セキュリティインシデントの管理に対する当社のアプローチ


セキュリティインシデントに対する当社のアプローチ

アトラシアンでは包括的なセキュリティ対策を練り、お客様の情報保護と可能な限り信頼性と安全性の高いサービスの提供に万全を期しています。一方でセキュリティインシデントが発生する可能性 (および実例) も認識しています。そのため、こうしたインシデントに効果的に対処する方法を用意しておくことも同じくらい重要です。

こうした観点から、アトラシアンではサービスやインフラストラクチャに影響するセキュリティインシデントに対応するために、明確に定義されたアプローチを設けています。たとえば、当社製品とインフラストラクチャについて包括的なログを作成して監視を徹底し、インシデントの疑いを早期に検知すると同時に、インシデントの全段階で実行する所定のプロセスを周到に定義して、検知漏れを補完しています。こうしたアプローチは、適性が高く、効果的なインシデント対応の指揮において豊富な経験を持つオンコールのインシデントマネージャーチームによって支えられています。また、社内スタッフによる調査と対応が可能な限り効果を発揮するように、外部の専門家の協力も幅広く仰いでいます。当社はインシデント管理アプローチを策定するうえで、アメリカ国立標準技術研究所 (NIST) が策定した「コンピューターセキュリティインシデント対応ガイド」(800-61) のガイダンスを参考にし、Verizon の「VERIS」フレームワークに従ってインシデントをカタログ化しています。

当社の理念とアプローチ

アトラシアンではセキュリティインシデントを、お客様のデータおよびアトラシアンのデータとサービスの機密性、完全性、可用性に悪影響を及ぼしているか、及ぼす危険性があるあらゆる場面であるととらえています。

以前は、影響を「故意」という用語で限定していましたが、不用意なデータ流出なども含めるために、現在この用語は削除されています。

セキュリティインシデントに対するアトラシアンの対応方法の中核となるのが当社の価値の保護です。「顧客をないがしろにしない」という価値は特に大切にしています。そのために最適なプロセスの完備に力を入れ、常にお客様の最善の利益にかなう方法でセキュリティインシデントを処理すること、およびお客様にご満足いただけるような形で当社製品の使用を継続していただけることを徹底しています。こうした観点からアトラシアンでは、以下の複数の機能を備える堅牢なインシデント対応プロセスを策定しました。

インシデントの疑いを早期に検知する複数の方法

アトラシアンには、製品とインフラストラクチャの不具合や異常のうちセキュリティインシデントの可能性があるものを検知する監視メカニズムがいくつかあります。こうしたメカニズムを通じて、詳細な調査を必要とする活動の有無がすぐに警告されます。累積されたログを取り込み分析するプラットフォームでは、ログを 1 か所に整理し、アナリストが迅速かつ入念に調査できるようにするほか Site Reliability Engineer がプラットフォームを監視して可用性を常時保ちます。また、セキュリティ情報およびイベントアプリケーションでアラートを作成して、チームへの事前通知に役立てています。

外部のレポートチャネルも、脆弱性やインシデントの検知に使用しています。主な例として、バグ報奨金プログラム顧客サポートポータル、所定のセキュリティメール受信箱と電話番号が挙げられます。

定評あるセキュリティインシデント管理のフレームワーク

インシデント対応プロセスの一貫性と反復性、効率性を保つため、アトラシアンでは明確に定義された内部フレームワークを設けています。このフレームワークではインシデント対応プロセスの各フェーズで取る必要のある手順を取り上げています。また、多様なインシデントのタイプに効果的に対応するために、必要な手順を詳細に定義するプレイブックも作成して継続的に更新しています。これらフレームワークの要点は以下のとおりです。

インシデントの検知と分析 – インシデントの疑いに関する最初の報告後に取る手順には、攻撃元、危険が及ぶ範囲、アトラシアンとそのお客様への影響を理解することで、セキュリティインシデントの発生の有無を確認する (その結果、誤検知を最小限に抑える) 方法が含まれます。

インシデントの深刻度区分 – 適切な分析を通じて状況を把握したら、この情報を使用してインシデントの深刻度を判断します。アトラシアンではインシデントを次の 4 つの深刻度のいずれかに区分しています。

インシデントの深刻度の説明
深刻度 説明
0 最大級の影響を伴う危機的インシデント
1 大きな影響を伴うきわめて重大なインシデント
2 相当の影響を伴う大規模なインシデント
3 影響が小さい小規模のインシデント

アトラシアンでは、多様な指標を使ってインシデントの深刻度を判断しています – どの指標を使用するかは関係する製品に応じて異なりますが、たとえば、サービスの全面的停止の有無 (および影響を受ける顧客数)、中核機能の故障の有無、データ紛失の有無といった指標を考慮します。

封じ込め、根絶、回復 – インシデントの深刻度を検討した後で、そのインシデントの封じ込め、根本原因の根絶、回復プロセスの開始に必要な手順を見極め、その手順を実行に移し、できるだけ早急に通常業務に戻れるようにします。このフェーズで取る手順は、当然ながら、インシデントの性質に応じて多岐にわたります。アトラシアンは、お客様にメリットがある場合 (または法律や契約上の義務を果たすために必要な場合) は、インシデント対応プロセスのこのフェーズで、インシデントとそれに伴い考えられる影響についてお客様に伝えます。

通知 - お客様のデータがセキュリティインシデントや侵害の対象となった場合、アトラシアンは妥当な期間内 (または 72 時間以内) にお客様に通知する方針をとっています。当初お知らせする内容はそれほど具体的ではありませんが、情報が得られ次第、逐一お伝えします。

インシデント後の入念なレビュープロセス – すべてのインシデントが解決したら発生事例から学んだことについて考察します。考察を通じて得た知識が、技術的ソリューションの策定、プロセスの改善、追加のベストプラクティスの導入につながれば、お客様に最善の体験を提供し続け、次回は悪意のある攻撃を受けにくくなります。

明確に定義された役割と責任

発生する各インシデントは、適正が高く経験豊富な社内の主要インシデントマネージャー (MIM) によって管理されます。MIM は通常、セキュリティ関連の決断を下し、対応プロセスを円滑にするためのタスクを内部に割り当てます。MIM の補佐役となるインシデントアナリストは、インシデントの調査と分析に加え、対応プロセスを補完する他の広範な役割を主導します。インシデントが複数のロケールに影響を及ぼすケースでは、多くの場合、各インシデントに 2 名の MIM を配属し、責任者が常駐して対応プロセスを前進させ、封じ込めや回復活動が停滞したり、時差による影響を受けたりしないように取り計らいます。

インシデントがきわめて大規模な場合、別のチーム (通常 Site Reliability Engineering) から招集された MIM が対応プロセスの管理を支援します。セキュリティインシデントに関する役割と責任の詳細はこちらをお読みください

外部の専門家を利用するケース

インシデント調査の支援役として、時には外部の専門家の協力を仰がなければならないケースもあります。たとえば、詳細なフォレンジック分析、または訴訟向けに電子情報開示義務に基づくフォレンジック情報の証拠保全が必要な場合には、サイバーセキュリティ専門のコンサルタントやフォレンジック分野の専門家とサービス契約を結びます。

独自ツールを使用したセキュリティインシデントの管理方法

当社では、できるだけ秩序と一貫性を保って動的にインシデントに対処できるよう、特に構成された多くの当社製品を使用します。以下はこうした主な例です。

Confluence – Confluence は、ドキュメントを共同で作成し、インシデント対応プロセスの状況を集中的にまとめて更新するのに使用できます。Confluence を使用することで、プロセスがスタッフ全員に確実に伝わるうえ、過去のインシデントに基づく教訓を迅速に現状に反映することもできます。Confluence は、調査と発見事項の文書化にも使用されます。

Jira – Jira はインシデントが疑われる事例の初回調査用のチケット、および初回調査でインシデントの発生が確認された場合は、対応プロセスの進行と追跡用のチケットを作成するために使用されます。これらのチケットは、インシデントの関連情報の集積、解決策の策定、他の後方支援作業 (対応プロセスの一環としてタスクを委託したり、必要な場合に社内の他のチームに連絡したりするなど) の実行に利用します。Jira は、実行する調査と各調査の成否の追跡にも使用されます。

Bitbucket – Bitbucket は、特定の種類のインシデントで発生する独特なエッジケース問題に関してコードベースのソリューションを策定する際に、ソースコードの管理ツールとして使用されます。ソリューションは策定後、非公開のまま内部で共同作業とテストが可能で、必要なだけ簡単かつ迅速にイテレーションを続行できます。Bitbucket は継続的インテグレーションプランや継続的デリバリープランと組み合わせて、インシデントの原因を軽減するコードの展開、検知プロセスの円滑化、インシデントの再発防止のためにも使用されます。

このようなツールの使用を継続することにより、あらゆるタイプのインシデントへの対応フレームワークが確立され、各インシデントに対する一定レベルの構造と知識が蓄積されるようになるため、解決策の早急な発見に対応できます。

概要

セキュリティインシデントへの対処に関してアトラシアンが採用しているアプローチは、堅牢で包括的なものであり、お客様にご提供しているのと同じツールの使用を中心にしています。これにより、一貫性、予測可能性、効果の高いインシデント対応が可能になり、お客様、パートナー、およびアトラシアン自体に及びうる損害を最小限に抑えることができます。

詳細情報

アトラシアンでは当社のセキュリティインシデントの処理方法、およびセキュリティ全般へのアプローチに関する情報を掲載する他のリソースを以下のとおりいくつか公表しています。