セキュリティ評価
Cloud 製品のセキュリティテストに関するアトラシアンのルール
アトラシアンのお客様は、事前の承認を得ずにご自身の Atlassian Cloud 製品 (以下に説明) のセキュリティ評価を実行することがあるかもしれません。「セキュリティ評価」とは、アトラシアンの製品とサービスのセキュリティ機能や制御を判断、評価、またはテストするためのアクティビティです (たとえば、ペネトレーションテストや脆弱性スキャン)。このページでは、Atlassian Cloud 製品に対するセキュリティ評価の実行をご希望のお客様に適用されるルール (「セキュリティテストルール」) を定めています。Cloud 製品を提供するアトラシアンのプラットフォーム (「Atlassian Cloud プラットフォーム」) では、共有インフラストラクチャを利用してお客様の Cloud 製品および他のお客様所有の Cloud 製品をホストします。すべてのセキュリティ評価をお客様の Cloud 製品やインスタンスに対して行うよう制限し、他のお客様に意図しない影響を与えないように注意が必要です。
すべてのセキュリティ評価では、このページで説明されているアトラシアンのセキュリティ テスト ルールに従う必要があります。Cloud 製品の使用については、該当の Cloud 製品を購入した際のアトラシアン カスタマー アグリーメントまたはその他の適用される契約条件 (総称して「利用規約」) に引き続き準拠していただく必要があります。これらのセキュリティ テスト ルールまたは関連する利用規約の違反があった場合は、アカウントの停止や終了、または法的措置がとられる可能性があります。これらのセキュリティ テスト ルールまたは利用規約の違反による Atlassian Cloud プラットフォームへの損害、および他のお客様のデータまたは Atlassian Cloud プラットフォームの利用に与えた悪影響に対する責任はお客様が負うことになります。
セキュリティ評価対象の Cloud 製品
これらのセキュリティテストルールのため、以下に記載されている製品で「Cloud 製品」が構成されています。
- Jira Software
- Jira Service Management
- Jira Align
- Jira Work Management
- Confluence
- Bitbucket
- Atlassian Access
- Statuspage
- Trello
- Opsgenie
- Halp
セキュリティテストルール
許可されているアクティビティ
- セキュリティ評価は、対象となる上記の Cloud 製品をサブスクライブしているアトラシアンのお客様よってのみ実行できます。
- これらのセキュリティテストルールを含め、セキュリティ評価に関するアトラシアンのポリシーに従って、お客様が所有する Cloud 製品のインスタンスに対してのみセキュリティ評価を実行できます。
- セキュリティ評価の実行には自動ツール/スキャナーを使用できますが、当社もそれらのツールを使用していることにご留意ください。自動スキャナーによる結果はいずれも、アトラシアンに提出する前に、実用的で再現可能な概念実証であることをお客様のセキュリティチームがレビューし、選別する必要があります。当社は、セキュリティスキャナーによる未選別の結果を受け付けません。
禁止されているアクティビティ
- 自身が保有していない (その他のアトラシアンのお客様が保有するものを含む) Cloud 製品、インスタンスやアセットのスキャン、テストまたは評価
- 他のあらゆる顧客データへの故意のアクセス (お客様の認証情報へのアクセスや使用を含む)
- 非技術的な攻撃 (ソーシャルエンジニアリング、フィッシングまたはインフラストラクチャへの不正なアクセスを含むが、これに限定されない)
- 物理的なセキュリティ攻撃 (アトラシアンのオフィス、設備、従業員などを含むが、これに限定されない)
- 範囲外の製品のテスト
- アトラシアンの企業インフラストラクチャへのターゲティング
- サービス妨害 (DoS)、分散 DoS (DDoS)、疑似 DoS、疑似 DDoS
- ポートフラッディング
- プロトコルフラッディング
- リクエストフラッディング (ログインリクエストフラッディング、API リクエストフラッディング)
- 脆弱性検出スキャナーまたはセキュリティ評価アプリケーションによる未選別のレポートの提出
問題の報告
Atlassian Cloud 製品またはその他のアトラシアンのサービスに関連するセキュリティの潜在的な欠陥を見つけたと思われる場合は、以下の指示に従い 24 時間以内のご報告をお願いします。脆弱性の報告。また、発見事項を当社のバグ報奨金プログラムに提出することもできますが、自動化スキャナーによる結果は受け付けないことに留意してください。提出した問題については、公開する前にまず当社の許可を得る必要があります。セキュリティ評価の結果は、アトラシアンの機密情報と見なされます。アトラシアンは公開に関するリクエストをレポートごとに処理します。問題が未修正の場合は、お客様からの公開に対するリクエストは却下されます。
追加の利用規約
アトラシアンの他のお客様のデータに意図的にアクセスすることは厳格に禁止されていますが、機密の顧客データ (例: ログイン認証情報、API キーなど)、または顧客データにアクセスする方法 (脆弱性を利用して) を見つけたと思われる場合は、直ちにアトラシアンサポートに報告してください。ただし、脆弱性の検証や、お客様のアカウントやデータへのアクセスは行わないでください。
お客様がこれらのセキュリティ テスト ルールに違反した場合、アトラシアンはお客様のアカウントを停止または終了する権利に加えて、悪意があるように思われる、または脅威が存在することが判明したネットワークでのあらゆるアクティビティに対処する権利を有します。お客様が行うセキュリティ評価に関連するアクティビティに対して不正使用レポートを受け取った場合、当社はお客様の IP または IP 範囲をブラックリストに載せることがあります。アトラシアン サポートに連絡してその制約を取り除く場合は、報告されたアクティビティの根本原因、および報告された問題の再発を防ぐために行った作業の詳細をご連絡ください。
オプションとして、セキュリティ評価を実施する旨をアトラシアンのセキュリティに通知する場合は、アトラシアンサポートに「セキュリティ評価の実施計画」という件名でチケットを送信してください。チケットには、テスト日、テスト時間範囲、ソース IP または範囲、対象ドメイン、連絡先情報を含めてください。事前の通知は義務ではありませんが、通知していただくと当社はそのテストを識別できるようになるため、テストが無効となるようなネットワークのブロッキングを行わずに済みます。
Atlassian Cloud 製品のパートナーおよび再販業者は、自身のお客様のセキュリティ評価アクティビティに対する責任を負います。