よくある質問

ISO/IEC 27001 - Atlassian Cloud は ISO/IEC 27001 認定を取得済みです。この件についての詳細は、当社のセキュリティ管理プログラムをご覧ください。ISO/IEC 27001 証明書はアトラシアンのコンプライアンス ページに掲載されています。

Cloud Security Alliance - アトラシアンは、CSA Security, Trust, & Assurance Registry (STAR) 向けに、クラウド管理マトリクスの CAIQ 自己評価を完了しています。

HIPAA / HITECH – Jira Software Cloud Enterprise と Confluence Cloud Enterprise は HIPAA に準拠しています。詳細については、こちらのページをご覧ください。

PCI – アトラシアンでは、PCI DSS 認証クレジットカードプロセッサーによるトークンを使用しています。クレジットカードの詳細を閲覧したり、保管したりすることは決してありません。PCI 環境内でアトラシアン製品を使用される場合は、貴社固有の PCI コンプライアンス要件に関して評価を行う必要があります。

FedRAMP - Trello Enterprise は、FedRAMP 法に準拠する Authority to Operate (ATO) に認定されています。アトラシアン製品の Jira、Confluence、Jira Align は FedRAMP の認定を受けています。詳しくは、お近くのアトラシアンの営業担当者にお問い合わせください。

詳細は、アトラシアンのコンプライアンスページおよびアトラシアンのコンプライアンスに関する FAQ でご確認ください。

アトラシアンでは努力を重ねた結果、当社の Confluence 内に内部の Policy Central を構築することに成功しました。すべてのポリシーは同様のフォーマットと構造を持ち、所有者が指定され、明確なレビューサイクルが適用されます。アトラシアン内部の各テクノロジー分野ポリシーは、tl;dr から読めます。

アトラシアンでは、当社が負う責任と、それぞれのお客様が負う責任について概要を説明したホワイトペーパーを公開しています。このホワイトペーパーはお客様のことを考えて作成されており、各お客様が管理する必要がある特定のセキュリティトピックが詳細に説明されています。こちらからホワイトペーパーをお読みください。

Atlassian Cloud のお客様向けに、セキュリティ プラクティス ページおよびプライバシー ポリシーにおける Atlassian のアプローチについて説明しています。

アトラシアンでは転送中および保存中のお客様のデータを暗号化しています。

Atlassian Cloud 製品とサービス内に保存されるすべてのお客様データは、パブリックネットワーク経由での転送中に、トランスポート層セキュリティ (TLS) 1.2 と Perfect Forward Secrecy (PFS) を併用して暗号化され、不正な開示や変更から保護されます。

Jira Cloud、Confluence Cloud、Bitbucket Cloud、Statuspage、Opsgenie、Jira Align、Halp、Trello のお客様データと添付資料を保管するサーバーのデータ ドライブは、業界標準の AES-256 を使用してフル ディスクで保存データを暗号化しています。

詳細は、アトラシアンのセキュリティプラクティスページをご覧ください。

はい。Atlassian Cloud のすべてのシステムは、通信に TLS 1.2+ と PFS のみを使用しています。業界標準に従い、SSL 3 のサポートは廃止しました。

パスワードは、アトラシアンのクラウド製品内のユーザー管理で、暗号学的ハッシュ関数を使用して処理されます。

アトラシアンでは、当社がホストするシステムや製品で現在行っているテストも含め、広範なセキュリティ プログラムを実施しています。クラウド製品については、独立した第三者機関による評価も実施しています。また、主なテスト アプローチとして、すべてのクラウド製品とサーバー製品を対象に公開バグ報奨金プログラムを採用しています。コンプライアンス証明書はすべて アトラシアンのコンプライアンスのリソース センターに掲載されています。

以下のレポート内で報告されたセキュリティ上の脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡され、このプログラムを通して見つかった問題はすべて当社の公開されているセキュリティ脆弱性に関する SLA に従ってトリアージ、修正されます。

最新のレポートは、セキュリティテストのページ下部で公開されています。

クラウド製品の当社利用規約に従い、お客様主導でのテストが認められるようになりました。情報開示の取り組みの一環として、バグ報奨金プログラムからの統計情報を定期的に公開いたします。

アトラシアンは、当社のバグ報奨金プログラムが当社製品およびサービスのセキュリティを評価するより効率的で経済的な方法であると考えていますが、お客様が独自にセキュリティをテストする必要性も理解しています。お客様は、ペンテストや脆弱性評価などのセキュリティ評価を実施することを認められていますが、安全性を保つためにいくつかのルールに従う必要があります。検出した課題を報告する際は、アトラシアンの脆弱性報告に関する指示をご覧ください。

アトラシアンの製品に脆弱性を発見された際にはご連絡ください。迅速に修正できるようにいたします。ご報告の方法に関する説明をお読みください。ご報告いただいた方には、アトラシアンのノベルティをご用意しており、功労者として殿堂入りに認定させていただく場合もあります。

Atlassian のメイン サイトでプライバシー ポリシーをご覧の上、よくある質問への回答についてはこのページまたは当社の Trust Center のプライバシーのページを参照してください。

アトラシアンは、当社の法執行のためのガイドライン、プライバシー ポリシー、カスタマー契約、利用許諾に関するポリシー、および適用される製品別規約に従って、行政機関の要求に対応します。お客様からの信頼は当社にとって重要であり、法執行機関の要求に応えることが法律上義務付けられていると合理的に判断する場合のみ、お客様情報を提供します。お客様の権利を保護するため、アトラシアンは要求を入念に精査したうえでかかる要求が法律に準拠することを確認します。

アトラシアンからお客様情報を取得するために、法執行機関は、召喚状、裁判所命令または令状など、求められる情報の種別に対して適切な法的手続きを踏む必要があります。たとえば、アトラシアンは、捜査令状を発行する権限を有する連邦または州の裁判所により、アトラシアンにコンテンツの開示を求めるために相当事由を示して発行された有効な捜査令状がない限り、非公開のお客様コンテンツを提供しません。当社は、行政機関からのユーザー データの要求、および行政機関からのコンテンツ削除やアカウント停止の要求に関する情報を含む年次透明性レポートを公開しています。

転送中および保存時のデータの暗号化や保護の方法についての詳細は、セキュリティ プラクティス ページをご覧ください。

アトラシアンでは、システムの停止やセキュリティ インシデントを防止するために最善を尽くしていますが、インシデントが発生することは認識しています。

セキュリティ関連のインシデントについては、セキュリティ インシデント発生時にアトラシアンが負う責任と、お客様が管理計画を立てる必要のある事項を明文化しています。

システムの停止や復旧インシデントについては、信頼性のプロセスと手順を文書化しています。その他の参考資料として、システム停止からデータ復旧の後に公開したインシデント後レビューの例をこちらでご確認ください。