Close

アトラシアンにおけるソフトウェア開発時のセキュリティ


アトラシアンでは、セキュリティは開発サイクルのあらゆるフェーズに統合されており、コード、製品、顧客を確実に保護します。開発ライフサイクルのすべてのフェーズで、安全な開発を実践しています。

  • 開発はアプリケーションのセキュリティ トレーニング プログラム、およびセキュリティ チームが保持しているセキュリティのナレッジ ベースに支えられています。
  • 設計フェーズの実践には脅威モデリング、設計レビュー、セキュリティ基準の定期更新ライブラリがあり、適切なセキュリティ要件を考慮しています。
  • 開発中、最初のセキュリティ レビューとしては、必須のピア レビューがあります。これは自動での静的分析チェック (SAST) と手動でのセキュリティ テスト (どちらもリスク評価プロセスで決定した社内チームとサードパーティの専門家によるもの) に支えられています。
  • 次に、正式な運用準備と変更管理のプロセスにより、承認された変更のみが本番環境に展開されます。デプロイ後は、定期的な自動脆弱性スキャンと業界をリードするバグ報奨金プログラムを利用して、当社アプリケーションを継続的に保証します。当社は、セキュリティ スコアカード システムによって製品のセキュリティ体制を長期にわたって継続的に評価します。
ジャージー

文化 (Culture)

エンゲージメント

トレーニング

標準

クリップボード リスト

実践

チェックポイント

セキュリティ レビュー

セキュリティの向上

セキュリティの文化を築く

アトラシアンは、確固としたセキュリティ トレーニングによってチームを強化し、セキュリティの文化を構築しています。

開発者セキュリティ トレーニング

当社では、トレーニング用に社内開発のコンテンツとサードパーティ製コンテンツがあり、開発チームが安全なアプリケーションを構築するために必要なセキュリティ知識を得られるようにしています。トレーニング プログラムは継続的に監視され、プログラムの健全性を維持し、変化し続ける脅威環境に合わせて進化しています。

設計フェーズ

設計フェーズでは、脅威モニタリング、設計レビュー、当社のセキュリティ標準ライブラリを使用して、適切なセキュリティ要件を考慮しています。

脅威モデリング

プロジェクトが複雑な脅威に直面したり、セキュリティ クリティカルな機能を変更する場合などは、脅威モデリングを使用してセキュリティ リスクの理解を深めます。その際、当社のエンジニア、セキュリティ エンジニア、アーキテクト、プロダクト マネージャーの間でブレーンストーミング セッションを行い、関連する脅威を特定し、優先順位を付けます。この情報は設計プロセスに反映され、適切なコントロールが確実に実装されます。また、開発がさらに進んだ段階で、ターゲットを絞ったレビューとテストもサポートします。

当社の脅威モデリングには以下が含まれます。

  • リスクベースのアプローチを適用した、脅威モデリング実行のニーズの特定
  • サポート材料やツールを含む、脅威モデリングを実施する成熟したプロセス
  • ソフトウェア チームによる脅威モデリング実施を支援するトレーニング ビデオと資料

開発フェーズ

開発プロセス全体を通して、さまざまなセキュリティ プロセスを採用して実践し、コードがセキュリティ保護されていることを確認します。

セキュリティ レビュー

セキュリティ チームはセキュリティ レビュー プロセスを実行して、アトラシアンのソフトウェア プロジェクト全体のセキュリティを保証します。プロジェクト リスクを軽減するために、リスク評価プロセスによってどの場所のセキュリティ レビューに重点を置くか優先順位を付け、何のアクティビティが必要かを特定します。特定されたリスク レベルに応じて、保証活動には次の組み合わせが含まれます。

  • 設計レビューおよび脅威モデリング
  • コード レビューおよびセキュリティ テスト
  • サードパーティの専門研究者とコンサルタントによる独立した保証

ピア レビュー

開発中、すべてのコードはピア レビュー、グリーン ビルド (PRGB) テスト プロセスの対象になります。このプロセスでは、複数の上級開発者または開発リーダーが、本番環境へのプッシュ前にすべてのコミットを確認する必要があります。これは自動での静的分析チェック (SAST) と手動でのセキュリティ テスト (どちらもリスク評価プロセスで決定した社内チームとサードパーティの専門家によるもの) にも支えられています。開発はアプリケーションのセキュリティ トレーニング プログラム、およびセキュリティ チームが保持しているセキュリティのナレッジ ベースにも支えられています。

環境の分離

アトラシアンでは、すべての重要なサービスについて、本番環境と非本番 (開発) 環境を論理的かつ物理的に分離しています。ステージング環境は論理的に分離されていますが、物理的には分離されておらず、本番環境グレードの変更管理とアクセスのプロセスで管理されています。

また、Atlassian のセキュリティ ポリシーでは、非本番環境での本番環境データの使用を禁じています。当社には、匿名化、ハッシュ化、トークン化などの技術を使用して、個人データなどの制限のあるデータを削除または保護する方法についてのガイドラインがあります。

メンテナンス フェーズ

コードを本番環境にプッシュするには、正式な運用準備と変更管理のプロセスを経る必要があります。

システムのデプロイ後は、自動脆弱性スキャンを定期的に実行します。セキュリティ プラクティスでも説明したとおり、当社には業界をリードするバグ報奨金プログラムがあります。このプログラムでは、信頼性の高い、クラウド ソースのセキュリティ調査員を利用して、継続的にセキュリティを保証しています。

セキュリティスコアカード

アトラシアンでは、製品セキュリティ スコアカードと呼ばれる自動化された説明責任と監視のシステムを構築しており、アトラシアンのすべての製品のセキュリティ対策を評価しています。最新の脆弱性、トレーニング範囲、最新のセキュリティ インシデントなど、セキュリティに注力した幅広い基準を使用して、各製品の日常的なセキュリティ スコアすべてを提供しています。

各製品チームはこのスコアリング プロセスにより、注意が必要なセキュリティの分野を客観的に把握し、対処する必要がある既存のギャップと、これらのギャップに対処するためのアクションを特定します。また、特に当社の製品スイートは拡張し続けているため、アトラシアン セキュリティ チームはセキュリティ スコアカード プロセスにより、すべての製品のセキュリティの観点からの経時的な状況を簡単に追跡することもできます。