Close

セキュリティプラクティス

アトラシアンは、どのチームにも素晴らしいことを実現する能力があると信じています。アトラシアンの使命はソフトウェアの力を通じて、さまざまな業界のあらゆる規模のチームの可能性を引き出すことで最終的に人類の進歩に貢献することです。

お客様のミッションは私たちのミッションと同じくらい重要であり、情報は全ての私たちのビジネスと生活の中心です。よってお客様の信頼が私たちの行うことの中心にあり、セキュリティが最優先となります。私たちのセキュリティプログラムには透明性があり、安心して製品とサービスをご利用いただけます。

セキュリティに対する当社のアプローチの詳細をお読みいただき、お客様の関与するところについてご確認ください。

このページの情報は、特に明記しない限り Atlassian Cloud 製品である Jira、Confluence、Bitbucket に適用されます。

私たちがおこなっていること

当社のAtlassian Trust Management System (ATMS) では、各お客様のセキュリティ要件を考慮に入れたうえで、当社と当社の環境に固有の要件を定義しイニシアチブを実現しました。イニシアチブの詳細については、 Atlassian Trust サイトで ISO 27001 および SOC2 の認定報告書をダウンロードするかリクエストしてください。CSA STAR への回答Atlassian Trust Management System (ATMS) についての詳細も併せてご確認ください。

各領域でのセキュリティ対策

セキュリティに最終的な到達点はなく — 継続して行うべきものだと考えています。当社では、ソフトウェアおよびサービスのセキュリティを強化するために、ソフトウェア開発および内部運用プロセスの改善に継続的に努めています。セキュリティの対策はシンプルな方法であるべきです。よって、製品やインフラの基礎構造にセキュリティ対策を組み込んでいます。当社で業務の一環としてセキュリティを確保しているいくつかの方法を以下に紹介します。

アーキテクチャ

アプリケーション、ネットワーク、およびビジネスプロセスを設計する際、セキュリティは最優先事項です。

Atlassian Cloud のセキュリティアーキテクチャは、幅広い業界標準とフレームワークを考慮に入れ、当社内部の脅威モデリングプロセスを組み合わせて設計されています。柔軟性ニーズと効果的な制御ニーズのバランスをとり、お客様のデータの機密性、完全性、可用性を確保しています。

アプリケーション

アプリケーション開発時のセキュリティ、データセキュリティおよび情報のライフサイクル管理。

セキュリティ

暗号化、脅威への対策および脆弱性の管理、セキュリティインシデント管理。

インフラストラクチャ

アセット管理、アクセス制御、運用、通信セキュリティ。

データーセンターとオフィス

物理および環境面でのセキュリティ。

Corporate

セキュリティガバナンス、セキュリティ部門、全社員でのセキュリティ対策、サプライヤーおよびサードパーティでのデータ管理、モバイルセキュリティ、ビジネス継続性、監査/コンプライアンス、プライバシー。

当社のアーキテクチャを実現するセキュリティ制御は異なる複数の標準に準拠するように設計されています。このような標準間の重複を受け、当社では独自の制御フレームワークを構築しています。このフレームワークにより、当社が準拠している複数の標準の要件を効率的にマッピングした 1 つの表を作成し、それに従っています。以降の表 1 をご参照ください。

Standard 提供元 制御範囲 領域

ISO27001

国際標準化機構

26 要件

6 つの項

ISO27002

国際標準化機構

114 要件

14 領域

PCI-DSS

Payment Card Industries

247 要件

6 領域

CSA CCM

クラウドセキュリティアライアンス

133 の制御

16 領域

SOC 2

Service Organisation Controls

116 要件

5 の対象範囲

SOX 404 (IT)

米国連邦法

22 要件

5 領域

GAPP

米国公認会計士協会

106 要件

10 領域

詳細については、当社の共通制御フレームワークをご参照ください。

 

ネットワーク

ネットワークアクセスに階層化アプローチを採用し、各スタックの層を制御します。

各スタックの層に制御を実装し、ゾーン、環境、サービスでインフラストラクチャを分割しています。

ゾーニングには、オフィスの限定、データセンターの限定、プラットフォームネットワークトラフィックの限定などがあります。環境を区分することで実稼働と開発の接続性を制限しています。サービスが他のサービスとやりとりする場合は、認証ホワイトリストを介した明確な承認が必要になります。

機密性の高いネットワークへのアクセスについては、仮想プライベートクラウド (VPC) ルーティング、ファイアウォールルール、ソフトウェア定義ネットワークにより制御しています。接続はすべてデフォルトで暗号化されます。

スタッフが接続するには、機密性の高いネットワークアクセス用のデバイス認証、多要素認証、およびプロキシの使用が必須です。お客様のデータにアクセスするには、明示的なレビューと承認が必須です。

また、企業ネットワークと本番環境用ネットワークの両方に侵入検知および侵入防止システムを実装し、潜在的なセキュリティ問題を特定できるようにしています。

アプリケーション

脅威に対して最適な対策を行っていることを確認するために脅威モデリングの手法を使用しています。

製品の計画および設計段階で、その製品または機能に関連するセキュリティリスクを理解するために、脅威モデリングの手法を使用しています。脅威モデリングとは一般に、アプリケーションまたはサービスのエンジニア、セキュリティエンジニア、アーキテクト、およびプロダクトマネージャーの間で行うブレインストーミングセッションです。脅威の特定および優先付けを行い、その情報を設計プロセスで活用し、開発の後の段階であるレビューやテストの焦点として使用します。

当社ではマイクロソフト社の Threat Modeling Tool と、脅威モデルフレームワークである STRIDE を使用しています。STRIDE は、セキュリティでの一般的な考慮事項の頭文字を集めたものです (Spoofing: なりすまし、Tampering: 改ざん、Reputation: レピュテーション、Information Disclosure: 情報公開、Denial of Service: サービス妨害、Elevation of Privilege: 権限昇格)。

当社では以前から脅威モデリングを幾度となく使用し、関連するセキュリティ設定および管理を確実に行うことで、当社が開発する各製品または機能に特有の脅威を軽減しています。

信頼性

当社製品の業務への重要性は、お客様によって異なります。お客様との対話の結果、Jira や Confluence などの製品は主要なビジネス プロセスの一部となっている場合が多いことを伺っています。当社では自社の一連の製品を使用して業務を行っているため、信頼性と復元性の重要性をよく理解しています。

プラットフォーム全体の可用性と冗長性

当社は、複数の地域に分かれたデータセンターで製品を運用しています。

当社のクラウドアプリケーションはすべて、クラウドホスティングパートナーである AWSNTT によってホストされています。両社のデータセンターはアプリケーションのホスト用に設計、最適化されており、複数のレベルの冗長性が組み込まれ、アプリケーションデータの保管先とは異なるフロントエンドのハードウェアノードで稼働しています。

当社ではお客様のデータとサービスの高可用性を重視しています。標準やプラクティスに従って製品の回復性に焦点を当て、最小限のダウンタイムを実現しています。回復性のプラクティスは SOC2、ISO 27002 および ISO 22301 に基づいています。

Jira、Confluence、Statuspage、Trello、Opsgenie 、Jira Align は、業界をリードするクラウドホスティングプロバイダーである Amazon Web Services (AWS) によってホストされています。これにより、冗長性やフェイルオーバーオプションを全体的に備えた最適なパフォーマンスを実現します。現在、米国の東部および西部リージョン、EU、APAC にわたり複数のリージョンとアベイラビリティゾーンを維持しています。

Bitbucket データセンターのホスティングパートナーは NTT です。同社はセキュリティと可用性に関する SOC2 と ISO27001 認証を取得しています。また、物理的なセキュリティ、ネットワークと IP バックボーンアクセス、顧客プロビジョニング、インシデント管理などの面で当社が要求するレベルに十分達しています。

複数のデータセンターとアベイラビリティゾーンを活用して高可用性を実現する詳細な方法については、顧客データ管理のページ、およびクラウドホスティングインフラストラクチャのページを参照してください。

バックアップ

当社は広範なバックアッププログラムを用意しています。

アプリケーションデータはデータセンター全体でレプリケーションされる回復力のあるストレージに保存されます。プラットフォーム全体の回復力に加え、Atlassian Cloud ソリューション向けに包括的なバックアッププログラムも用意しています。ただし、これらのバックアップを復元・リカバリできるのは Atlassian Cloud プラットフォームでのみです。

Atlassian Cloud 用アプリケーションのデータベースの頻度: 毎日自動バックアップが実行され、30 日間保持されます (ポイントインタイムリカバリをサポート)。すべてのスナップショットおよびバックアップデータが暗号化されます。バックアップデータはオフサイトに保存されませんが、特定の AWS リージョン内にある複数のデータセンターにレプリケーションされます。アトラシアンでは四半期ごとにバックアップテストを実施しています。詳細については、インフラストラクチャページを参照してください。堅牢なバックアッププログラムの実装方法の詳細は、顧客データの管理ページを参照してください。

事業継続とディザスタリカバリ

包括的かつテスト済みの、事業継続およびディザスタリカバリプランを用意しています。

当社ではお客様をないがしろにしないポリシーを掲げており、当社の環境にてあらゆる中断が発生した際にお客様への影響を最小限に抑えるための、強力な事業継続 (BC) およびディザスタリカバリ (DR) プランを保持しています。

当社の DR プログラムには、ガバナンス、監視、およびテストを適切なレベルで実現するための少数の主要プラクティスが含まれます。

  1. ガバナンス。DR プログラムを実行するうえで鍵となるのは、リーダー層の参加です。リーダー層を巻き込むことで、事業と技術両方の責任者で回復戦略に取り組むことができます。
  2. 監視とメンテナンス。DR プログラムの監視および管理時には、ガバナンス、リスク、およびコンプライアンスについて規律的なアプローチを執ります。これにより、DR プログラムの主要なアクティビティを監視、測定、報告、および修正する際に、さらに効果的および効率的な運用を行うことができます。サイト信頼性エンジニアは進行中のディザスタリカバリの打ち合わせに参加し、クリティカルなサービスの継続に貢献します。サイト信頼性エンジニアはリスクおよびコンプライアンスチームとの間で特定された DR のギャップについて議論を行い、必要な回復レベルに専念します。
  3. テスト。当社では、お客様のデータを確実に保持するための DR ライフサイクルの一環として、および、お客様によるデータ利用で高い可用性やパフォーマンスを実現できるよう、定期的なテストを実行し、継続的な改善に努めています。
    1. アベイラビリティゾーンで障害が発生した際に最小限のダウンタイムで対応できるよう、AWS の複数のアベイラビリティゾーンにわたって複数のレベルで回復性のテストを行っています。
    2. 当社では AWS のそれぞれのリージョンのデータセンターにわたってデータのバックアップを作成しています。1 つのリージョンに障害が発生した場合、事態の悪化に備えてお客様のデータをセカンダリのリージョンで保持します。
    3. 当社では AWS リージョンの障害に備えたテストを行っています。リージョン全体に影響する障害はめったに発生するものではありませんが、サービスのフェイルオーバーやリージョンでの回復性の持続的な改善のために、テストを継続して行っています。
    4. バックアップおよび復元の手順を常に用意し、手順を定期的に確認しています。これにより、データの復元が必要な場合に、経験を積んだ人員が検証済みの手順を使って素早く操作を完了することができます。

ガバナンス、監視、テストを通じた回復性の保証に加え、アトラシアンでは、ディザスタリカバリ (DR) プログラム全体の継続的な改善を重視しています。当社のディザスタリカバリに関するテストおよび事業継続プログラムの詳細については、顧客データの管理ページを参照してください。

お客様が必要な時にデータにアクセスできるようにリアルタイムでサービスの利用可能状況を公開しています。

製品セキュリティ

この業界での課題の 1 つに、市場への提供速度を維持しながらセキュアな製品を提供することが挙げられます。当社のゴールは、スピードとセキュリティの最適なバランスを実現することです。当社の業務のほとんどは自社製品を利用して行っています。製品とお客様のデータを安全に保管するために、幅広いセキュリティ制御を実装しています。

暗号化とキーの管理

転送中の暗号化

Atlassian Cloud 製品とサービス内に保存されるすべてのお客様データは、パブリックネットワーク経由での転送中に、トランスポート層セキュリティ (TLS) 1.2 と Perfect Forward Secrecy (PFS) を併用して暗号化され、不正な開示や変更から保護されます。TLS の実装では、強力な暗号とブラウザがサポートするキーワード長を使用する必要があります。

保存時の暗号化

Jira Software Cloud、Jira Service Desk Cloud、Jira Core Cloud、Confluence Cloud、Statuspage、Opsgenie、Trello のお客様データと添付資料を保管するサーバーのデータドライブは、業界標準の AES-256 を使用してフルディスクで保存データを暗号化しています。Bitbucket は現時点ではリポジトリの保存データの暗号化を提供していません。

保存データの暗号化では、具体的には Jira 課題データ (詳細、コメント、添付書類) または Confluence ページデータ (ページコンテンツ、コメント、添付書類) などのディスクに保存されている顧客データを暗号化します。保存データの暗号化により、データは不正なアクセスから保護され、暗号鍵への監査付きアクセス権を持つ許可された役割とサービスのみがデータにアクセスできるようになります。

暗号化キーの管理

アトラシアンではキー管理に AWS Key Management Service (KMS) を使用します。暗号化、復号、キー管理のプロセスが、AWS の既存の内部検証プロセスの一部として、定期的に検査および検証されます。各キーには所有者が割り当てられ、所有者は、適切なレベルのセキュリティ制御をキーに設定する役割を果たします。

テナントの分離

テナントを分離すると、顧客が共通の IT インフラストラクチャを共有している場合でも、あるテナントのアクションが別のテナントのデータまたはサービスを損なうことのないようにテナントを論理的に独立させられます。

アトラシアンのテナント分離手法はアプリケーションごとに異なりますが、その差については別の機会にご案内します。時間をかけて本格的なマルチテナント SaaS アプリケーションに進化した Jira および Confluence Cloud の場合、アトラシアンではテナントコンテキストというコンセプトを使用しています。このコンセプトは両方のアプリケーションコードに実装され、アトラシアンが内部構築した「テナントコンテキストサービス (TCS)」により管理されます。このコンセプトによりこの共有環境では次の状態が維持されます。

  • 各顧客のデータは保存中に他のテナントから論理的に分離された状態にある。
  • Jira または Confluence によって処理されるリクエストは「テナント特有の」ビューで表示され、他のテナントに影響しない。

TCS は Jira および Confluence からは独立していますが、これらの運用には不可欠です。ごく簡単に言うと、TCS は各顧客のテナントの「コンテキスト」を保管することによって機能します。このコンテキストには、そのテナントに関係する幅広いメタデータ (テナントが含まれるデータベース、テナントが保有するライセンス、利用できる機能、その他の設定情報など) および暗号化された一意の認証情報が含まれます。各テナントのコンテキストは、TCS に一元的に保管された一意の ID と関連付けられます。

顧客が Jira または Confluence Cloud にアクセスすると、TCS はテナント ID を使用してそのメタデータを照合します。その後、メタデータはテナントがセッション中にアプリケーション内で実行するあらゆる操作にリンクされます。重要な点は、TCS が提供するコンテキストは、顧客データとのさまざまなやりとりが発生する際の「レンズ」の役割を果たし、このレンズが常に 1 つの特定のテナントに限定されることです。そのため、ある顧客のテナントが別のテナントのデータにアクセスすることも、別のテナントがそのアクションによって別のテナントのサービスに影響を与えることもありません。

詳細は、Atlassian Cloud アーキテクチャを参照してください。

製品のセキュリティテスト

内部および外部のテストプログラムに加えてバグバウンティを用意しています。

当社の製品に対する脆弱性管理のアプローチは、内部と外部でのセキュリティテストを含みます。既知の問題は、公開の課題追跡システムで参照できます。

内部テスト

このアプローチは、計画、開発、およびテスト段階にわたります。各テストはそれぞれの前提の作業に基づき、段階的に厳格なものとなります。当社では、開発とテスト段階の両方で、静的及び動的なコード分析アプローチを導入しています。開発段階では、コードスキャンを組み込むことで、機能性に関連するセキュリティ課題や、機能性には関連しないが特定可能なセキュリティ課題を取り除いています。

テスト段階では、開発とセキュリティエンジニアリングチームの両方が敵対的アプローチをとり、自動および手動のテスト技術を使用して機能を損なえるかどうかを試みます。

当社のセキュリティエンジニアリングチームは、共通タスクの自動化や製品チームへの専用のテストツールの提供のために、さまざまなセキュリティテストツールを開発しています。セキュリティチームはこのようなツールを活用しています。開発チームでもこのツールを使用してセキュリティスキャンを自身で行い、出力結果について対策を行うことができます。当社のセキュリティエンジニアリングチームはセキュリティのエキスパートですが、究極的には、社内の開発者の一人ひとりが自身のコードに責任を持つべきであると考えています。

外部テスト

リリースが本番環境に適用されると、外部テストが行われます。このアプローチは "継続的評価" のコンセプトに基づいて構築しています。単発のペネトレーションテストのみに依存するのではなく、公開のクラウドソース形式のバグ報奨金モデルの使用を通じて、常時使用かつ常時テスト形式のモデルを実践しています。

ユーザーにて、製品の標準的な使用を通じて脆弱性を発見した場合、お知らせください。登録されたすべての脆弱性に対して早急に回答いたします (詳細については脆弱性情報報告書を参照)。調査中は問題の起票者と進捗を共有し、いただいたお問い合わせに回答します。

新しいインフラストラクチャアーキテクチャ (例: 当社のクラウド環境)、新製品、基盤となる部分の再アーキテクト (例: マイクロサービスの広範な利用) などの、リスクの高い製品やインフラストラクチャに対しては、セキュリティコンサルティングの専門家がペネトレーションテストを行います。

当社のペネトレーションテストに対するアプローチは、高度に明確化した目的を持ちます。一般に、テストは次のようになります。

ホワイトボックス: テスターには、テストに使用するための設計ドキュメントとプロダクトエンジニアからの概要資料が渡されます。
コードの調査: テスト中に発生した予期せぬシステム動作を診断し、潜在的な原因を特定するため、テスターには関連するコードベースへの完全なアクセス権が付与されます。
脅威ベース: 特定のシナリオに焦点を当ててテストを行います (例: セキュリティ侵害が発生したインスタンスが存在すると想定し、それを開始点としてテストを実施)。

これらの評価実施時に幅広い情報がテスターに開示されるため、アトラシアンはこれらのレポートや抜粋を外部に公開していません。これらのシステムと製品の大部分は、いずれは当社の公開バグ報奨金プログラムの対象になり、お客様の求める追加の継続的な外部保証を提供します。当社の製品セキュリティテストの詳細については、社外セキュリティテストに対するアプローチページを参照してください。

製品の脆弱性管理

当社は品質の良いソフトウェアを構築するために革新的なアプローチをとっています。

当社では、新機能を素早く安全に提供するために、従来の Quality Assurance (品質保証: QA) 領域とは異なる Quality Assistance* 方式を採用しています。QA の役割を、QA 作業を実際に行うメンバーからファシリテーターに変更し、チーム全体で品質について取り組む意識を共有するようにしています。また、開発者が自身の開発した機能を当社の品質標準に従ってテストする取り組みを進めています。

当社では製品の脆弱性の数を減らすよう尽力していますが、開発を行うにあたり、すべての不具合を未然に検出することは不可能であることも承知しています。そこでバグ報奨金パートナーシップを通じて脆弱性の発見や悪用にかかるコストを徐々に引き上げることによって、追加の脆弱性の発見に費やす時間とリソースが「攻撃者」にとって割の合わないものとなることを目指します。製品脆弱性管理の検証方法の詳細については、社外セキュリティテストに対するアプローチページを参照してください。

注: Quality Assistance という用語は Cem Kaner が定義したものです。この用語の詳細や当社の全体的な品質プロセスにご興味をお持ちの場合、当社の QA についての一連のブログ投稿をこちらからご確認ください。

運用プラクティス

当社では製品のセキュリティと同様に、内部での慎重な日次業務の重要性を理解しています。"セキュリティの内部構築" のコンセプトは当社の内部プロセスで使用している理念と同じであり、当社のビジネスの遂行方法にも影響します。

お客様のデータへのアクセス

アプリケーション内に保存されているお客様データへのアクセスは、必要最小限の範囲に制限します。

当社の SaaS プラットフォームではすべてのお客様データを平等に秘密情報として扱い、これを統括する厳重な制限を適用しています。内部の従業員や契約社員に対し、採用研修時に啓蒙トレーニングを実施して、お客様データの重要性とそれらを扱ううえでのベストプラクティスを教育しています。

アトラシアンでは、許可されたアトラシアン社員のみが、アプリケーションに保管されているお客様データへのアクセス権を持ちます。パスフレーズで保護された個別の公開キーを使用して認証を行い、サーバーでの受信トラフィックでは、アトラシアンおよび内部のデータセンターを経由した SSH 接続のみが許可されます。

お客様データへの許可されていないアクセスや不適切なアクセスはセキュリティインシデントとして扱い、当社のインシデント管理プロセスを通じて管理します。このプロセスには、ポリシー侵害があった場合の、影響を受けるお客様への通知も含まれます。

お客様のデータが保管されている当社のデータセンターへの物理的なアクセスは許可された人員にのみ許可され、アクセスは生体認証で検証されます。データセンターの物理的なセキュリティには、常駐の警備員、有線でのビデオ監視、侵入者用の装置、その他の侵入保護措置が含まれます。

お客様データやメタデータへのアクセス権の管理について、より広範なポリシーがプライバシーポリシーに含まれます。

サポートによるアクセス

サポートチームは、オープンなチケットを解決するために必要な場合にのみお客様のデータにアクセスします。

当社のグローバルサポートチームは、当社のクラウドベースのシステムや、メンテナンスおよびサポートプロセスに利用するアプリケーションへのアクセス権を持ちます。ホストされているアプリケーションやデータへのアクセスは、アプリケーションの健全性の監視、システムまたはアプリケーションメンテナンス、または当社のサポートシステム経由でのお客様からの依頼のためにのみ行います。

トレーニングと啓蒙

当社のセキュリティトレーニングや啓蒙プログラムはコンプライアンスのチェックボックスを選択するだけのものではなく、企業全体での知識の底上げを図るものです。

当社の啓蒙プログラムは、すべてのメンバーがセキュリティに対して責任を持つことを前提に作成しています。このような責任範囲は当社の内部のセキュリティポリシープログラムから引用しているものであり、このトレーニングおよび啓蒙プログラムを使用して従業員に責任範囲の周知を行います。

採用候補者や契約社員は当社での業務を開始する前に秘密保持契約を結び、その後の採用研修でセキュリティの啓蒙コースを受講します。

"継続的な改善" の実現のため、セキュリティの関連メッセージを全社員向けのメールやブログ投稿で配信しています。これらのメッセージは通常、リアルタイムで関連する事象を扱います。これには、新しく発見または公開された脆弱性や、セキュリティプラクティスに従うことの重要性の周知などが含まれます。

セキュリティチャンピオン

当社では、セキュリティチーム外のセキュリティスペシャリストの知識も積極的に取り入れています。

当社では啓蒙プログラムとは個別の "セキュリティチャンピオン" プログラムを内部で立ち上げています。このプログラムのねらいは、アトラシアンのすべてのチームがセキュリティを常に意識することです。また、さらに多くの従業員がセキュリティ知識を習得できるよう、所属チームが運用であるか開発であるかにかかわらず、組織を横断したセキュリティの基本知識の研修を行っています。これにより、セキュリティに対する情熱や能力を持った専門家が業務の合間にフィードバックを行い、社内で支援を行うことができます。

変更管理

当社はオープンソース形式の変更管理を実現しています。

従来の変更管理プロセスは、ピラミッド形式の変更管理階層で実装されていました。ある変更を行いたい場合、それを承認または却下するための会議で提案を行う必要がありました。当社では、"ピアレビュー、グリーンビルド " 形式を導入しています。コードやインフラストラクチャへの各変更では、変更による問題を確認するために 1 人以上の同僚 (ピア) によるレビューが必要です。レビューの必要数は変更または製品の重要性に基づいて増やします。当社では開発チームおよびエンジニアに信頼を置き、それらのメンバーがセキュリティやパフォーマンスの問題を検出して実装前に修正することを想定しています。これに関連し、当社では独自の連携ツールである Bamboo を使用して、メインブランチにマージされた変更が、連携、単体、機能、またはセキュリティテストで問題を発生しないかどうかを確認しています。ビルドおよびテスト段階で問題が検出されなかった場合、Bamboo に緑色のアイコンが表示され、ビルドプロセスが正常に完了します。問題が検出された場合、Bamboo に赤色のアイコンが表示され、問題の原因となっている変更を特定するためにマージの再検証が行われます。当社の "ピアレビュー、グリーンビルド" 方式により、週に何千回も実装される変更の特定を実現しています。

従業員の雇用

最良の人材の雇用に努めています。

他の企業の例に漏れず、アトラシアンも最も優秀な人材を引きつけ、採用することを目標としています。毎週の全社ミーティングで新入社員全員を紹介し、当社の理念に則って最高の仕事をして、一人ひとりがアトラシアンを良い方向に変えられるよう促します。アトラシアンが素晴らしい会社になるには、あらゆる社員が豊かな能力を日々活かしてくれることが重要であると考えています。採用の過程では、雇用、ビザ、背景、財務資格の調査を行います。採用の合意がとれたら、各新入社員に対して 90 日間の基礎研修と職種に基づいた研修を用意します。

お客様の終了手続き

アトラシアンと、アトラシアンのクラウド製品を使用しているお客様との契約が修了する場合、お客様のデータは、以下のタイムラインに従って当社のクラウド環境から削除されます。

顧客契約を修了可能な状況の例:

  • 不払い: 既存顧客が製品のサブスクリプション料金を支払わない場合 (月次払い、年次払いを問わず)
  • サブスクリプションのキャンセル: 既存顧客がサブスクリプションをキャンセルする場合
  • 評価期間終了: 当社製品を評価しているトライアル期間中の顧客が有料サブスクリプションへのアップグレードを選択しない場合

未払い

未払いなど、お客様からの支払いがない場合、支払い期限から 15 日後にすべての製品のサブスクリプションが解除されます。このような状況になった場合、お客様のデータは 60 日間クラウドに保持されますが、その後削除されます。15 日以内であれば、未払い分を支払うことによってお客様のデータが削除されないことが保証されています。このタイムラインを超えると、支払いがあってもお客様のデータは復元できません。

サブスクリプションのキャンセル

お客様が自発的にサブスクリプションを終了する場合、お客様の有料サイト分のデータは現在のサブスクリプション期間終了の 60 日後に削除されます。

Jira の場合、お客様が特定の Jira 製品 (Jira Software など) のサブスクリプションを解除し、他の製品 (Jira Service Desk など) を保持する場合、お客様の Jira データは保持されます。これは評価でも同様です。ある Jira 製品の評価期間が終了しても、お客様のサブスクリプションに別の Jira 製品が含まれていれば、お客様の Jira データは保持されます。ただし、すべての Jira 製品のサブスクリプションを解除する場合は、Jira のデータは直ちに削除されます

同様に、お客様がアトラシアン製品のサブスクリプションから Confluence を削除すると、お客様の Confluence データとすべてのユーザーの Confluence へのアクセス権が直ちに削除されます。

評価期間の終了

評価期間が終了し、有料サブスクリプションへの移行を希望されない場合、お客様のデータ (評価サイトのデータ) は 15 日後に削除されます。

上記のいずれかのシナリオでお客様のデータが削除された場合、データは復元できません。

データ破壊

アトラシアン製品サブスクリプションに対する未払いによりサブスクリプションを解除、またはサブスクリプションをキャンセルした後、データは 15 日 (評価サイト)、または 60 日 (有料サブスクリプションサイト) で削除されます。

個別の製品サブスクリプションで未払いの場合、またはキャンセルした場合はどうなりますか?

アトラシアン製品サブスクリプション料金が支払われない場合、支払い期限から 15 日後にすべての製品のサブスクリプションが解除され、その時点からユーザーは製品にアクセスできなくなります。

アトラシアン製品サブスクリプションをキャンセルすると、それ以降のサイトの更新処理は行われなくなります。現在のサブスクリプション期間の最終日から 15 日間はサイトにアクセスできますが、15 日を過ぎるとサイトは無効になります。

データ保持

お客様のサイトは現在のサブスクリプション期間終了日から 15 日後に無効になります。現在のサブスクリプション期間の終了後、15 日間 (評価サイトの場合) または 60 日間 (有料サブスクリプションサイトの場合)、無効になったサイトのデータは保持されます。

アトラシアン製品の年間サブスクリプションに基づく個別製品の評価期間は 30 日です。支払いがない場合、支払い期限の 17 日後に Jira および Confluence 製品のサブスクリプションが解除され、ユーザーはその時点から Jira および Confluence にアクセスできなくなります。

Confluence データは、この製品のサブスクリプション解除の 15 日後に削除されます。ある Jira 製品 (Jira Service Desk など) の評価が終了しても年間サブスクリプションに別の Jira 製品 (Jira Software など) がある場合、お客様の Jira データは削除されません。Jira データはすべての Jira 製品のサブスクリプションを解除した場合のみ削除されます。

一度削除されたデータは復元できません。Confluence サイトや Jira サイトは以下に示すとおりバックアップを作成することを強くお勧めします。

データを別のサイトに移す場合、どのような準備が必要ですか?

セキュリティプロセス

当社では、エラーを完全に防ぐことは不可能であることを理解しています。影響を最小化するため、セキュリティの問題を事前に検出して可能な限り早急に問題を特定できるようにします。

セキュリティインシデント管理

インシデントを完全に防ぐことは難しいですが、影響を最小限に抑えるために素早く効果的な対応を行います。

アトラシアンのセキュリティチームは、ホスティングインフラストラクチャのさまざまなリソースからログを収集し、SIEM プラットフォームを使用して不審なアクティビティを監視し、フラグを立てます。このようなアラートのトリアージ、詳細な調査、および適切なエスカレーション方法について、当社の内部プロセスで規定しています。お客様やその他のコミュニティで、セキュリティインシデントと疑われる事象が確認された場合、アトラシアンサポートにご報告ください。

重大なセキュリティインシデントが発生した場合、内外の専門チームを招集して調査を行い、事態の解決まで対応します。当社のセキュリティインシデントのデータベースとしてVERIS フレームワークを使用しています。

当社のセキュリティインシデント管理プロセスおよびセキュリティインシデント発生時の共同責任について詳細をご確認ください。

脆弱性管理

当社の環境に存在する可能性がある脆弱性を確実かつ主体的に検出するため、さまざまな脆弱性管理プログラムを用意しています。

セキュリティチームが業界をリードする脆弱性検出ツールを使用して、当社の内部および外部のインフラストラクチャに対するネットワーク脆弱性スキャンを継続的に行っています。これは前述の製品固有の脆弱性管理とは独立して行われます。このプロセスの詳細については、当社の信頼 FAQ をご参照ください。

またリスクの高い製品やインフラストラクチャについて、セキュリティコンサルティングの専門団体にペネトレーションテストを依頼しています。たとえば、新しいインフラストラクチャ (例:クラウド環境) のセットアップ、新製品 (例:Stride)、根本的なアーキテクチャの刷新 (例: マイクロサービスの広範な利用) などが考えられます。

報告されたあらゆる脆弱性について、内部プロセスを通じてレビューおよび対応を行います。このプロセスには、CVSS のセキュリティレベルに基づいた、脆弱性に対するパッチ提供の SLA が定義されています。詳細についてはセキュリティバグ修正ポリシーをご参照ください。

当社のセキュリティテストについては社外セキュリティテストに対するアプローチページを参照してください。

当社の脆弱性管理プログラムについてはアトラシアンの脆弱性管理を参照してください。

バグ報奨金

バグ報奨金プログラムを活用してシステムを常にテストしています。

当社のセキュリティバグ管理へのアプローチにおいて、バグ報奨金プログラムを通じて製品のセキュリティ面での脆弱性を常にテストすることを実現しています。リリースが頻繁に行われる真にアジャイルな開発環境では、テストの継続的な実施は必須事項です。当社のバグ報奨金プログラムに参加している一連のセキュリティ調査者がもっとも効果的な方法で外部セキュリティテストプロセスを実行し、この目的の達成に貢献します。

当社の製品または環境の数は 25 を超え、サーバー製品、モバイルアプリ、クラウド製品など多岐にわたります。これらのすべてがバグ報奨金プログラムの対象となり、500 人以上のテスターがプログラムに登録しています。報告された脆弱性の数、当社の平均応答時間や支払金については、バグ報奨金プログラムをご参照ください。

当社のセキュリティテストについては社外セキュリティテストに対するアプローチページを参照してください。

最新テストレポートのダウンロード

以下のレポートで見つかったセキュリティの脆弱性は、バグ報奨金プログラムによるプロセスを通じてアトラシアン内部の Jira で追跡され、当社のセキュリティバグ修正ポリシーの SLA タイムラインに従ってクローズされます。

 

コンプライアンス

当社のセキュリティプログラムは、よく知られたさまざまな業界標準に準拠して実行しています。各認定を通じて、お客様の求める要件を満たしていることを保証しています。当社のセキュリティ管理プログラムで詳細についてご確認ください。

現在、SOC 2、ISO27001、PCI DSS、および CSA STAR 標準の認定を受けています。これらのプログラムの詳細については、当社のコンプライアンスページをご参照ください。

Standard

提供元

状況

ISO27001

国際標準化機構

当社では認定証明書に記載された領域において ISO27001 に準拠しています。セキュリティチームによるセキュリティエンジニアリング、セキュリティインテリジェンス、およびセキュリティプロジェクトの機能が認定の対象です。現在、この認定の範囲を組織全体への拡大を進めています。

ISO/IEC 27001 では、ISO/IEC 27002 で詳細に規定されている包括的なセキュリティ管理策も活用しています。この認証の基本となるのが、情報セキュリティマネジメントシステム (ISMS) を含む、厳格なセキュリティ管理プログラムの開発と実装です。この国際的なセキュリティ規格は幅広く認知および尊重されており、認定を獲得した企業に対して次のことも求めています。

  • 情報セキュリティのリスクを体系的に評価し、セキュリティの脅威と脆弱性の影響を考慮すること
  • セキュリティのリスクに対処するための包括的な情報セキュリティコントロールを設計、実装すること
  • 総合的な監査およびコンプライアンス管理プロセスを実施して、コントロールが継続的に組織のニーズを満たすようにすること

アトラシアンの ISO/IEC 27001 認証を表示。

ISO27018

国際標準化機構

アトラシアンでは現在、GDPR プログラムの一環として、業務全体を通じたセキュリティおよびプライバシー制御においおて ISO 27018 の要件を実現するように取り組んでいます。

ISO/IEC 27018 は、クラウドでの個人データの保護に焦点を当てた実践規範です。情報セキュリティ規格 ISO/IEC 27002 を基盤としており、パブリッククラウド内の PII (個人識別情報) に適用される ISO/IEC 27002 管理策向けの補足的実践ガイダンスを定めています。既存の ISO/IEC 27002 管理策一式では対処できないパブリッククラウド内の PII に対する保護要件を定めるために、補足的管理策一式と関連ガイダンスも定めています。

アトラシアンの ISO/IEC 27018 認証を表示。

PCI-DSS

Payment Card Industries

アトラシアンにおけるアトラシアン製品に関連する受注処理は PCI-DSS に準拠しています。ただし、アトラシアン製品に関して、お客様のクレジットカードデータの処理や保存は行いません。

アトラシアンの製品やサービスの代金をクレジットカードでお支払いになる時は、決済処理のセキュリティ対策が適切に講じられているため、安心してご利用いただけます。レベル 2 事業者であるアトラシアンは PCI DSS への当社の準拠状態の評価を認定審査機関 (QSA) に委託しています。現在は PCI DSS v3.2SAQ A に準拠しています。

アトラシアンの PCI 準拠証明書 (AoC) を表示またはダウンロード:

CSA CCM / STAR

クラウドセキュリティアライアンス

アトラシアンの CSA STAR Level 1 の自己診断 は、クラウドセキュリティアライアンスの STAR レジストリウェブサイトからダウンロードできます。

CSA Security, Trust & Assurance Registry (STAR) は、無料で一般公開されているレジストリであり、さまざまなクラウドコンピューティングサービスによって提供されるセキュリティコントロールが登録されています。ユーザーは、このレジストリを参照することで、現在契約している、または新規契約を検討しているクラウドプロバイダーのセキュリティを評価できます。アトラシアンは CSA STAR の登録者であり、クラウドセキュリティアライアンス (CSA) の法人会員として CSA のコンセンサス評価イニシアチブアンケート (CAIQ) にすべて回答済みです。CSA の Cloud Controls Matrix (CCM) v.3.0.1 に準拠した最新版の CAIQ は、クラウドサービスの顧客またはクラウドセキュリティの監査人がクラウドプロバイダーに聞きたいと思われる 300 問以上の質問に対する回答を掲載しています。

CSA Star レジストリでのアトラシアンの CIAQ の回答を見る。

SOC2/SOC3

Service Organisation Controls

アトラシアンのサービス組織統制 (SOC) レポートは第三者機関による認証を受け、主な法定の内部統制と目標をアトラシアンがどの程度達成しているかを実証します。このレポートの目的は、アトラシアンの事業と法令順守を支援するために設定された統制について、お客様とお客様の監査人による理解を促進することにあります。

アトラシアンは多数の製品を対象とする SOC2 認証を取得しています。アトラシアンの SOC2 および SOC3 報告書をこちらからダウンロード。

また、よく知られた監査期間を通じ、包括的なセキュリティ監査を年に 1 回以上行っています。

このような監査および認証プログラムと脆弱性管理などの内部プロセスを組み合わせて得られた結果を、継続的な改善サイクルに組み込み、セキュリティプログラム全体の改善に活かしています。

GDPR コンプライアンス

アトラシアンはお客様の成功とデータの保護を何よりも重視しています。この重要な目的を果たす一手段としてアトラシアンではお客様とユーザーが GDPR (一般データ保護規則) を理解し、必要に応じ、順守のための支援をしています。2018 年 5 月 25 日に施行された GDPR は、ヨーロッパのデータプライバシー法制に過去 20 年間で最大の変化をもたらしています。

アトラシアンは、お客様に当社の製品を利用することで直接影響を受ける GDPR 要件があることを考慮し、多くのリソースを投じて、お客様が GDPR と地域の法律の要件を満たせるように支援いたします。

当社クラウド製品を対象とする GDPR 関連イニシアチブを以下にいくつか挙げます。

  • セキュリティインフラストラクチャと認証分野に大規模な投資 (セキュリティと認証セクションを参照)。
  • プライバシーシールド認証の保持および当社の最新データ処理補遺を通じた標準契約条項の実施により、適切な国際データ転送メカニズムをサポート。
  • 次に示す、データポータビリティとデータ管理ツールを提供。
  • お客様の個人データへのアクセス権を有し処理するアトラシアンのスタッフに対して、そうしたデータの取り扱いに関する訓練を実施。スタッフにデータの機密性とセキュリティの維持を要請。
  • 個人データを扱うすべてのベンダーに、データ管理、セキュリティ、プライバシーに関してアトラシアン内部者と同じプラクティスと標準を順守するよう要請。
  • データインパクト評価を実施し、適宜、EU 規制当局に相談することを約束。

当社の GDPR に対するアプローチおよび投資についてはアトラシアンの GDPR コンプライアンスページを参照してください。

プライバシー

当社ではプライバシーについてのお客様の懸念を理解し、当社の社員がが SaaS ベースのアプリケーションを使用する際の懸念と同等またはそれ以上のものであると考えています。したがって、個人を特定可能な情報やその他の機密情報は、当社がサービス プロバイダーに期待するのと同等のレベルで扱うように努めています。

アトラシアンおよびアトラシアンに従属する団体は、EU-US Privacy Shield Framework、および、EU から米国に転送された個人情報の収集、使用、および保持についての関連する Privacy Shield Principle に準拠します。

プライバシーに対する当社のアプローチの詳細については、当社のプライバシーポリシーをご参照ください。

法的執行要求の取り扱いについて

アトラシアンでは、ユーザーのデータについての法的な要求や、ユーザーアカウントの停止またはユーザーアカウントのコンテンツの削除についての法的な要求について、年に 1 度透明性レポートを公開しています。

共同責任

クラウドにおいて、システム内に保存されるユーザーデータのセキュリティは共同責任で管理されるものとなります。この共同責任については、先日公開したホワイトペーパー "The Atlassian Cloud Security Team (You're part of it)" にて、広範囲にわたって解説しています。

アトラシアンは、アプリケーション自体、アプリケーションが実行されるシステムおよびそれらがホストされる環境のセキュリティの責任を持ちます。PCI-DSS や SOC 2 を含む必要な標準にこれらのシステムおよび環境が準拠していることを保証します。

お客様は、アカウント内の情報の管理、アカウントおよび関連する資格情報にアクセス可能なユーザーの管理、および自身でインストールおよび信頼するアプリの制御の責任を持ちます。当社のシステムを使用する際に必要なビジネス要件を実現できているかどうかは、ユーザー側で保証されます。

責任のツリー

お客様には次のような点に考慮していただくことをおすすめしております。

重要な決定事項

製品のセキュリティは、その製品のセットアップ時の決定に大きく影響されます。次のような決定事項が重要となります。

  • 全製品 - ドメイン検証および中央管理。1 つまたは複数のドメインを検証することで、自身の組織がそのドメインを保有していることを証明することができます。ドメイン検証を使用することで、組織で全社員のアトラシアンアカウントを管理し、パスワード強度や SAML を含む認証ポリシーを適用することができます。ドメインの検証後、そのドメインに所属するアトラシアンアカウントを持つ既存のすべてのユーザーは、自身のアカウントが管理対象に移行する旨のメールを受信します。そのドメインでアトラシアンアカウントを新しく登録するユーザーには、そのアカウントが管理対象になる旨が表示されます。
  • Bitbucket – リポジトリの公開/非公開。リポジトリは公開するか (インターネット利用者全員が閲覧可能)、非公開にするか (リポジトリへのアクセス権を持つユーザーのみがリポジトリにアクセス可能) を選択できます。
  • Trello – チームとボードの公開/非公開。Trello では、ボードを公開する機能など、ボード公開範囲設定を選択できます (Trello アカウントが管理されている場合は一部制限あり)。ボードを公開すると、インターネット利用者全員が閲覧でき、Google などの検索エンジンの検索結果に表示される可能性があります。Trello のボード公開範囲設定の詳細はこちらをご覧ください。チームも公開に設定すると、チームプロフィールをインターネット利用者全員に閲覧可能にできます。Trello チームの公開範囲設定の詳細はこちらをご覧ください
  • 全製品 - アクセス権の付与。アトラシアンの製品にはコラボレーションを実現する目的があります。コラボレーションにはアクセス権限が必要ですが、ほかのユーザーやアプリに自身のデータへのアクセス権限を付与する際には注意が必要です。いったん該当するアクセス権限を付与すると、たとえそのアクションを承認しなくても、その権限を行使するユーザーがとるアクションは阻止できません。

ユーザーアクセス

当社の SaaS ソリューションでは、お客様のデータへの適切なユーザーアクセスの責任はお客様自身が持ちます。このため、システムに保存するデータの区分を理解し、データについて許可されたユーザーのみがシステムへのアクセス権を持つようにする必要があります。

ロールベースの認証が利用できる場合はそれを利用することで、データ分類への準拠や要件の実現に必要なアクセス制限を簡単に実装できます。

パスワードの運用についてのプラクティスをユーザーと共有することで、パスワード推測や漏えいした資格情報を使用した第三者による不正アクセスなどの脅威を軽減できます。

エコシステム

アトラシアンエコシステムは、サービスプロバイダであるアトラシアン、お客様およびそれぞれの環境のユーザー、Marketplace で構成されます。お客様は、自身が選択したアプリのインストールにおいて完全な権限を持ちます。インストール時、インストール実行者 (多くの場合はユーザー管理者) はアプリに付与する権限を確認することができます。管理者はこの権限に十分な注意を払う必要があります。権限を付与したあとにアプリによるお客様データの使用方法を確認することは困難です。

お客様はアプリのインストール前に、アプリの開発者や、アプリが要求する権限の適合性と正当性を確認します。エコシステムの健全性のため、アドオンのインストール後はアプリのアクティビティを監視し、不審なアクティビティを見つけた場合は報告することをご検討ください。

詳細情報

このページではさまざまなドキュメントやリソースを案内してきました。セキュリティおよび信頼に対する当社のアプローチについてさらに関心をお持ちの場合、詳細にご確認いただけます。