セキュリティインシデントに対するアトラシアンの責務
概要
アトラシアンは、他のすべてのクラウド サービス プロバイダーと同様に、システムの停止やセキュリティ インシデントが発生しないよう最善を尽くしています。しかし、セキュリティ インシデントが発生する可能性があることも認識しています。アトラシアンのセキュリティ インシデント対応プロセスにお客様がどのように関与するのか、インシデントの段階ごとにお客様にどのような責務があるのかを、お客様自身にご理解いただくことは、当社にとって重要です。アトラシアンは最悪の事態に備えて計画を立てているので、そうした事態が発生した場合でも適切に対応して、お客様をないがしろにせず守ります。
アトラシアンは、当社のサービスとインフラストラクチャに影響するあらゆるセキュリティインシデントについて、その全体を解決するよう努力しています。違反の検出から、封じ込め、情報の開示にいたるまで、すべてのことを行います。ただし、すべてのことを把握することは不可能です。場合によっては、お客様にインシデントを報告するお手伝いをしていただく、外部コンサルタントから調査や法務関係の専門スキルの提供を受ける、などということが必要になったりします。
役割
アトラシアンは、複数のセキュリティインシデント管理モデルを検証、活用して、当社のインシデント対応プロセスを包括的かつ世界に通用するものにしています。そのようなモデルから最も重要なアクティビティを抜き出し、各役割の責務を記述しました。
当事者 | 役割 | 説明 |
|---|---|---|
| アトラシアン | 役割 セキュリティインシデント対応コーディネーター | 説明 アトラシアンのセキュリティチームから各セキュリティインシデントに割り当てられるリードインシデントコーディネーターは、セキュリティ上の意思決定、プロセスの管理、タスクの割り当てを行います。 |
| アトラシアン | 役割 セキュリティインシデントアナリスト | 説明 セキュリティアナリストは、インシデントの調査と分析の大部分を実施します。規模の小さいインシデントについては、多くの場合、セキュリティインシデント対応コーディネーターがその任務を遂行します。 |
| アトラシアン | 役割 カスタマー コミュニケーション リード | 説明 各インシデントに割り当てられるカスタマーコミュニケーションリードは、インシデントについてお客様にどのように関与していただくかについて意思決定を行います。一般的に、お客様とのやり取りの大半もこの人物が担当します。 |
| アトラシアン | 役割 レッド チーム | 説明 アトラシアンのレッドチームは、現実世界のサイバー攻撃者のふりをして、当社自身のインシデント検出および対応能力について、改善点を評価および特定するために設計された定義済みのテストシナリオを実行します。 |
| アトラシアン | 役割 支援アドバイザー | 説明 アトラシアンのセキュリティインシデント管理チームは、社内のさまざまな専門家の意見を求めます (法務、プライバシー、リスク、人材など)。このようなアドバイザーは、各自が詳しい知識を持つ分野に関係する問題について、専門家として助言を提供します。 |
| セキュリティコンサルタント | 役割 コンサルタント | 説明 アトラシアンは、インシデントが発生した場合、専門のサイバーセキュリティコンサルタントのサービスを受ける態勢を整えています。一般的に、このようなコンサルタントは、リソースが不足している場合、専門スキルのある社内スタッフを確保できない場合、およびインシデントに関する第三者の助言と検証が必要な場合に、追加リソースとして利用されます。 |
| カスタマー | 役割 報告者 | 説明 お客様は、アトラシアンの資産に対する不正なアクセスまたは悪意のある行動を報告するよう奨励されます。 |
| カスタマー | 役割 セキュリティ担当者 | 説明 お客様に影響のあるインシデントが確認された場合は、お客様のセキュリティ担当者に報告されます。セキュリティ担当者は通常、アカウントの技術連絡先の方が務めますが、お客様側に専任のセキュリティチームが存在する場合は、変更されることがあります。セキュリティ担当者は、アトラシアンの資産の範囲外でインシデントを適切に管理する責務があります。 |
責務
アトラシアンでは、セキュリティインシデントの管理責務を RACI モデルを使って規定しています。アトラシアンは規定された責務を遂行するためにあらゆる努力を尽くしますが、アトラシアンカスタマー契約に基づき、お客様のデータのセキュリティに関しては最終的にお客様が責任を負います。
- 実行責任者 (Responsible) - 当事者は、タスクを遂行するための作業を実施します。
- 説明責任者 (Accountable) - 当事者は、アクティビティの適切で完全な遂行について最終的に説明する義務を負います。
- 協業先 (Consulted) - 当事者は、意見を求められた場合に対応します。これは、双方向のやり取りです。
- 報告先 (Informed) - 当事者は、タスクの進捗に関する最新の報告を常に受けます。これは、一方向のみのやり取りです。
アクティビティ | アトラシアン | カスタマー |
|---|---|---|
| 検出 | アトラシアン 実行責任者 | Customer
|
| トリアージ | アトラシアン 実行責任者 | Customer
|
| 調査 | アトラシアン 実行責任者 | Customer
|
| 封じ込め | アトラシアン 実行責任者 | Customer
|
| 撲滅 | アトラシアン 実行責任者 | カスタマー 報告先 |
| リカバリ | アトラシアン 実行責任者 | カスタマー 報告先 |
| 通知 (カスタマーに対する) | アトラシアン 実行責任者 | カスタマー 報告先 |
| 通知 (アトラシアンに対する) | アトラシアン 報告先 | カスタマー 実行責任者 |
| 改善 | アトラシアン 実行責任者 | Customer
|
| テスト | アトラシアン 実行責任者 | Customer
|
| 外部報告 (法執行機関およびコンプライアンス) | アトラシアン 説明責任者、実行責任者 | カスタマー 報告先 |
| 集計データ公開 | アトラシアン 実行責任者 | カスタマー 報告先 |