの確認とデバイスのコンプライアンスの監視に重点が置かれています。規制の執行というよりは、必要なセキュリティ上の目的を無理なく達成できるように最小限の制限を適用した原則です。規制を適用する必要がある場合は、デバイスからアクセスできるデータの内容に応じて選択的に適用します。
- このポリシーは現状だけでなく今後の必要性を予想して作成されています。すぐには適用されない可能性のある項目も含まれています。
オペレーション
このポリシーでは、アトラシアンでのテクノロジー運用実務向け一般原則とガイドラインを定めています。
基本原則には次が含まれます。
- 業務手順は文書化して運用する必要があります。
- バックアップを定期的に取ってテストする必要があります。
- 変更点は複数人で管理して評価する必要があります。
- 能力を評価して、その能力を考慮して準備する必要があります。
- ソフトウェアのインストールを制限して不要なソフトウェアは禁止する必要があります。
- ログを必ず設定して中央のログ記録用プラットフォームに転送する必要があります。
- 運用上のすべてのインシデントは標準の HOT プロセスに沿って管理する必要があります。
人的セキュリティ
このポリシーでは、アトラシアンの人的セキュリティの基本原則とガイドラインを定めています。
基本原則には次が含まれます。
- セキュリティ上の責務は、業務定義書に記載します。
- 全従業員とユーザーは定期的にセキュリティ意識向上トレーニングを視聴します。
- 全従業員と請負業者には、セキュリティ インシデントや脆弱性を報告する義務があります。
- 従業員の退職時には、妥当な期限内にアセットへのアクセスとアセットを返却します。
物理および環境面でのセキュリティ
このポリシーでは、アトラシアンの建物、オフィス、機器の安全を保つための一般原則とガイドラインを定めています。
基本原則には次が含まれます。
- 業務を行うための安全な場所を提供します。
- アトラシアンの IT 設備の安全性を、設備の所在地に関係なく確保します。
- アトラシアンの建物とオフィスへの立ち入りを制限します。
プライバシー
このポリシーでは、アトラシアンが適切なセキュリティ対策を導入してデータのプライバシーを保護するための原則を定めています。
アトラシアンでは、暗号化とその他の PET (プライバシー強化技術) は強力なツールであるが、技術の選択と実装には慎重な配慮が必要であることを認識しています。アトラシアンはプライバシーに対するリスクベースのアプローチを取っています。このアプローチではデータ処理の性質、範囲、コンテキスト、目的だけでなく、人の権利と自由に対するリスクの可能性と重大度を考慮しています。
基本原則には次が含まれます。
- PET はリスクベースのアプローチに従って選択する必要があります。
- PET はアトラシアンがプライバシー権に関する規制要件を満たすことを妨げてはなりません。
- PET はデータを処理するシステムとサービスのセキュリティを損なってはなりません。
- PET は侵害が発生した場合に個人データへのアクセスと可用性を回復する能力を損なうものであってはなりません。
- PET は定期的なテスト、評価、有効性の評価を可能にする必要があります。
セキュリティインシデント管理
このポリシーでは、アトラシアンがセキュリティ インシデントの発生または疑いに対して適切に対応するための一般原則とガイドラインを定めています。情報または情報システムの秘密保持、完全性、可用性を侵害する可能性があるインシデントについて、アトラシアンは組織内で監視する責任を負います。インシデントの兆候はすべて報告して評価する必要があります。このポリシーではアトラシアン セキュリティがアトラシアンとその顧客に対する期間と悪影響を制限して、インシデントから学べるように実装されています。
基本原則には次が含まれます。
- セキュリティ インシデントを予想して、インシデント対応への準備をします。
- インシデントの拡大を防いで完全に除去し、インシデントから回復させます。
- セキュリティ インシデントが発生した際に確実に検知して分析できるように、アトラシアンの人材、プロセス、テクノロジーに投資します。
- セキュリティ インシデント発生時の個人/顧客情報の保護を最優先します。
- セキュリティ インシデント対応プロセスを定期的に実施します。
- セキュリティ インシデント管理機能から学び、改善します。
- 重要なセキュリティ インシデントをアトラシアン リーダーシップ グループに伝達します。
サプライヤー管理
このポリシーでは、サプライヤーの選定、関与、監視、オフボーディングのための一般原則とガイドラインを定めています。
基本原則は次のとおりです。
- アトラシアンは明確な目的を持ってベンダー選定プロセスを管理します。
- すべてのサプライヤーは、アトラシアンのサプライヤー リスク評価とデュー デリジェンス プロセスに従ってオンボーディングされて管理される必要があります。
- ベンダー契約を希望するビジネス所有者は、アトラシアンの標準の契約を使用する必要があります。
- アトラシアンはベンダーとの関係性がアトラシアンの基準を必ず満たすように監視します。
- アトラシアンはいずれのベンダーとも、サービスが不要になった時点で契約を打ち切る権利を留保します。
システムの取得・開発・保守
このポリシーでは、社内とお客様の両方に向けたアプリケーション開発、実稼働前環境の管理方法に対する制限の設定、すべてのアトラシアン製品とサービスに対するオープン ソース ソフトウェアの統合に関する一般原則とガイドラインを定めています。
基本原則には次が含まれます。
- いかなる環境やアプリケーションの開発、または取得にも、セキュリティ要件が含まれています。
- 製品開発は、セキュリティ チェックの統合を含めたアトラシアンの社内品質保証プロセスに沿って行います。
- データ セキュリティ情報ライフサイクル管理ポリシーに従って制限されている本番環境のデータは、運用前環境で使用される際に匿名化またはマスクされます。
- オープン ソースのフレームワークやライブラリのすべての統合は、アトラシアン製品におけるサード パーティ コードの使用に関する社内標準に従います。
脅威への対策および脆弱性の管理
このポリシーでは、アトラシアンの環境と製品の両方を対象にセキュリティ上の脅威と脆弱性を管理するための一般原則とガイドラインを定めています。
基本原則には次が含まれます。
- アトラシアン製品やサービスにおけるセキュリティの脆弱性に更新プログラム、パッチ、解決のヒントを提供して対応します。
- セキュリティの脅威と脆弱性に、自社またはホストの両環境で対応します。
- 環境におけるマルウェアの脅威に対応します。
監査 & コンプライアンス管理
このポリシーでは、アトラシアンにおける統制遵守の管理と監査に関する基本原則を定めています。
基本原則には次が含まれます。
- リスクを適切に管理して関連するポリシー、規制、外部の業界標準を確実に順守するための制御を実施します。
- 制御の適切性と運用の有効性を検証する手段として監査を活用します。
- 適切な監査を計画して実施し、アトラシアンの統制環境の信頼性を高めて社内外の認定を受けます。
- アトラシアンは制御の外部検証を求めます。
- アトラシアンは確固とした視点を、関連する制御の目的、制御アクティビティ、テストのすべてに対して持ち続けます。