よくある質問

アトラシアンは情報セキュリティ基準に準拠していますか?

ISO/IEC 27001 - Jira および Confluence Cloud は ISO/IEC 27001 認定を取得済みです。この件についての詳細は、当社のセキュリティ管理プログラムをご覧ください。ISO/IEC 27001 証明書はアトラシアンのコンプライアンスページに掲載されています。

ISO/IEC 27018 - アトラシアンは、PII (個人情報) または PD (個人データ) のクラウド環境での保護に関して、ISO/IEC 27018 認定も取得済みです。ISO/IEC 27018 証明書もアトラシアンのコンプライアンスページに掲載されています。

CSA (Cloud Security Alliance) - アトラシアンは、CSA Security, Trust, & Assurance Registry (STAR)向けに、クラウド管理マトリクスの CAIQ 自己評価を完了しています。

HIPAA / HITECH - アトラシアンは、当社のクラウド製品に関して、Business Associate 契約に署名できません。準拠が必要な企業には、当社の Server 製品をお勧めします。この件に関する詳細は、アトラシアンのプライバシーポリシーをご覧ください。

PCI - アトラシアンでは、PCI DSS の認定クレジットカード決済業者のトークンを使用しています。当社がお客様のクレジットカード情報を閲覧したり保存したりすることは決してありません。PCI 環境内でアトラシアン製品を使用する場合、お客様自身の PCI コンプライアンス要件に照らして評価する必要があります。

CSA (Cloud Security Alliance) の質問集である、「CAIQ (Consensus Assessment Initiative Questionnaire)」を見ることはできますか?

もちろんです。ぜひ、ご確認ください。STAR (Security, Trust and Assurance Registry) のエントリーページから確認できます。四半期ごと、または当社の環境に大きな変更があった場合に更新する予定です。アトラシアンの STAR エントリーをお読みください。

アトラシアンは内部統制情報を共有していますか?

アトラシアンでは、外部の規制要件および業界標準による統制を組み合わせた ACF (Atlassian Control Framework) というフレームワークに、多くの知見を取り入れています。このフレームワークを使用し、内部統制の実装を行い、外部企業に依頼して統制の実装および運用の評価と検証も実施しています。取得済みの認定やレポートのステータスはすべて、アトラシアンのコンプライアンスページでご確認いただけます。

アトラシアンのセキュリティ & テクノロジーポリシーはどこに掲載されていますか?

アトラシアンでは努力を重ねた結果、当社の Confluence 内に内部の Policy Central を構築しました。すべてのポリシーは同様のフォーマットと構造を持ち、所有者が指定され、明確なレビューサイクルが適用されます。アトラシアン内部の各テクノロジー分野ポリシーは、 tl;dr から読むことができます。

アトラシアンはクラウドのセキュリティと運用に対する責任を明確に定めていますか?

アトラシアンでは、当社が担う責任と、それぞれのお客様が担う責任について概要を説明したホワイトペーパーを公開しています。このホワイトペーパーはお客様を念頭に作成されており、それぞれのお客様に管理していただく特定のセキュリティトピックが詳細に説明されています。こちらからホワイトペーパーをお読みください。

私たちのデータには誰がアクセスできますか?

Atlassian Cloud のお客様向けに、Cloud Security Statement およびプライバシーポリシーで、アトラシアンのアプローチについて説明しています。

アトラシアンのクラウド製品に保存されるデータは暗号化されますか?

アトラシアンでは転送中および保存中のお客様のデータを暗号化しています。

アトラシアンのクラウド製品とサービス内に保存されるすべてのお客様データは、パブリックネットワーク経由での転送中、Transport Layer Security (TLS) 1.2 と Perfect Forward Secrecy (PFS) を併用して、不正な開示や変更から保護されます。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Confluence Cloud、Statuspage、OpsGenie、Trello 内にお客様データと添付書類を保持するサーバーのデータドライブでは、業界標準のフルディスク型 AES-256 を使用して保存データを暗号化しています。Bitbucket Cloud のお客様データは保存中完全に暗号化されません。

詳細は、アトラシアンのセキュリティプラクティスページをご覧ください。

アトラシアンのクラウド製品でのデータ暗号化には、TLS (Transport Layer Security) が常に使用されますか?

はい。Atlassian Cloud のすべてのシステムは、通信に TLS と PFS のみを使用しています。業界標準に従い、SSL 3 のサポートは廃止しました。

アトラシアンのクラウド製品用パスワードはどのように保存されますか?

パスワードは、アトラシアンのクラウド製品内のユーザー管理で、暗号学的ハッシュ関数を使用して処理されます。

アトラシアンではクラウドセキュリティの監査を実施していますか?

アトラシアンでは、当社がホストするシステムや製品で現在行っているテストも含め、広範なセキュリティプログラムを実施しています。クラウド製品については、独立したサードパーティ機関による評価も実施しています。また、主なテストアプローチとして、すべてのクラウド製品とサーバー製品を対象に、公開バグ報奨金プログラムを採用しています。

アトラシアンのテストレポートは閲覧できますか?

以下のレポート内で報告されたセキュリティ上の脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡され、セキュリティバグ修正ポリシーの SLA タイムラインに従ってクローズされます。

• アトラシアンの最新テストレポートのダウンロード (2019 年 7 月)
• Statuspage の最新テストレポートのダウンロード (2019 年 7 月)
• Trello の最新テストレポートのダウンロード (2019 年 7 月)
• Opsgenie の最新テストレポートのダウンロード (2019 年 7 月)

自前のセキュリティテストを実行できますか?

クラウド製品に関する当社の利用規約に従い、お客様主導でのテストは認められません。情報開示の取り組みの一環として、バグ報奨金プログラムからの統計情報が公開された時点で情報を公開いたします。

アトラシアン製品に脆弱性を発見しました。どのように報告したらよいですか?

アトラシアンの製品に脆弱性を発見された際には、すぐにご連絡ください。連絡していただくことにより、迅速に修正することができます。ご報告の方法に関する説明をお読みください。ご報告いただいた方には、アトラシアンのノベルティをご用意しており、功労者として殿堂入りに認定させていただく場合もあります。

セキュリティに関して質問があります。答えてもらえますか?

アトラシアンでは、情報開示と透明性の確保、情報の共有に力を注いでいます。この目標の一環として、お客様がアトラシアンの製品やサービスを安心して選択できるよう最大限の情報公開を行っています。また、お客様からのよくある標準的質問に対する回答もまとめています。他にご不明な点がありましたら、ご遠慮なくお問い合わせください。

アトラシアンのデータプライバシーポリシーはどのような内容ですか?

最新のプライバシーポリシーをご確認ください

セキュリティインシデントの発生中、アトラシアンではどのような責任を負いますか?

アトラシアンでは、システムの停止やセキュリティインシデントが発生しないよう最善を尽くしていますが、セキュリティインシデントが発生する可能性があることは認識しています。セキュリティインシデント発生時にアトラシアンが負う責任と、お客様が管理計画を立てる必要のある事項については、明文化しています。