アトラシアンの共通統制フレームワーク
多くの企業同様、アトラシアンも製品開発と運用環境に適用される国際的な統制基準を多数設けています。こうした個別の基準は重複する点が多く、内部環境への適用基準を一貫させるために、基準を見直すことにしました。こうした基準は主としてクラウドホスティングプラットフォーム環境に適用されます。そのため、この分野でお客様とお客様のデータに対して適切な保護策を講じていることを示す必要が当然あるわけですが、すべての基準がすべての環境に適用されるわけではありません。例えば、SOX (サーベンス・オクスリー) 法は財務報告用システムに主に適用されますが、クラウドサービスはせいぜい二番手にすぎません。以下、アトラシアンが評価する基準と理由について見ていきましょう。
適用される国際基準
以下は、アトラシアンが共通の内部統制フレームワークの策定を開始するために評価した基準のリストです。
基準 | 主宰組織 | 統制 | 分野 |
| ISO27001 | IOS (国際標準化機構) | 26 要件 | 6 条項 |
| ISO27002 | IOS (国際標準化機構) | 114 要件 | 14 分野 |
| PCI-DSS | PCI (Payment Card Industries) | 247 要件 | 6 分野 |
| CSA CCM | CSA (Cloud Security Alliance) | 133 統制 | 16 分野 |
| SOC 2 | SOC (Service Organisation Controls) | 116 要件 | 5 原則 |
| SOX 404 (IT) | 米国連邦法 | 22 要件 | 5 分野 |
| GAPP | AICPA (米国公認会計士協会) | 106 要件 | 10 分野 |
共通コントロールフレームワーク
上の表で示されるように、種類や性質の異なる一連の要件があり、その多くは同じ環境、システム、チームに適用されます。アトラシアンは、社内のチームがこれら基準の重複点と類似点を把握しやすくなるように、各統制要件を評価し、各基準が本質的に同じ分野を評価している重複箇所を特定しました。その結果、各基準を簡単にマッピングする共通の統制フレームワークを確立しました。
適用基準の概念モデル
要件を個別に評価していくうちに、各製品やオンラインサービスに統制をひとまとめに適用するだけでは不十分であることに気付きました。そこで、統制フレームワークの別の部分がデリバリースタックの別の部分に適用され、その部分が組織の他の部分によって引き継ぎ可能となるような構造を設計しました。
アトラシアンのアプリケーション
アプリケーション開発時のセキュリティ
データセキュリティおよび情報のライフサイクル管理
アトラシアンのセキュリティ
暗号化
脅威への対策および脆弱性の管理
セキュリティインシデント管理
アトラシアンのインフラストラクチャ
アセット管理
アクセス制御
運用
通信セキュリティ
Atlassian Data Center とオフィス
物理および環境面でのセキュリティ
Atlassian Corporate
セキュリティガバナンス
セキュリティ組織
人的セキュリティ
サプライヤーおよびサードパーティでのデータ管理
モバイルセキュリティ
事業継続性
監査/コンプライアンス
プライバシー
結論
アトラシアン共通統制フレームワークの策定は、アトラシアンのチームが「何度も評価して実行は一度だけ」という思考方法を身に付けることができた点で評価に値します。複数のチームに何度も依頼する代わりに、このフレームワークの効率性を利用して、統制を策定し適用する場所を定義することで、すべてのお客様のために当社組織の各部分が協力してセキュリティを実現する要件と方法について、会社全体が理解できるようになりました。