Close

アトラシアンの共通統制フレームワーク


多くの企業同様、アトラシアンも製品開発と運用環境に適用される国際的な統制基準を多数設けています。こうした個別の基準は重複する点が多く、内部環境への適用基準を一貫させるために、基準を見直すことにしました。こうした基準は主としてクラウドホスティングプラットフォーム環境に適用されます。そのため、この分野でお客様とお客様のデータに対して適切な保護策を講じていることを示す必要が当然あるわけですが、すべての基準がすべての環境に適用されるわけではありません。例えば、SOX (サーベンス・オクスリー) 法は財務報告用システムに主に適用されますが、クラウドサービスはせいぜい二番手にすぎません。以下、アトラシアンが評価する基準と理由について見ていきましょう。

適用される国際基準

以下は、アトラシアンが共通の内部統制フレームワークの策定を開始するために評価した基準のリストです。

基準
主宰組織
統制
分野
ISO27001 IOS (国際標準化機構) 26 要件 6 条項
ISO27002 IOS (国際標準化機構) 114 要件 14 分野
PCI-DSS PCI (Payment Card Industries) 247 要件 6 分野
CSA CCM CSA (Cloud Security Alliance) 133 統制 16 分野
SOC2 SOC (Service Organisation Controls) 116 要件 5 原則
SOX 404 (IT) 米国連邦法 22 要件 5 分野
GAPP

AICPA (米国公認会計士協会)

106 要件 10 分野

 

共通コントロールフレームワーク

上の表で示されるように、種類や性質の異なる一連の要件があり、その多くは同じ環境、システム、チームに適用されます。アトラシアンは、社内のチームがこれら基準の重複点と類似点を把握しやすくなるように、各統制要件を評価し、各基準が本質的に同じ分野を評価している重複箇所を特定しました。その結果、各基準を簡単にマッピングする共通の統制フレームワークを確立しました。

適用基準の概念モデル

要件を個別に評価していくうちに、各製品やオンラインサービスに統制をひとまとめに適用するだけでは不十分であることに気付きました。そこで、統制フレームワークの別の部分がデリバリースタックの別の部分に適用され、その部分が組織の他の部分によって引き継ぎ可能となるような構造を設計しました。

Atlassian logo on a browser

アトラシアンのアプリケーション

アプリケーション開発時のセキュリティ

データセキュリティおよび情報のライフサイクル管理

Lock with key hole

アトラシアンのセキュリティ

暗号化

脅威への対策および脆弱性の管理

セキュリティインシデント管理

Connected nodes

アトラシアンのインフラストラクチャ

アセット管理

アクセス制御

運用

通信セキュリティ

Stacked servers

Atlassian Data Center とオフィス

物理および環境面でのセキュリティ

Briefcase

Atlassian Corporate

セキュリティガバナンス

セキュリティ組織

人的セキュリティ

サプライヤーおよびサードパーティでのデータ管理

モバイルセキュリティ

事業継続性

監査/コンプライアンス

プライバシー

結論

アトラシアン共通統制フレームワークの策定は、アトラシアンのチームが「何度も評価して実行は一度だけ」という思考方法を身に付けることができた点で評価に値します。複数のチームに何度も依頼する代わりに、このフレームワークの効率性を利用して、統制を策定し適用する場所を定義することで、すべてのお客様のために当社組織の各部分が協力してセキュリティを実現する要件と方法について、会社全体が理解できるようになりました。