社外セキュリティテストに対する当社のアプローチ
セキュリティ テスト ハブへようこそ。当社の製品の安全性を確保し、大切なお客様を保護するためにアトラシアンが実施しているセキュリティ テストの取り組みに関する包括的な情報を提供しています。
何かお探しですか? 手早く検索するには、以下のリンクをご使用ください。アトラシアンの外部セキュリティ テスト プログラムについては、このまま読み進めて詳細をご確認ください。
アトラシアンは、製品の外部的なセキュリティ保証に対して多面的なアプローチを取っています。当社は、クラウドソース形式のバグ報奨金プログラムを活用した常時有効かつ常時テスト形式のモデルを採用しています。これに加えて、外部のセキュリティ コンサルタントと社内のセキュリティ テスト チームによる定期的なホワイト ボックス ペネトレーション テストを実施しています。
当社の理念とアプローチ
アトラシアンは、独自の価値観で知られており、その価値観はセキュリティ テストへのアプローチを含め、当社の行動のすべてに反映されています。実際、当社の価値観は下記の理念やアプローチにつながっています。
- バグの発生は、開発プロセスにおいて避けられません。問題はバグがあるかどうかではなく、どれくらい効果的かつ迅速にそれらを見つけ、対応するかです。これは、当社がバグを容認している、またはバグの発生頻度や重大度を低減するための革新的な方法を模索していないという意味ではありません。しかし、ソフトウェアのバグの存在を否定することは実践的なアプローチではありません。
- 当社は業界標準を支持して活用しています。用語やアプローチを標準化することで情報を漏れなくカバーし、お客様が私たちの活動の内容と理由を把握できるようにします。たとえば、共通脆弱性評価システム (CVSS) を使用して脆弱性を標準的な基準でランク付けすることで、特定の脆弱性の重大度をお客様に明確に伝えるようにしています。当社はまた、ISO 27001 およびクラウド セキュリティ アライアンス (CSA) で規定されている脆弱性管理プロセスを順守しています。
- サードパーティのセキュリティ調査員とペネトレーション テスターは、当社チームを補完する貴重な存在です。アトラシアンの製品に脆弱性があった場合、できるだけ早くそれを見つけて修正することは、当社とお客様双方にとってメリットになります。
- アトラシアンは毎年、独立したサードパーティのペネトレーション テスターに依頼して、製品におけるセキュリティの脆弱性を発見し、専門性の高いスキルセットを必要とする業務において社内のセキュリティ チームを補完しています。
- また、独自のバグ報奨金プログラムを運用して社外調査員が報奨金を受け取れるようにし、自社製品の脆弱性の特定を推奨しています。社外セキュリティ調査員の助けにより、当社は従来のアプローチを大きく超えてチームを拡張できるのです。
- アトラシアンはセキュリティ テスト プログラムについてオープンさと透明性を保っており、製品に対して実行されたペネトレーション テストの評価レポート (LoA) と以下のバグ報奨金プログラムで見つかったバグに関する統計を公開しています。
継続的なセキュリティ保証
ペネトレーションテスト
当社は専門のセキュリティ サービス会社に製品や他のシステムのペネトレーション テストを依頼しています。これに加えて、社内のセキュリティ テスト チームがサードパーティのコンサルタントと協力して、優先度の高いプロジェクトに技術的なセキュリティ保証を提供しています。例えば、新製品の機能 (例: Confluence ホワイトボード)、新しいインフラストラクチャの設定 (例: FedRAMP 環境)、またはアーキテクチャの刷新 (例: 新しい Forge ランタイム) があります。
このような場合、当社のペネトレーション テストに対するアプローチは、非常に焦点を絞ったものとなります。一般に、テストは次のようになります。
- ホワイト ボックス - テスターは、当社の製品エンジニアからテストに役立つ設計ドキュメントや概要書の提供を受け、テストを裏付けるためにテスト中に生じた疑問点をエンジニアに問い合わせる手段を持っています。
- コード支援 - テスターには、テスト中の予期せぬシステム動作を診断し、潜在的なターゲットを特定するため、関連するコードベースへのフルアクセス権限が与えられます。
- 脅威ベース - 特定の脅威のシナリオに焦点を当ててテストを行います (セキュリティ侵害が発生したインスタンスが存在すると想定し、それを開始点としてテストを実施するなど)。
- 定評のある手法を使用 - テスターは、オープン Web アプリケーション セキュリティ プロジェクト (OWASP) など、業界で定評のある手法をベースに、アトラシアンに合わせてカスタマイズしたさまざまなホワイト ボックス テスト手法を使用します。これにより、アトラシアンのインフラストラクチャとテクノロジーに特有の脅威が確実にテストで考慮されます。
このページの下部で、ペネトレーション テストのパートナーから取得した評価レポート (LoA) を外部利用向けに公開しています。これらの評価実施時にテスターには幅広い内部情報が提供されているため、レポートの全文は公開していません。このようなシステムや製品の大部分は、公開バグ報奨金プログラムの対象となり、外部による保証が継続的に提供されます。これらの評価で明らかになったことはすべて、当社の公開されているセキュリティの脆弱性に関する SLO に従って、トリアージされ、修正されます。
バグ報奨金
当社のバグ報奨金プログラムは、Bugcrowd によってホストされています。このプログラムにより、当社製品は常にセキュリティの脆弱性がテストされています。
私たちは、バグ報奨金プログラムに参加している大勢の独立したセキュリティ調査員により、社外セキュリティ テスト プロセスがより効果的になっていると確信しています。その理由は、次のとおりです。
- バグ報奨金プログラムは常時稼働しています。リリースが頻繁に行われる真にアジャイルな開発環境では、テストの継続的な実施は必須事項です。
- バグ報奨金プログラムには、潜在的な調査員が 6 万人以上存在します。これにより、調査員は高い総合能力を発揮して技術的な保証を提供できます。
- バグ報奨金プログラムの調査員は、垂直方向 (特定のバグ タイプ) および水平方向 (特定の報奨金) に対応した特殊なツールとプロセスを構築しています。こうした特殊化は、目立たないものの重大な脆弱性を特定するチャンスを最大限に高めます。
当社の製品または環境の数は 25 を超え、Data Center 製品、モバイル・アプリ、クラウド製品など多岐にわたります。これらのすべてがバグ報奨金プログラムの対象となります。報告された脆弱性の数、当社の平均対応時間、および平均支払金額の詳細はすべて、Bugcrowd サイトに掲載されています。現在、このプログラムには 2,800 人以上の調査員が登録されています。
アトラシアンがバグ報奨金プログラムで特定しようとする脆弱性には、Open Web Application Security Project (OWASP) や Web Application Security Consortium (WASC) の脅威リストに掲載される一般的なタイプも含まれます。
オープンさと透明性の向上を図るイニシアチブの一環である当社のバグ報奨金プログラムページには誰でも参加できます。プログラムに登録して、挑戦してください。
Marketplace アプリ
Marketplace アプリは、脆弱性開示プログラムやアトラシアンのアプリ バグ報奨金プログラムなど、アトラシアンがホストする別のバグ報奨金プログラムの対象となります。
お客様主導のテスト
クラウド製品の当社の利用規約に従い、お客様主導でのテストが認められています。情報開示の取り組みの一環として、引き続きバグ報奨金プログラムからの統計情報を定期的に公開いたします。
アトラシアンは、当社のバグ報奨金プログラムが当社製品およびサービスのセキュリティを評価する、より効率的で経済的な方法であると考えていますが、お客様が独自にセキュリティをテストする必要性も理解しています。お客様は、セキュリティ評価 (ペン テストや脆弱性評価) をご自身で実施できますが、安全性を保つためにいくつかのルールに従っていただく必要があります。
脆弱性レポート
検出した課題をアトラシアンに報告する際は、脆弱性報告に関する指示をご参照ください。
アトラシアンの価値観の 1 つは、「オープンな企業文化、デタラメは無し」であり、脆弱性開示はその価値観の一部であると考えています。私たちは、関連するサービスレベル目標 (SLO) 内でセキュリティの脆弱性を修正することを目指しています。課題が解決され、本番環境でリリースされた後に、当社のバグ報奨金プログラムを通じて行われた開示リクエストを受け付けます。ただし、レポートに顧客データが含まれている場合、リクエストは却下されます。当社のバグ報奨金プログラム以外での開示を予定されている場合は、当社に妥当な通知を行い、関連する SLO を通過するまでお待ちいただくようお願いいたします。
セキュリティテストプログラムからの除外
当社は、自ら行うテストに関してオープンさと透明性を保っているのと同様に、当社自身で行わない、または現在サポートしていないテストについても、オープンさと透明性を保っています。列挙や情報収集など、リスクの低いタイプの脆弱性は、一般的に重大なリスクとは見なされません。
的確に測定する
当社のセキュリティ バグ修正ポリシーでは、重大度や製品に基づいて脆弱性を修正するためのサービスレベル目標 (SLO) の期間を指定しています。脆弱性の評価に共通脆弱性評価システムを使用することで、脆弱性の重大度をお客様に伝えやすくします。
概要
アトラシアンのクラウドソース形式のバグ報奨金プログラム、外部のセキュリティ コンサルタント、社内のセキュリティ テスト チームによって形成される包括的で成熟した透明なモデルによって、製品とプラットフォームは常にテストされ、安全性が確保され、お客様に継続的な保証が提供されます。
詳細情報
このページではさまざまなドキュメントやリソースを案内してきました。セキュリティやテストに対する当社のアプローチについての詳細は、以下を参照してください。
最新バグ報奨金レポートのダウンロード
以下のレポート内で報告されたセキュリティの脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡されます。バグ報奨金プログラムを通して見つかった問題はすべて当社の公開されているセキュリティの脆弱性に関する SLO に従ってトリアージ、修正されます。
- アトラシアンの最新バグ報奨金レポートのダウンロード (2024 年 7 月)
- Halp の最新バグ報奨金レポートのダウンロード (2024 年 7 月)
- Jira Align の最新バグ報奨金レポートのダウンロード (2024 年 7 月)
- Opsgenie の最新バグ報奨金レポートのダウンロード (2024 年 7 月)
- Statuspage の最新バグ報奨金レポートのダウンロード (2024 年 7 月)
- Trello の最新バグ報奨金レポートのダウンロード (2024 年 7 月)
年次バグ報奨金レポートのダウンロード
四半期ごとのバグ報奨金の更新に加えて、バグ報奨金プログラムに関する年次レポートも公開しています。本レポートでは、プログラムの進捗をお客様にご理解いただけるようにし、発見された脆弱性の種類についての詳細情報をご提供しています。
- アトラシアンの 23 年度バグ報奨金レポートのダウンロード(2022 年 7 月から 2023 年 6 月)
評価レポート (Letter of Assessment、LoA) のダウンロード
以下のレポート内で報告されたセキュリティの脆弱性は、ペネトレーション テストのレポート プロセスを通じてアトラシアン内部の Jira で追跡されます。これらの評価を通して見つかった問題はすべて当社の公開されているセキュリティの脆弱性に関する SLO に従ってトリアージ、修正されます。
- Bitbucket Pipelines の評価レポート (2022 年 5 月)
- Confluence と Jira の Atlassian Log4j Library に対する評価レポート (2022 年 12 月)
- Statuspage Cloud の評価レポート (2022 年 12 月)
- Atlas の評価レポート (2023 年 4 月)
- Atlassian Assist の評価レポート (2023 年 7 月)
- Atlassian Guard の評価レポート (Web アプリ) (2023 年 9 月)
- Jira Service Management Data Center の評価レポート(2023 年 12 月)
- Confluence Cloud の評価レポート(2023 年 12 月)
- Trello の評価レポート(2024 年 1 月)
- Bitbucket Cloud の評価レポート(2024 年 2 月)
- Jira Work Management の評価レポート(2024 年 2 月)
- Confluence Data Center の評価レポート(2024 年 2 月)
- Jira Cloud Platform の評価レポート (2024 年 3 月)
- アトラシアン外部および内部の敵対者シミュレーション評価のための評価レポート (2024 年 4 月)
- Bamboo Server および Data Center の評価レポート (2024 年 5 月)
- Jira Product Discovery の評価レポート (2024 年 5 月)
- Atlassian Analytics (Web アプリ) の評価レポート (2024 年 6 月)
- Atlassian Guard の評価レポート (2024 年 6 月)
- Loom の評価レポート (2024 年 6 月)
- Jira Software Data Center の評価レポート (2024 年 6 月)
- Fisheye と Crucible Server (Web アプリ) の評価レポート (2024 年 7 月)
- Compass (Web アプリ) の評価レポート (2024 年 7 月)
- Crowd Server および Data Center の評価レポート (2024 年 7 月)
- SourceTree の評価レポート (2024 年 9 月)
- Bitbucket Server と DC の評価レポート (2024 年 9 月)
- Forge の評価レポート (2024 年 9 月)
- Jira Service Management、Opsgenie Cloud、AirTrack の評価レポート (2024 年 9 月)
- Jira Align の評価レポート (2024 年 9 月)