当社の Atlassian Trust Management System (ATMS)


当社の Atlassian Trust Management System (ATMS) の紹介

アトラシアンは企業としての価値観に誇りを持っています。この価値観が当社の行動のすべてを導いています。際立つ 1 つの特有の価値観が、当社のオープンな企業文化、デタラメは無しです。この特有の価値観が表しているのは、「アトラシアンの価値観」のページで説明している内容と同じです。

そして、自分の考えていることを話すためには、知恵 (何を言うか)、思慮深さ (いつ言うか)、思いやり (どのように言うか) が等しく必要であることを私たちは知っています。

当社の事業運営方法やオペレーション運用方法の詳細を知りたいというご意見を頻繁に伺っています。それに応えるため、ISO27001 セキュリティマネジメント標準である当社の信頼性管理プログラム、Atlassian Trust Management System (ATMS) の実践についてここでご説明します。

アトラシアンでは、独特の販売アプローチ企業としての価値観アトラシアンの理念へのアプローチなど、いずれを取っても他社との差別化要因として誇るべきものであると考えています。このアプローチを当社の信頼性管理プログラムにまで拡大しています。

構造化された管理プログラムの重要性

品質管理システム、欠陥管理システム、継続的な向上のための改善方法、または構造化された機能成熟度の評価方法のいずれを評価する場合であっても、管理システムには価値があります。これらの管理プログラムはそれぞれの分野でテストされ、公開され、ピアレビューされ、改良されています。当社の Atlassian Trust Management Program は、ISO27001 情報セキュリティ管理システム標準に基づいたものです。ISO27001 標準の基本概念は以下のとおりです。

組織の能力を評価する社内および社外の関係者がこの国際標準を使用して、組織自体の情報セキュリティ要件を満たせます。

ガイダンスとしての国際基準の価値 (必ずしも準拠する必要はありません)

特に当社のお客様のデータをホストし、扱う責任を負う組織と同様に、クラウドサービスプロバイダーであるアトラシアンがお客様のデータの保護と機密情報に細心の注意を払っているかという多くの質問があるのは当然のことです。クラウドサービスの利用を考慮しているお客様は、主要なアプリケーションやサービスを選ぶ際に、同様の決定事項に直面します。

お客様それぞれに独自のセキュリティ要件がありますが、アトラシアンの信頼性管理プログラムではそのようなセキュリティ要件を考慮し、当社および当社の環境に独自の一連の要件を実現します。計画、運用、パフォーマンスの評価、および改善に対する ISO27001 アプローチによって、当社のプログラムの運用方法を継続的に評価でき、新しい脅威や要件を考慮して時間をかけてプログラムを改善、また運用全体のパフォーマンスを改善できます。

当社は、適切に構造化された一連のガイドラインとして国際標準を評価していますが、各管理について、そしてそれらの管理が当社の特殊な環境に適切であるかどうかを検討します。これらの国際標準を当社の環境に全体的に適用するために、同様のアプローチを取っています。

ポリシー管理プログラム

Trust Management System の基準となるものは、アトラシアンのポリシー管理プログラム (PMP) です。アトラシアンは、ISO27001 規格とクラウドセキュリティアライアンス (CSA) とクラウドコントロールマトリックス (CCM) の両方に含まれる分野をカバーするポリシーを確立しています。私たちは、当社のポリシー管理プログラム向けに次の 2 つの基本原則を開発しました。

  • 投稿して提供する - 問いかけをするのではなく、チームに求められている基準を明確にします。
  • 皆さんが簡単に準拠できるようにセキュリティチームのサポートを受ける - 私たちはチームを支援するために存在しています。ご協力ください。
  • セキュリティの目的を明確にする - 目標を定めて明確にします。
  • 法令順守のための取り組みを示す - 違法なことを犯さないようにします。
  • 継続的な反復と改善に注力する - 環境とプログラムにおけるリスクを常に評価し、それをポリシーに反映させます。
  • 例外プロセスを設定する - 完全に他に方法がなく、わずかな時間だけポリシーに準拠できない場合に該当します。
  • 年ごとのレビューを実施する - 新たな脅威やリスクが見つかった場合のポリシーの更新を含みます。

当社のテクノロジーポリシーの概要と抜粋をご覧ください。

リスク管理プログラム

当社の環境および製品へのリスクを継続的に評価するために、リスク評価を常に実行しています。特に製品の場合には、これらが技術的リスク評価またはコードレビューとして実行されることが多くなります。ただし、より高次のビジネスリスクを見つけ出すことを目的として、製品スタック全体、または組織の一部についてもそれぞれ評価しています。一般的に、ISO27005 または ISO31010 のリスク管理方法を採用し、その方法を特定のスコープに適用します。当社のリスク管理方法は以下のとおりです。

  • リスク評価アクティビティを実行する - リスク評価の実行、リスク処理に関する決定の円滑化がこれに含まれます。スコープとそれに含まれる資産の識別、リスクの識別、影響と可能性の評価、リスクに関するレビューと報告が例として挙げられます。
  • セキュリティリスク管理のためのプロジェクトを監視および報告する - セキュリティリスクを管理するために設計されたプログラムやプロジェクトを継続的に監視し、報告します。
  • SMP をサポートする - メカニズムとしての継続的なリスク評価によって環境を改善し、また、実施したセキュリティ管理により、特定されたセキュリティリスクを効率的に管理します。

詳細については、エンタープライズリスク管理プログラムをご覧ください。

Atlassian Trust Management Forum (ATMF)

最後に、当社では構造化した信頼性管理フォーラムを継続的に開催しています。フォーラムには信頼性プログラムのそれぞれの中心的な分野からの代表者が含まれます。これらの分野全体にわたって、セキュリティ管理だけではなく、信頼性、プライバシーおよびコンプライアンスの管理、リスクの管理方法を確実に適用します。また、別個のフォーラムミーティングを設け、特定のトピックおよび適切な情報共有もカバーしています。

ATMF の目的:

  • アトラシアンおよびお客様をセキュリティの脅威から保護するために必要な優先順位とアクションについて合意する
  • 各業務部門でのアクティビティを支持して促進し、攻撃される可能性がある欠陥または脆弱性に取り組む
  • 重大なセキュリティリスクおよびコンプライアンスプログラムに取り組む作業グループに方向性を示し、サポートを提供する
  • 組織全体にわたりセキュリティ意識を高める文化を支援する

当社は以下のフォーラムミーティングを継続的に開催しています。

  • ATMF: 管理のレビュー (毎年 - 年次予算に応じて)
  • ATMF: リソースのレビュー (毎年 - 年次予算に応じて)
  • ATMF: リスクのレビュー (四半期ごと)
  • ATMF: セキュリティ健全性のレビュー (毎月)
  • ATMF: コンプライアンス健全性のレビュー (毎月)
  • ATMF: 管理のレビュー (毎週 - 各部門が管理のレビューを実施)

このようにミーティングを構成し、頻繁に実施することによって、当社にとっての脅威の概要を継続的に見直してそれらの脅威に対処できます。

セキュリティ組織の管理方法は組織の数だけ存在します。アトラシアンでは、柔軟かつ応答がスピーディで、当社とお客様の両方に対する新しい脅威とリスクを評価して取り組むのに十分な構造を持つプログラムを設定できたと確信しています。