APRA Prudential Standard CPS 234 アウトソーシング ガイダンス

15. APRA の規制対象組織は、情報資産に対する脅威の規模と程度に見合った情報セキュリティ能力を維持し、健全な企業運営を続けなければならない。

これはお客様の考慮事項です。詳しくは、アトラシアンのセキュリティ機能の 3 行目をご参照ください。

16. 情報資産が関連企業またはサードパーティによって管理されている場合、APRA 規制対象組織は、それらの資産に影響を及ぼす情報セキュリティ インシデントがもたらす潜在的な影響に見合ったものかどうかについて、当該企業またはサードパーティの情報セキュリティ能力を評価しなければならない。

APRA の規制対象組織にクラウド製品を提供する会社として、アトラシアンは直面する脅威の規模と程度に見合った強固な情報セキュリティ プログラムを維持しています。アトラシアンは、アトラシアンの情報セキュリティ機能の設計、実装、運用について詳しく説明するいくつかのリソースを公開しています。最終的には、この情報を参考にアトラシアンの製品が要件を満たしているかどうかを評価するのは、APRA 規制対象組織の責任です。

• コンプライアンスのリソース センター — アトラシアンのセキュリティ、サードパーティの監査と認証に関する詳細情報を提供するリソースで、お客様のコンプライアンス ニーズを実現するためにすべて利用できます。
• Atlassian Trust Center — アトラシアンがお客様を製品やサービスのセキュリティ、信頼性、プライバシー、コンプライアンスに関する最新情報を提供する方法を示します。
• セキュリティ プラクティス ページ — セキュリティへの効果的なアプローチは、まず社内の体制を整えることです。このリソースには、その方法が詳しく記載されています。
  • ネットワーク アーキテクチャへのセキュリティの組み込み
  • ゼロ トラスト、つまり「決して信頼せず、常に確認すること」によるネットワークへのアクセスの保護
  • アトラシアンのシステムやサービスへのアクセスの保護
  • エンドポイント デバイスの保護
  • 安全な設計およびテスト プロセスの構築

• 独自のバグ報奨金プログラムを運用して社外調査員が報奨金を受け取れるようにし、自社製品の脆弱性の特定を推奨しています。オープンさと透明性の向上を図るイニシアチブの一環として、アトラシアンのバグ報奨金プログラム ページには誰でも参加できます。プログラムに登録して、挑戦してみてください。
• お客様に脆弱性の報告を促し、セキュリティ バグ修正ポリシーで説明されている関連するサービス レベル目標 (SLO) の範囲内にセキュリティの脆弱性を修正することを目標としています。
• 定期的に専門のセキュリティ コンサルティング会社に依頼して、リスクの高い製品やインフラストラクチャのペネトレーション テストを実施し、ペネトレーション テスト パートナーからの評価レポートを「外部セキュリティ テストへのアプローチ」に掲載しています。
• アトラシアンの製品をすべてのお客様に対して安全に保つために設計された特定の規則に従って、お客様がセキュリティ評価 (ペネトレーション テスト、脆弱性評価) を実施できるようにしています。

17. APRA 規制対象組織は、情報資産やビジネス環境の変化に起因するものを含め、脆弱性や脅威の変化に対する情報セキュリティ能力を積極的に維持しなければならない。

APRA 規制対象組織は、3 行目のリソースと情報を参考に、アトラシアンの情報セキュリティ能力がアトラシアンの製品やプラットフォームに保存されている情報資産に見合っているかどうかを評価できます。

18. APRA 規制対象組織は、脆弱性や脅威に晒されるリスクに見合った情報セキュリティ ポリシーの枠組みを維持しなければならない。

これはお客様の考慮事項です。これに関して、アトラシアンでは ISO27001 標準とクラウド セキュリティ アライアンス (CSA) の Cloud Controls Matrix (CCM) の両方に含まれる領域をカバーする情報セキュリティ ポリシーの枠組みを文書化しました。

アトラシアンのポリシー管理プログラム (PMP) には、オーナーシップ、可用性、レビュー サイクルに関する義務が含まれ、アトラシアンの一般的な目標が記載されています。ポリシーは少なくとも年に 1 回見直され、経営幹部の承認を受けます。PMP の詳細については、Atlassian Trust Management System (ATMS) をご覧ください。

また、アトラシアンのセキュリティ & テクノロジー ポリシーでは、主要なセキュリティ ポリシーとテクノロジー ポリシーの抜粋と概要を公開しています。

19. APRA 規制対象組織の情報セキュリティ ポリシーの枠組みは、情報セキュリティを維持する義務があるすべての当事者の責任に関する指示を提供しなければならない。

アトラシアンの人的セキュリティ ポリシーでは、アトラシアンでの人的セキュリティの基本原則とガイドラインを定めています。このポリシーでは、セキュリティ上の責務は業務定義書に記載されていることが強調されています。さらに、アトラシアンの一連のセキュリティ ポリシーに含まれている各ポリシーでは、特定の職務またはチームに適用される責任について詳しく規定しています。

「アトラシアン クラウド セキュリティの共同責任」ホワイト ペーパーでは、お客様の責任と、データを保護する方法を決定する際に行わなければならない決定について説明しています。

20. APRA 規制対象組織は、関連企業やサードパーティが管理するものを含む情報資産を、重要度と機密性によって分類しなければならない。この分類は、情報資産に影響を及ぼす情報セキュリティ インシデントが APRA 規制対象組織、または預金者、保険契約者、受益者、もしくは他の顧客の利益に対して財政的または非財務的にどの程度影響を与える可能性があるかを反映しなければならない。

どのアトラシアン製品をどのような目的で使用するかを決定するのはお客様の責任であるため、どの情報資産をアトラシアンが管理するかを決定し、そのような情報資産を分類するのはお客様の責任です。これに関して、アトラシアンでは情報分類を以下のように扱い、アトラシアンのデータ分類基準に記載しています。

• 法的必要条件、価値、アトラシアンにとっての重要度の観点からデータを分類する必要があります。
• データは、識別してラベル付けし、データ フロー マップで最新の状態に保つことで、適切な取り扱いを保証する必要があります。
• 処分するメディアのデータを安全な方法で削除する必要があります。
• 企業情報を内蔵するメディアを、不正なアクセス、誤用、移動中の破損から保護する必要があります。

21. APRA 規制対象組織は、関連当事者やサードパーティが管理するものを含む情報資産を保護するために、(a) 情報資産に対する脆弱性と脅威、(b) 情報資産の重要性と機密性、(c) 情報資産があるライフ サイクル ステージ、および (d) 情報セキュリティ インシデントがもたらす潜在的な影響に見合った情報セキュリティ管理を適時に実施しなければならない。

アトラシアンのセキュリティ プラクティスには、セキュリティへのアプローチが説明されています。アプローチの詳細は次の通りです。

• ネットワーク アーキテクチャへのセキュリティの組み込み
• ゼロ トラスト、つまり「決して信頼せず、常に確認すること」によるネットワークへのアクセスの保護
• アトラシアンのシステムやサービスへのアクセスの保護
• エンドポイント デバイスの保護
• アトラシアン製品のセキュリティ保護
• データの保護

22. APRA 規制対象組織の情報資産が関連企業またはサードパーティによって管理されている場合、APRA 規制対象組織は、その組織の情報資産を保護する企業の情報セキュリティ管理の設計を評価しなければならない。

アトラシアンの脆弱性管理プログラムには、お客様の情報を保護するために実施している主要な管理など、製品のセキュリティ脆弱性を検出して対処するためのアトラシアンのアプローチが記載されています。

また、システム全体のセキュリティ インシデントを管理するためのアプローチについても詳しく説明しています。

これらのリソースを組み合わせることで、APRA 規制対象組織は主な領域におけるセキュリティ管理設計に関する詳しい情報を得ることができ、CPS 234 の義務が満たされているかどうかを判断できます。

23. APRA 規制対象組織は、情報セキュリティ インシデントを適時に検出して対応するための強固なメカニズムを備えていなければならない。

セキュリティ インシデント管理に関する CPS 234 を遵守する義務は APRA 規制対象組織に課されていますが、アトラシアンは、そのような組織が情報資産の一部または全部に関してアトラシアン製品を使用している場合、セキュリティ インシデント管理に対するアトラシアンのアプローチも重要な考慮事項であることを認識しています。

アトラシアンでは、以下の主要原則を含むセキュリティ インシデント対応ポリシーを文書化しています。

• セキュリティ インシデントを予想して、インシデント対応への準備をします。
• インシデントの拡大を防いで完全に除去し、インシデントから回復させます。
• セキュリティ インシデントが発生した際に確実に検知して分析できるように、人材、プロセス、テクノロジーに投資します。
• セキュリティ インシデント発生時の個人/顧客情報の保護を最優先します。
• セキュリティ インシデント対応プロセスを定期的に実施します。
• セキュリティ インシデント管理機能から学び、改善します。
• 重要なセキュリティ インシデントはアトラシアンの経営幹部に報告します。

24. APRA 規制対象組織は、発生する可能性が高いと考える情報セキュリティ インシデントに対応する計画 (情報セキュリティ対応計画) を維持しなければならない。

25. APRA 規制対象組織の情報セキュリティ対応計画には、以下を行うためのメカニズムが含まれている必要がある。(a) インシデントの検出からインシデント後のレビューまで、関連するすべての段階の管理、(b) 取締役会、および情報セキュリティ インシデントの管理と監督を担当するその他の管理機関と個人への情報セキュリティ インシデントのエスカレーションと報告。

26. APRA 規制対象組織は、情報セキュリティ対応計画を毎年見直し、テストして、それが引き続き有効であり目的に合っていることを確認しなければならない。

27. APRA 規制対象組織は、体系的なテスト プログラムを通じて情報セキュリティ管理の有効性をテストしなければならない。系統的なテストの性質と頻度は、(a) 脆弱性と脅威が変化する速度、(b) 情報資産の重要性と機密性、(c) 情報セキュリティ インシデントの結果、(d) APRA 規制対象組織が情報セキュリティ ポリシーを実施できない環境に晒されることによるリスク、(e) 情報資産への変更の重要性と頻度に見合ったものでなければならない。

アトラシアンのセキュリティ管理の有効性は、複数の外部監査と検証によって実証されています。それぞれのお客様は、自社の情報セキュリティ管理の有効性をテストし、内部レビューで発見したセキュリティ管理の欠陥をエスカレートする責任を負っています。アトラシアンでは、お客様が CPS 234 の義務を果たしているかどうかを判断できるように、アトラシアン独自のテスト プログラムに関するいくつかのリソースを提供しています。

アトラシアンのクラウド製品は、定期的に独立したセキュリティ、プライバシー、コンプライアンス管理の検証が行われ、グローバルな標準に対する認定、コンプライアンス証明、監査レポートを受けています。アトラシアンではお客様がリスク評価の一環としてこれらを確認できるように、これらの認定/証明、コンプライアンスに関する各種認証、監査レポート (SOC2 や ISO2700x など) へのアクセスをコンプライアンスのリソース センターで提供しています。関連する認定または監査レポートには、認証または監査当事者に関する追加情報が含まれています。

また、コンプライアンスのリソース センターには、正式な認定や証明を必要としない、または適用されない枠組みや法に対する管理が掲載されています。

アトラシアンは ISMS の適合性、妥当性、有効性を継続的に改善しています。Atlassian Trust Management System (ATMS) は、社内とサードパーティの両方で毎年見直されるので、お客様はサードパーティによる検証によって ATMS の有効性を確認できます。継続的な改善への取り組みについては、ATMS の定義ページで社内向けに説明されています。この取り組みは、ATMS を時間の経過とともに進化させ、あらゆるギャップを埋めるのに役立っています。

アトラシアンのアプローチの詳細と検証は、Trust Center の複数のリソースに掲載されています。

• ISO 27001 認定
• SOC 2 認定
• すべての証明と認定

28. APRA 規制対象組織の情報資産が関連企業またはサードパーティによって管理されている場合、および APRA 規制対象組織がその組織の情報セキュリティ管理テストに依存している場合、APRA 規制対象組織は、これらの情報資産に関連する管理テストの内容と頻度が本 Prudential Standard の第 27(a) 項から第 27(e) 項に適合しているかどうかを評価しなければならない。

29. APRA 規制対象組織は、適時に是正できない情報セキュリティ管理の欠陥が見つかった検査結果については、エスカレーションして取締役会または経営幹部に報告しなければならない。

30. APRA 規制対象組織は、検査が適切なスキルを持ち、機能的に独立した専門家によって実施されることを保証しなければならない。

31. APRA 規制対象組織は、少なくとも年に 1 回、または情報資産やビジネス環境に重大な変化があった場合に、テスト プログラムが十分かどうかを見直さねばならない。

32. APRA 規制対象組織の内部監査活動には、関連企業やサードパーティが管理するものを含む情報セキュリティ管理の設計と運用上の有効性の見直しを含める必要がある (情報セキュリティ管理の保証)。

33. APRA 規制対象組織は、情報セキュリティ管理の保証が、そのような保証を提供するのに適切なスキルを持つ人員によって提供されていることを保証しなければならない。

34. APRA 規制対象組織の内部監査チームは、以下のような関連企業またはサードパーティによって提供される情報セキュリティ管理の保証を評価しなければならない。(a) 情報資産に影響を及ぼす情報セキュリティ インシデントが APRA 規制対象組織、または預金者、保険契約者、受益者、もしくは他の顧客の利益に対して財政的または非財政的に重大な影響を及ぼす可能性がある。(b) 関連企業またはサードパーティが提供する情報セキュリティ管理の保証に依存して内部監査を行うことになっている。

35. APRA 規制対象組織は、(a) APRA 規制対象組織、または預金者、保険契約者、受益者、もしくは他の顧客の利益に対して財政的または非財政的に重大な影響を及ぼす情報セキュリティ インシデント、または (b) オーストラリアまたは他の管轄区域の他の規制当局に通知された情報セキュリティ インシデントに気づいた後、できるだけ早く、いかなる場合も 72 時間以内に、APRA に通知しなければならない。

アトラシアンは、データ侵害があった場合は速やかに通知を受けることがいかに重要かを理解しています。そのため、アトラシアンは、セキュリティ インシデント管理ページで説明されているように、セキュリティ インシデントを処理するための広範な部門横断チームを編成し、プロセスを構築しました。

アトラシアンには、インシデントをタイムリーかつ積極的に通知し、必要な緩和策についてお客様と協力してきた確かな実績があります。アトラシアンは、データ処理補遺やその他の法的条件で、セキュリティ インシデントを不当に遅滞なく顧客に通知することを約束しています。コンプライアンス目的でこの通知を必要とするお客様は、こちらの DPA に署名して提出することをお勧めします。アトラシアンからインシデントの通知を受け取った後、お客様は CPS 234 の第 35 項に基づいて APRA への通知が必要かどうかを判断し、必要な場合は、アトラシアンの通知受領後 72 時間以内に APRA に通知する責任を負っています。

アトラシアンは、製品に影響を与える可能性のある脆弱性をお客様が常に把握できるように、パートナーの Bugcrowd を通じてアトラシアン製品の公開バグ報奨金プログラムを運営しています。重大な最新情報は、Statuspage を通じてお客様に提供されます。さらに、Jira Software Cloud、Jira Service Management Cloud、または Confluence Cloud の Premium または Enterprise プランをご購入いただいたお客様は、該当するサブスクリプション期間中にクラウド製品の機能や全体的なセキュリティを大幅に低下させないことを保証する、強化されたパフォーマンス保証をご利用いただけます。クラウド製品のセキュリティに関連する強化されたパフォーマンス保証の要求をお客様から受け取り、不適合を修正できない場合は、お客様にその旨を通知します。この通知を受け取ったお客様は CPS 234 の第 36 項に基づいて APRA への通知が必要かどうかを判断し、必要な場合は、アトラシアンの通知受領後 10 営業日以内に APRA に通知する責任を負っています。

36. APRA の規制対象組織は、速やかに是正できないと予想される重大な情報セキュリティ管理の弱点に気づいたら、できるだけ早く、いかなる場合も 10 営業日以内に APRA に通知しなければならない。