セキュリティインシデントに対するアトラシアンの責務
概要
アトラシアンは、他のすべてのクラウドサービスプロバイダーと同様に、システムの停止やセキュリティインシデントが発生しないよう最善を尽くしています。しかし、セキュリティインシデントが発生する可能性があることも認識しています。アトラシアンでは、当社のセキュリティインシデント対応プロセスにお客様がどのように関わり、インシデントの段階ごとにお客様にどのような責務があるのかをお客様ご自身にもご理解いただきたいと考えています。アトラシアンは最悪の事態に備えて計画を立てており、そうした事態が発生した場合でも適切に対応して、お客様をないがしろにせず守ります。
アトラシアンは、当社のサービスとインフラストラクチャに影響するあらゆるセキュリティインシデントについて、その全体を解決するよう努力しています。違反の検出から、封じ込め、情報の開示にいたるまで、すべてのことを行います。ただし、すべてを把握することは不可能です。場合によっては、お客様にインシデントを報告するお手伝いをしていただく、外部コンサルタントから調査や法務関係の専門スキルの提供を受ける、などということが必要になります。
役割
アトラシアンは、複数のセキュリティインシデント管理モデルを検証、活用して、当社のインシデント対応プロセスを包括的かつ世界に通用するものにしています。そのようなモデルから最も重要なアクティビティを抜き出し、各役割の責務を記述しました。
| | 当事者 | 役割 | 説明 |
|---|---|---|---|
|
| 当事者 アトラシアン | 役割 セキュリティインシデント対応コーディネーター | 説明 各セキュリティインシデントにはアトラシアンのセキュリティチームに属するリードインシデントコーディネーターが配属され、セキュリティに関する決断を下し、プロセスの監督とタスクの割り当てに当たります。 |
|
| 当事者 アトラシアン | 役割 セキュリティインシデントアナリスト | 説明 セキュリティアナリストは大規模なインシデントの調査と分析を実行します。小規模のインシデントでは、セキュリティインシデント対応コーディネーターがこの役割を担当することがよくあります。 |
|
| 当事者 アトラシアン | 役割 カスタマーコミュニケーションリード | 説明 カスタマーコミュニケーションリードは各インシデントに配属され、顧客の関与方法に関する決断を下します。通常、顧客とのほとんどのコミュニケーションも担当します。 |
|
| 当事者 アトラシアン | 役割 レッドチーム | 説明 アトラシアンのレッドチームはサイバー界の実際の敵を模倣し、社内の検知・対応能力の改善点を評価および特定するために、所定のテストシナリオを実行します。 |
|
| 当事者 アトラシアン | 役割 支援アドバイザー | 説明 アトラシアンのセキュリティインシデント管理チームは、多様な分野の社内の専門家から助言を求めます (例: 法務、プライバシー、リスク、人事など)。こうした助言を通じて、各専門領域に影響する問題について専門家の指示を受けます。 |
|
| 当事者 セキュリティコンサルティング | 役割 コンサルタント | 説明 アトラシアンはインシデントが発生した場合、サイバーセキュリティの専門的コンサルティングサービス契約を締結します。このサービスでは通常、(不足時における) 追加リソース、社内で調達不能な専門的スキル、独立的立場からの助言、インシデントのレビューが提供されます。 |
|
| 当事者 顧客 | 役割 報告者 | 説明 お客様にはアトラシアンの資産への不正アクセスや悪意ある行動の報告をお願いしています。 |
|
| 当事者 顧客 | 役割 セキュリティ担当者 | 説明 お客様に影響するインシデントが確認された場合、お客様のセキュリティ担当者に通知されます。セキュリティ担当者は通常、アカウントの技術担当者の方が務めますが、お客様側に専任のセキュリティチームが存在する場合は、変更されることがあります。お客様側で、インシデントがアトラシアンの資産の範囲外で適切に管理されるように徹底する役割を担います。 |
責務
アトラシアンでは、RACI モデルを使用してセキュリティインシデント管理における責任を定義しています。当社は所定の責任の履行に最大限努力しますが、アトラシアンのカスタマー契約に従いご自分のデータのセキュリティに最終的な責任を負うのはお客様ご自身です。
- 責任者 - タスクの達成に取り組みます。
- 説明責任 - アクティビティの完了について最終的に適切かつ十分に返答します。
- 相談先 - 意見を求められます (双方向コミュニケーションの相手)。
- 通知先 - 最新の進捗状況に関して報告を受けます (一方的なコミュニケーションの相手)。
| | アクティビティ | アトラシアン | 顧客 |
|---|---|---|---|
|
| アクティビティ 検知 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 選別 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 調査 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 封じ込め | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 根絶 | アトラシアン 責任者 | 顧客 通知先 |
|
| アクティビティ 回復 | アトラシアン 責任者 | 顧客 通知先 |
|
| アクティビティ 通知 (対顧客) | アトラシアン 責任者 | 顧客 通知先 |
|
| アクティビティ 通知 (対アトラシアン) | アトラシアン 通知先 | 顧客 責任者 |
|
| アクティビティ 改善 | アトラシアン 責任者 | 顧客
|
|
| アクティビティ テスト | アトラシアン 責任者 | 顧客
|
|
| アクティビティ 外部外部に報告 (司法・コンプライアンス機関) | アトラシアン 説明責任 責任者 | 顧客 通知先 |
|
| アクティビティ 集計データ公開 | アトラシアン 責任者 | 顧客 通知先 |