アトラシアンのセキュリティ & テクノロジーポリシー
アトラシアンでは、情報セキュリティ管理プログラム (ISMP) を確立し、信頼とセキュリティを維持することを目的とした原則と基本ルールを定めています。これを実現するため、継続的に運用リスクを評価し、アトラシアンの環境におけるセキュリティ、機密性、整合性、可用性を改善しています。さらに、セキュリティ ポリシーを定期的に確認して更新し、自社環境のアプリケーションとネットワークのセキュリティ テストを実施すると同時に、セキュリティ ポリシーの順守について監視しています。
以下は、アトラシアンが内部環境とクラウド環境に対して定めている、セキュリティとテクノロジーの主なポリシーのリストとその簡単な説明です。
ポリシー・リスク・ガバナンス
このポリシーでは、アトラシアンのセキュリティ管理の基本原則とガイドラインを定めています。
セキュリティ ポリシーの基本原則は次のとおりです。
- 企業情報と顧客情報へのアクセスを、業務上の必要性に基づき、アトラシアンの価値観に沿って管理します。
- アトラシアンは、このポリシーに従いセキュリティの実装を管理する目的で、一連の規制を実施します。
- アトラシアンは定期的に、リスクとそのリスクを管理することを目的とした規制の効果を評価します。
アクセス管理
このポリシーでは、アクセス管理の基本原則とガイドラインを定めています。
基本原則は次のとおりです。
アトラシアンは、システムへのアクセスの管理方法について定めたアクセス管理ポリシーを保持します。
- アクセスを管理する目的で、ユーザー アカウントとパスワードを使用します。
- 全ユーザーは、自身が使用するシステムへのアクセスを管理する責任を負います。
- 不適切なアクセスがないか、システムを記録して監視します。
- リモート アクセスは多要素認証を用いて管理されます。
アセット管理
このポリシーでは、アトラシアンの IT アセットの管理およびアセットの扱い方に関する一般原則とガイドラインを定めています。
アトラシアンでのアセット管理の基本原則は次のとおりです。
- アトラシアンがアセットのインベントリを保持します。
- アセット管理データベースで管理されるアセットには、所有者を特定します。
- 許容可能なアセットの使用は、特定され、文書化されたうえで、実行されます。
- 従業員が解雇された場合、アセットはアトラシアンに返却されます。
事業継続とディザスタリカバリ
このポリシーでは、プロセス、システム、サービスの回復性、可用性、継続性に対するアトラシアンの姿勢を明確にする基本原則を定め、事業継続、ディザスタ リカバリ、危機管理プロセスにかかわる要件を定義します。
基本原則は次のとおりです。
- ミッション クリティカルなシステム、プロセス、またはサービスの所有者は、災害時には中断の許容度に従って、適切な事業継続やディザスタ リカバリを確実に実行します。
- 事業継続計画には、コア機能 (最低限の機能) を提供する適切な「最後の砦」となる環境と、その環境がない場合の計画を含めます。また、通常業務再開までの検討事項も必ず含める必要があります。
- 対応する事業継続計画がなくとも本番環境にデプロイできるミッション クリティカルなシステム、プロセス、機能はありません。
- 計画は四半期ごとに必ずテストし、課題を特定して対処します。
- 最大復旧時間 (RTO) は、イベントの検知からコア機能が稼働するまでを指します。サービスを階層に分け、階層ごとに最大 RTO と RPO を定義します。
通信セキュリティ
このポリシーでは、アトラシアンのコミュニケーションとネットワークのセキュリティを管理するための一般原則とガイドラインを定めています。
基本原則は次のとおりです。
- ネットワーク アクセスを制御します。
- ネットワーク アクセスを供給し、全ユーザーに全般的な電子システムとコミュニケーション ポリシーを周知します。
- ネットワークは重要度に基づいて分離します。
暗号化
このポリシーでは、アトラシアンが適切な暗号化プロセスを導入して、重要データの機密性を確保するための一般原則を定めています。アトラシアンでは、機密情報の保存や、インターネットなどのパブリック ネットワークを含むネットワーク経由で機密情報を送信する行為に伴うリスクを軽減するために、暗号化メカニズムを導入しています。
アトラシアンは以下を確実に実行します。
- 機密情報を適切に暗号化します。
- 情報分類ごとにふさわしい強度の暗号化方法を選びます。
- 暗号化キーを厳重に管理します。
- 承認済みの暗号化アルゴリズムのみを使用します。
データセキュリティ & 情報のライフサイクル管理
データ セキュリティの分類ポリシーでは、顧客データの取り扱い方法に関する全体的な要件を定めています。各種データの取り扱い方法については後述の例をご覧ください。アトラシアンには、「オープンな企業文化、デタラメは無し」という企業理念があるものの、すべての従業員が内部データと顧客データの両方の取り扱い方法に対し配慮する必要があります。
この情報分類ポリシーを順守することで、当社の情報が適切なレベルの保護を確実に受けられるようにする責任を全従業員が共有しています。
- 法的必要条件、価値、アトラシアンにとっての重要度の観点から情報を分類します。
- 情報が適切な取り扱いを確実に受けるよう、ラベリングします。
- すべてのリムーバブル メディアは下に定める取り扱いガイドラインに従って管理します。
- 処分するメディアのデータを安全な方法で削除します。
- 企業情報を内蔵するメディアを、不正なアクセス、誤用、移動中の破損から保護します。
モバイルデバイス & 私有デバイスの業務利用 (BYOD)
このポリシーでは、アトラシアンのネットワークと環境を用いて私有デバイスを使用するための一般原則とガイドラインを定めています。
アトラシアンは以下を確実に実行します。
- この私有デバイスの業務利用 (BYOD) ポリシーは、BYOD の使用法に関して可能な限り柔軟で、おしつけがましくないものとしています。アトラシアン社員の自主性を保ちながらも、顧客データと企業情報を確実に保護できるようにします。
- 最大の重点事項は、設定や心構えの確認と、デバイスのコンプライアンスの監視です。規制の執行というよりは、必要なセキュリティ上の目的を無理なく達成できるよう、最小限の制限を適用した原則です。規制を適用する必要がある場合は、デバイスからアクセスできるデータの内容に応じて選択的に適用します。
- このポリシーは現状だけでなく今後の必要性を予想して作成されています。すぐには適用されない可能性のある項目も含まれています。
オペレーション
このポリシーでは、アトラシアンでのテクノロジー運用実務向け一般原則とガイドラインを定めています。
基本原則は次のとおりです。
- アトラシアンの業務手順は、文書化して運用します。
- バックアップを定期的にとり、テストします。
- すべての変更点は、複数の人で管理、評価します。
- 能力を評価し、能力を考慮して準備します。
- ソフトウェアのインストールを制限し、不必要なソフトウェアは禁止します。
- ログを必ず設定し、中央のログ記録用プラットフォームに転送します。
- 運用上のインシデントはすべて、標準のインシデント プロセスに沿って管理します。
人的セキュリティ
このポリシーでは、人間の安全に関するセキュリティ上の考慮点を定めています。
アトラシアンでは、次を確実に実行します。
- セキュリティ上の責務は、業務定義書に記載します。
- 全従業員とユーザーは定期的にセキュリティ意識向上トレーニングに参加します。
- 全従業員と請負業者には、セキュリティ インシデントや脆弱性を報告する義務があります。
- 従業員の退職時には、妥当な期限内にアセットへのアクセスとアセットを返却します。
物理および環境面でのセキュリティ
このポリシーでは、アトラシアンの建物、オフィス、機器の安全を保つための一般原則とガイドラインを定めています。
物理および環境面でのセキュリティの基本原則は、次のとおりです。
- アトラシアンは業務を行うための安全な場所を提供します。
- アトラシアンは、当社の IT 設備の安全を、設備の所在地に関係なく確保します。
- 当社の建物とオフィスへの立ち入りは、適切な職員にのみ許可します。
プライバシー
このポリシーでは、データ プライバシーに関連した顧客管理の一般原則を定めています。
データ プライバシーの基本原則は次のとおりです。
- 顧客データの収集に関する統制手段を管理します。
- 顧客データは、サポートの目的でのみ閲覧できるようにします。
- 顧客データの複製は、バックアップまたはサポートが目的の場合にのみ許可されます。
セキュリティインシデント管理
このポリシーでは、セキュリティ インシデントの発生または疑いに対してアトラシアンが適切に対応するための一般原則とガイドラインを定めています。アトラシアンは、情報または情報システムの秘密保持、完全性、可用性を侵害するおそれがあるインシデントについて、組織内で監視する責任を負います。インシデントの兆候は必ず、すべて報告および評価します。
アトラシアンのセキュリティ チームは次を実行します。
- セキュリティ インシデントを事前に予想し、それに応じた対処計画を準備します。
- インシデントの拡大を防ぎ、完全に除去し、インシデントから回復させます。
- インシデントが発生したときに確実に検知して分析できるよう、アトラシアンの人材、プロセス、テクノロジーに投資します。
- インシデント対応の際には、顧客データを最優先に保護します。
- セキュリティ インシデント管理機能から学び、改善します。
サプライヤーおよびサードパーティのデータ管理
このポリシーでは、アトラシアンのデータへのベンダーのアクセスに関する、選択、手配、監督のための一般原則とガイドラインを定めています。
アトラシアンは以下を確実に実行します。
- アトラシアンは明確な目的を持ってベンダー選定プロセスを管理します。
- ベンダー契約を希望するビジネス所有者は、アトラシアンの標準の契約を使用する必要があります。
- アトラシアンはベンダーとの関係性がアトラシアンの基準を必ず満たすよう監視します。
- アトラシアンはいずれのベンダーとも、サービスが不要となった時点で契約を打ち切る権利を留保します。
システムの取得・開発・保守
このポリシーでは、社内とお客様の両方に向けたアプリケーション開発、実稼働前環境の管理方法に対する制限の設定、すべてのアトラシアン製品に対するオープン ソース ソフトウェアの統合に関する一般原則とガイドラインを定めています。
基本原則は次のとおりです。
- いかなる環境やアプリケーションの開発、または取得にも、セキュリティ要件が含まれています。
- 製品開発は、セキュリティ チェックの統合を含めたアトラシアンの社内品質保証プロセスに沿って行います。
- 本番前環境で本番環境のデータを使用する場合、データを匿名化またはマスクします。
- オープン ソースのフレームワークやライブラリの統合はすべて、アトラシアンの社内ガイドラインに従います。
脅威への対策および脆弱性の管理
このポリシーでは、アトラシアンの環境と製品の両方を対象にセキュリティ上の脅威と脆弱性を管理するための一般原則とガイドラインを定めています。
アトラシアンは以下を確実に実行します。
- アトラシアンは、当社製品やサービスにおけるセキュリティの脆弱性に、更新プログラム、パッチ、解決のヒントを提供して対応します。
- アトラシアンは、自社環境かホスト環境かにかかわらず、セキュリティの脅威と脆弱性に対応します。
- 環境内でのマルウェアの脅威に対応します。
監査 & コンプライアンス管理
このポリシーでは、アトラシアンのコントロール フレームワークの実施を検証する、監査およびコンプライアンス プログラムを管理するための、一般原則とガイドラインを定めています。
アトラシアンは以下を確実に実行します。
- 関連する社内ポリシーと規定、社外の業界標準を確実に順守するため、テクノロジーに重点を置いた運用、セキュリティ、プライバシー管理を導入します。
- 適切な監査を計画、実施してアトラシアンの統制環境の信頼性を高め、社内外の認定を受けます。
- アトラシアンの運用、セキュリティ、プライバシー、その他の統制の実施に対する社外からの承認を求めます。
- アトラシアンは関連する統制の目的、アクティビティ、テスト (アトラシアンのコントロール フレームワーク - ACF) のすべてに対して確固とした視点を持ち続けます。