Close

よくある質問

セキュリティ、信頼性、プライバシー、コンプライアンスに関して最も多く寄せられる質問への回答をご覧ください。


アトラシアンは情報セキュリティの標準規格に準拠していますか? 表示する
  

ISO/IEC 27001 - Jira および Confluence Cloud は ISO/IEC 27001 認定を取得済みです。この件についての詳細は、当社のセキュリティ管理プログラムをご覧ください。ISO/IEC 27001 証明書はアトラシアンのコンプライアンスページに掲載されています。

ISO/IEC 27018 - アトラシアンは、PII (個人情報) または PD (個人データ) のクラウド環境での保護に関して、ISO/IEC 27018 認定も取得済みです。ISO/IEC 27018 証明書もアトラシアンのコンプライアンスページに掲載されています。

Cloud Security Alliance - アトラシアンは、CSA Security, Trust, & Assurance Registry (STAR) 向けに、クラウド管理マトリクスの CAIQ 自己評価を完了しています。

HIPAA / HITECH – クラウド製品の場合、Business Associate 契約に署名できません。こちらに準拠する必要がある場合は、サーバー製品をお勧めします。詳細については、弊社のプライバシーポリシーをご確認ください。

PCI – アトラシアンでは、PCI DSS 認証クレジットカードプロセッサーによるトークンを使用しています。クレジットカードの詳細を閲覧したり、保管したりすることは決してありません。PCI 環境内でアトラシアン製品を使用される場合は、貴社固有の PCI コンプライアンス要件に関して評価を行う必要があります。

FedRAMP - Trello Enterprise は、FedRAMP 法に準拠する Authority to Operate (ATO) に認定されています。アトラシアン製品の Jira、Confluence、Jira Align は FedRAMP の認定を受けています。詳しくは、お近くのアトラシアンの営業担当者にお問い合わせください。

詳細は、アトラシアンのコンプライアンスページおよびアトラシアンのコンプライアンスに関する FAQ でご確認ください。

アトラシアンのセキュリティ & テクノロジーポリシーはどこに掲載されていますか? 表示する
  

アトラシアンでは努力を重ねた結果、当社の Confluence 内に内部の Policy Central を構築することに成功しました。すべてのポリシーは同様のフォーマットと構造を持ち、所有者が指定され、明確なレビューサイクルが適用されます。アトラシアン内部の各テクノロジー分野ポリシーは、tl;dr から読めます

アトラシアンではクラウドのセキュリティや運用に関する責任を定義していますか? 表示する
  

アトラシアンでは、当社が負う責任と、それぞれのお客様が負う責任について概要を説明したホワイトペーパーを公開しています。このホワイトペーパーはお客様のことを考えて作成されており、各お客様が管理する必要がある特定のセキュリティトピックが詳細に説明されています。こちらからホワイトペーパーをお読みください

データへのアクセス権を持っている人は誰ですか? 表示する
  

Atlassian Cloud のお客様向けに、Cloud Security Statement および プライバシーポリシーで、アトラシアンのアプローチについて説明しています。

アトラシアンのクラウド製品に保存されるデータは暗号化されますか? 表示する
  

アトラシアンでは転送中および保存中のお客様のデータを暗号化しています。

Atlassian Cloud 製品とサービス内に保存されるすべてのお客様データは、パブリックネットワーク経由での転送中に、トランスポート層セキュリティ (TLS) 1.2 と Perfect Forward Secrecy (PFS) を併用して暗号化され、不正な開示や変更から保護されます。

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Confluence Cloud、Statuspage、Opsgenie、Trello のお客様データと添付資料を保管するサーバーのデータドライブは、業界標準の AES-256 を使用してフルディスクで保存データを暗号化しています。Bitbucket Cloud のお客様データは保存時には完全に暗号化されません。

詳細は、アトラシアンのセキュリティプラクティスページをご覧ください。

アトラシアンのクラウド製品でのデータ暗号化には、TLS (Transport Layer Security) が常に使用されますか? 表示する
  

はい。Atlassian Cloud のすべてのシステムは、通信に TLS と PFS のみを使用しています。業界標準に従い、SSL 3 のサポートは廃止しました。

アトラシアンのクラウド製品用パスワードはどのように保存されますか? 表示する
  

パスワードは、アトラシアンのクラウド製品内のユーザー管理で、暗号学的ハッシュ関数を使用して処理されます。

アトラシアンはクラウドのセキュリティの監査を行っていますか? 表示する
  

アトラシアンでは、当社がホストするシステムや製品で現在行っているテストも含め、広範なセキュリティプログラムを実施しています。クラウド製品については、独立したサードパーティ機関による評価も実施しています。また、主なテストアプローチとして、すべてのクラウド製品とサーバー製品を対象に公開バグ報奨金プログラムを採用しています。

アトラシアンのテストレポートは閲覧できますか? 表示する
  

以下のレポート内で報告されたセキュリティ上の脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡され、このプログラムの結果見つかったバグはすべて当社の公開されているセキュリティ脆弱性に関する SLA に従って選別、修正されます。

最新のレポートは、セキュリティテストのページ下部で公開されています。

自社で独自のセキュリティテストを実施することは可能ですか? 表示する
  

クラウド製品の当社利用規約に従い、お客様主導でのテストが認められるようになりました。情報開示の取り組みの一環として、バグ報奨金プログラムからの統計情報を定期的に公開いたします。

アトラシアンは、当社のバグ報奨金プログラムが当社製品およびサービスのセキュリティを評価するより効率的で経済的な方法であると考えていますが、お客様が独自にセキュリティをテストする必要性も理解しています。お客様は、ペンテストや脆弱性評価などのセキュリティ評価を実施することを認められていますが、安全性を保つためにいくつかのルールに従う必要があります。検出した課題を報告する際は、アトラシアンの脆弱性報告に関する指示をご覧ください。

アトラシアンの製品に脆弱性が見つかりました。どのように報告すればよいですか? 表示する
  

アトラシアンの製品に脆弱性を発見された際にはご連絡ください。迅速に修正できるようにいたします。ご報告の方法に関する説明をお読みください。ご報告いただいた方には、アトラシアンのノベルティをご用意しており、功労者として殿堂入りに認定させていただく場合もあります。

米国法執行機関が顧客データにアクセスしないことをどのように確認しますか? 表示する
  

アトラシアンは、当社の法執行のためのガイドラインプライバシー ポリシーカスタマー契約利用許諾に関するポリシー、および適用される製品別規約に従って、行政機関の要求に対応します。お客様からの信頼は当社にとって重要であり、法執行機関の要求に応えることが法律上義務付けられていると合理的に判断する場合のみ、お客様情報を提供します。お客様の権利を保護するため、アトラシアンは要求を入念に精査したうえでかかる要求が法律に準拠することを確認します。

アトラシアンからお客様情報を取得するために、法執行機関は、召喚状、裁判所命令または令状など、求められる情報の種別に対して適切な法的手続きを踏む必要があります。たとえば、アトラシアンは、捜査令状を発行する権限を有する連邦または州の裁判所により、アトラシアンにコンテンツの開示を求めるために相当事由を示して発行された有効な捜査令状がない限り、非公開のお客様コンテンツを提供しません。当社は、行政機関からのユーザー データの要求、および行政機関からのコンテンツ削除やアカウント停止の要求に関する情報を含む年次透明性レポートを公開しています。

転送中および保存時のデータの暗号化や保護の方法についての詳細は、セキュリティ プラクティス ページをご覧ください。

セキュリティインシデント発生中にアトラシアンが負う責任について教えてください。 表示する
  

アトラシアンでは、システムの停止やセキュリティインシデントが発生しないよう最善を尽くしていますが、セキュリティインシデントが発生する可能性があることは認識しています。セキュリティインシデント発生時にアトラシアンが負う責任と、お客様が管理計画を立てる必要のある事項については、明文化しています。