Close

当社の Atlassian Trust Management System (ATMS)


当社の Atlassian Trust Management System (ATMS) の概要

アトラシアンは企業としての価値観に誇りを持っています。この価値観が当社の行動のすべてを導いています。際立つ 1 つの特有の価値観が、当社のオープンな企業文化、デタラメは無しです。この特有の価値観が表しているのは、「アトラシアンの価値観」のページで説明している内容と同じです。

そして、自分の考えていることを話すためには、知恵 (何を言うか)、思慮深さ (いつ言うか)、思いやり (どのように言うか) が等しく必要であることを私たちは知っています。

当社の事業運営方法やオペレーション運用方法の詳細を知りたいというご意見を頻繁に伺っています。それに応えるため、ISO27001 セキュリティマネジメント標準である当社の信頼性管理プログラム、Atlassian Trust Management System (ATMS) の実践についてここでご説明します。

アトラシアンでは、独特の販売アプローチ企業としての価値観アトラシアンの理念へのアプローチなど、いずれを取っても他社との差別化要因として誇るべきものであると考えています。このアプローチを当社の信頼性管理プログラムにまで拡大しています。

 

構造化された管理プログラムの重要性 

品質管理システム、欠陥管理システム、継続的な向上のための改善方法、または構造化された機能成熟度の評価方法のいずれを評価する場合であっても、管理システムには価値があります。これらの管理プログラムはそれぞれの分野でテストされ、公開され、ピアレビューされ、改良されています。当社の Atlassian Trust Management ProgramISO27001 情報セキュリティ管理システム標準に基づいたものです。ISO27001 標準の基本概念は以下のとおりです。

組織の能力を評価する社内および社外の関係者がこの国際標準を使用して、組織自体の情報セキュリティ要件を満たすことができます。

 

ガイダンス (任意) としての国際標準の価値

特に当社のお客様のデータをホストし、扱う責任を負う組織と同様に、クラウドサービスプロバイダーであるアトラシアンがお客様のデータの保護と機密情報に細心の注意を払っているかという多くの質問があるのは当然のことです。クラウドサービスの利用を考慮しているお客様は、主要なアプリケーションやサービスを選ぶ際に、同様の決定事項に直面します。

お客様それぞれに独自のセキュリティ要件がありますが、アトラシアンの信頼性管理プログラムではそのようなセキュリティ要件を考慮し、当社および当社の環境に独自の一連の要件を実現します。計画、運用、パフォーマンスの評価、および改善に対する ISO27001 アプローチによって、当社のプログラムの運用方法を継続的に評価でき、新しい脅威や要件を考慮して時間をかけてプログラムを改善、また運用全体のパフォーマンスを改善できます。

当社は、適切に構造化された一連のガイドラインとして国際標準を評価していますが、各管理について、そしてそれらの管理が当社の特殊な環境に適切であるかどうかを検討します。これらの国際標準を当社の環境に全体的に適用するために、同様のアプローチを取っています。

 

ポリシー管理プログラム

信頼性管理システムの基本は、当社のポリシー管理プログラム (PMP) です。ISO27001 標準、および Cloud Security Alliance (CSA) の Cloud Controls Matrix (CCM) の両方に含まれる領域をカバーするためにポリシーを構造化しています。当社のポリシーには、以下の基本的な原則を取り入れています。

  • 公開し、利用可能な状態にする - チームが達成するべき目標をあいまいにせず、明確にして共有します。
  • セキュリティチームのサポートにより、標準への準拠を容易にする - チーム、そして個々のメンバーを支援します。
  • セキュリティの目標の概要を示す - ゴールを設定し、それを明確に示します。
  • 法的義務を満たすためのコミットメントを示す - 法は侵しません。
  • 継続的なイテレーションと改善を重視する - 環境およびプログラムでのリスクを評価し続け、それらをポリシーに反映します。
  • 例外的プロセスに備える - チームが短時間でポリシーを満たす見込みがまったくなく、ほかに方法がない場合に行います。
  • 年単位でレビューする - 新しい脅威およびリスクが見つかった際のポリシーの更新を含みます。

 

リスク管理プログラム

当社の環境および製品へのリスクを継続的に評価するために、常にリスク評価を実行しています。特に製品の場合には、これらが技術的リスク評価またはコードレビューとして実行されることが多くなります。ただし、より高次のビジネスリスクを見つけ出すことを目的として、製品スタック全体、または組織の一部についてもそれぞれ評価しています。一般的に、ISO27005 または ISO31010 のリスク管理方法を採用し、その方法を特定のスコープに適用します。当社のリスク管理方法は以下のとおりです。

  • リスク評価アクティビティを実行する - リスク評価の実行、リスク処理に関する決定を円滑にすることがこれに含まれます。スコープとそれに含まれる資産の識別、リスクの識別、影響と可能性の評価、リスクに関するレビューと報告が例として挙げられます。
  • セキュリティリスク管理のためのプロジェクトを監視および報告する - セキュリティリスクを管理するために設計されたプログラムやプロジェクトを継続的に監視し、報告します。
  • SMP をサポートする - メカニズムとしての継続的なリスク評価によって環境を改善し、また、実施したセキュリティ管理により、特定されたセキュリティリスクを効率的に管理します。

 

Atlassian Trust Management Forum (ISMF)

最後に、当社では構造化した信頼性管理フォーラムを継続的に開催しています。フォーラムには信頼性プログラムのそれぞれの中心的な分野からの代表者が含まれます。これらの分野全体にわたって、セキュリティ管理だけではなく、信頼性、プライバシーおよびコンプライアンスの管理、リスクの管理方法を確実に適用します。また、別個のフォーラムミーティングを設け、特定のトピックおよび適切な情報共有もカバーしています。

ISMF の目的

  • アトラシアンおよびお客様をセキュリティの脅威から保護するために必要な優先順位とアクションについて合意する
  • 各業務部門でのアクティビティを支持して促進し、攻撃される可能性がある欠陥または脆弱性に取り組む
  • 重大なセキュリティリスクおよびコンプライアンスプログラムに取り組む作業グループに方向性を示し、サポートを提供する
  • 組織全体にわたりセキュリティ意識を高める文化を支援する

当社は以下のフォーラムミーティングを継続的に開催しています。

  • ATMF: 管理のレビュー (毎年)
  • ATMF: リソースのレビュー (毎年)
  • ATMF: リスクのレビュー (四半期ごと)
  • ATMF: セキュリティ健全性のレビュー (毎月)
  • ATMF: コンプライアンスのレビュー (毎月)
  • ATMF: 管理のレビュー (毎週)

このようにミーティングを構成し、頻繁に実施することによって、当社にとっての脅威の概要を継続的に見直してそれらの脅威に対処することができます。

セキュリティ組織の管理方法は組織の数だけ存在します。アトラシアンでは、柔軟かつ応答がスピーディで、当社とお客様の両方に対する新しい脅威とリスクを評価して取り組むのに十分な構造を持つプログラムを設定できたと確信しています。