セキュリティインシデントに対するアトラシアンの責務
概要
アトラシアンは、他のすべてのクラウド サービス プロバイダーと同様に、システムの停止やセキュリティ インシデントが発生しないよう最善を尽くしています。しかし、セキュリティ インシデントが発生する可能性があることも認識しています。アトラシアンのセキュリティ インシデント対応プロセスにお客様がどのように関与するのか、インシデントの段階ごとにお客様にどのような責務があるのかを、お客様自身にご理解いただくことは、当社にとって重要です。アトラシアンは最悪の事態に備えて計画を立てているので、そうした事態が発生した場合でも適切に対応して、お客様をないがしろにせず守ります。
アトラシアンは、当社のサービスとインフラストラクチャに影響するあらゆるセキュリティインシデントについて、その全体を解決するよう努力しています。違反の検出から、封じ込め、情報の開示にいたるまで、すべてのことを行います。ただし、すべてのことを把握することは不可能です。場合によっては、お客様にインシデントを報告するお手伝いをしていただく、外部コンサルタントから調査や法務関係の専門スキルの提供を受ける、などということが必要になったりします。
役割
アトラシアンは、複数のセキュリティインシデント管理モデルを検証、活用して、当社のインシデント対応プロセスを包括的かつ世界に通用するものにしています。そのようなモデルから最も重要なアクティビティを抜き出し、各役割の責務を記述しました。
| | 当事者 | 役割 | 説明 |
|---|---|---|---|
|
| 当事者 アトラシアン | 役割 セキュリティインシデント対応コーディネーター | 説明 各セキュリティインシデントにはアトラシアンのセキュリティチームに属するリードインシデントコーディネーターが配属され、セキュリティに関する決断を下し、プロセスの監督とタスクの割り当てに当たります。 |
|
| 当事者 アトラシアン | 役割 セキュリティインシデントアナリスト | 説明 セキュリティアナリストは大規模なインシデントの調査と分析を実行します。小規模のインシデントでは、セキュリティインシデント対応コーディネーターがこの役割を担当することがよくあります。 |
|
| 当事者 アトラシアン | 役割 カスタマーコミュニケーションリード | 説明 カスタマーコミュニケーションリードは各インシデントに配属され、顧客の関与方法に関する決断を下します。通常、顧客とのほとんどのコミュニケーションも担当します。 |
|
| 当事者 アトラシアン | 役割 レッドチーム | 説明 アトラシアンのレッドチームはサイバー界の実際の敵を模倣し、社内の検知・対応能力の改善点を評価および特定するために、所定のテストシナリオを実行します。 |
|
| 当事者 アトラシアン | 役割 支援アドバイザー | 説明 アトラシアンのセキュリティインシデント管理チームは、多様な分野の社内の専門家から助言を求めます (例: 法務、プライバシー、リスク、人事など)。こうした助言を通じて、各専門領域に影響する問題について専門家の指示を受けます。 |
|
| 当事者 セキュリティコンサルティング | 役割 コンサルタント | 説明 アトラシアンはインシデントが発生した場合、サイバーセキュリティの専門的コンサルティングサービス契約を締結します。このサービスでは通常、(不足時における) 追加リソース、社内で調達不能な専門的スキル、独立的立場からの助言、インシデントのレビューが提供されます。 |
|
| 当事者 顧客 | 役割 報告者 | 説明 お客様にはアトラシアンの資産への不正アクセスや悪意ある行動の報告をお願いしています。 |
|
| 当事者 顧客 | 役割 セキュリティ担当者 | 説明 お客様に影響するインシデントが確認された場合、お客様のセキュリティ担当者に通知されます。セキュリティ担当者は通常、アカウントの技術担当者の方が務めますが、お客様側に専任のセキュリティチームが存在する場合は、変更されることがあります。お客様側で、インシデントがアトラシアンの資産の範囲外で適切に管理されるように徹底する役割を担います。 |
責務
アトラシアンでは、セキュリティインシデントの管理責務を RACI モデルを使って規定しています。アトラシアンは規定された責務を遂行するためにあらゆる努力を尽くしますが、アトラシアンカスタマー契約に基づき、お客様のデータのセキュリティに関しては最終的にお客様が責任を負います。
- 実行責任者 (Responsible) - 当事者は、タスクを遂行するための作業を実施します。
- 説明責任者 (Accountable) - 当事者は、アクティビティの適切で完全な遂行について最終的に説明する義務を負います。
- 協業先 (Consulted) - 当事者は、意見を求められた場合に対応します。これは、双方向のやり取りです。
- 報告先 (Informed) - 当事者は、タスクの進捗に関する最新の報告を常に受けます。これは、一方向のみのやり取りです。
| | アクティビティ | アトラシアン | 顧客 |
|---|---|---|---|
|
| アクティビティ 検知 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 選別 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 調査 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 封じ込め | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 根絶 | アトラシアン 責任者 | 顧客 通知先 |
|
| アクティビティ 回復 | アトラシアン 責任者 | 顧客 通知先 |
|
| アクティビティ 通知 (対顧客) | アトラシアン 責任者 | 顧客 通知先 |
|
| アクティビティ 通知 (対アトラシアン) | アトラシアン 通知先 | 顧客 責任者 |
|
| アクティビティ 改善 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ テスト | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 外部外部に報告 (司法・コンプライアンス機関) | アトラシアン 説明責任 責任者 | 顧客 通知先 |
|
| アクティビティ 集計データ公開 | アトラシアン 責任者 | 顧客 通知先 |