Close

社外セキュリティテストに対する当社のアプローチ


アトラシアン製品やクラウドのセキュリティ脆弱性を特定 (および修正) する当社規定のプロセスが確実に実施されていることがお客様に分かるよう、アトラシアンはペネトレーションテストレポートを定期的に開示するよう求められています。こうした社外セキュリティテストを利用するアプローチは、「継続的評価」のコンセプトに基づいて構築されています – 単発のペネトレーションテストのみに依存するのではなく、クラウドソース形式のバグ報奨金プログラムを活用した常時有効かつ常時テスト形式のモデルを採用しています。

 

当社の理念とアプローチ

アトラシアンは、その独自の価値観で知られており、その価値観はセキュリティテストへのアプローチを含め、当社の行動のすべてに反映されています。実際、当社の価値観は以下の理念やアプローチにつながっています。

  • バグの発生は、開発プロセスにおいて避けられません。問題はバグがあるかどうかではなく、どれくらい効果的かつ迅速にそれらを見つけ、対応するかです。これは、当社がバグを容認している、またはバグの発生頻度や重大度を低減するための革新的な方法を模索していないという意味ではありません。しかし、ソフトウェアのバグを頭から否定することは効果的なアプローチではありません。
  • 当社の目的は、当社の製品やサービスの脆弱性を見つけ、悪用するコストを高めることにあります。問題をすばやく特定し、解決することで、セキュリティバグを見つける経済的負担が高まります。脆弱性を悪用しようとしても、それに必要な時間や知識やリソースがより多くなれば、悪用に対する投資利益率を下げることができます。利益率を十分に下げることができれば、悪用する旨味がなくなるため、このような行為を封じる抑止力となります。
  • 当社は業界標準を支持し、活用しています。用語やアプローチを標準化することで、私たちは確実にすべてを網羅できると同時に、お客様に私たちの仕事をどう解釈すべきか理解していただけます。たとえば、共通脆弱性評価システム (CVSS) を使用して脆弱性をランク付けすることで、当社とお客様との間で特定の脆弱性の重大度を明確にできます。当社はまた、ISO 27001 および Cloud Security Alliance (CSA) に記載されている脆弱性管理プロセスを順守しています。
  • 社外セキュリティ調査員は、当社チームを補完する貴重な存在です。アトラシアンの製品に脆弱性があった場合、できるだけ早くそれを見つけ、修正することは、当社とお客様双方の関心事です。当社のセキュリティチームの代わりにこうした仕事をしてくれる社外セキュリティ調査員は、適切な見返りを得るべきです。社外セキュリティ調査員の助けにより、当社は従来のアプローチを大きく超えて、チームを拡大することができるのです。
  • アトラシアンはオープンで透明性の高いセキュリティテストプログラムを提供しています。アトラシアンのバグ報奨金プログラムでは、見つかったバグに関する統計情報を提供し、セキュリティバグをどのくらいの期間で修正できるかを明らかにし、できるかぎりテストレポートの要約を公開します。

 

継続的なセキュリティ保証

ペネトレーションテスト

当社はリスクの高い製品やインフラストラクチャについて、セキュリティコンサルティングの専門団体にペネトレーションテストを依頼しています。このような例には、新しいインフラストラクチャの立ち上げ (例: 当社のクラウド環境)、新製品 (例: Trello)、基盤レベルの再アーキテクト (例: マイクロサービスの広範な利用) などが挙げられます。   

このようなケースの場合、当社のペネトレーションテストに対するアプローチは、非常に焦点を絞ったものとなります。一般に、テストは次のようになります。

  • ホワイトボックス - テスターには、当社の製品エンジニアより、テストに役立つ設計ドキュメントや概要書が提供されます。
  • コード支援 - テスターには、テスト中の予期せぬシステム動作を診断し、潜在的なターゲットを特定するため、関連するコードベースへのフルアクセス権限が与えられます。
  • 脅威ベース - 特定の脅威のシナリオに焦点を当ててテストを行います (セキュリティ侵害が発生したインスタンスが存在すると想定し、それを開始点としてテストを実施するなど)。

調査を行うにあたってテスターには幅広い情報が提供されているため、これらのレポートや抜粋は外部には公開されません。

このようなシステムや製品の大部分は、当社の公開バグ報奨金プログラムに含められ、お客様が求める外部による保証を提供します。

バグ報奨金

当社のバグ報奨金プログラムは、Bugcrowd によってホストされています。このプログラムの目的は、当社製品のセキュリティ脆弱性が常にテストされている状態を確保することです。これは当社の社外セキュリティテストプログラムの最重要事項であり、テストモデルを徹底的にリサーチ、分析、比較した結果でもあります。     

バグ報奨金プログラムに参加している大勢のセキュリティ調査員が提供する社外セキュリティテストプロセスこそが最も効果的であると確信できる理由は、次のとおりです。

  1. バグ報奨金プログラムは常時稼働しています。ペネトレーションテストは一般的に、期間が数週間に限定されています。リリースが頻繁に行われる真にアジャイルな開発環境では、テストの継続的な実施は必須事項です。
  2. バグ報奨金プログラムには、潜在的なテスターが 60,000 人以上存在します。ペネトレーションテストは通常、1、2 名で実施されます。この 1、2 名のテスト担当者がどれだけ優れていようと、バグ報奨金プログラム参加者を結集させた能力を超えることはできません。
  3. バグ報奨金プログラムの調査員は、垂直方向 (特定のバグタイプ) および水平方向 (特定の報奨金) に対応した専用ツールとプロセスを構築しています。こうした特化は、目立たないものの重大な脆弱性を特定するチャンスを最大限に高めます。

当社は引き続き、社内サポートとしてペネトレーションテストや専門セキュリティコンサルタントを活用していきますが、広範囲な社外プログラムに関してはバグ報奨金の方が適していると考えています。これらのアプローチを組み合わせることで、脆弱性発見のチャンスを最大化できるはずです。

当社の製品または環境の数は 25 を超え、Server 製品、モバイルアプリ、Cloud 製品など多岐にわたります。これらのすべてがバグ報奨金プログラムの対象となります。報告された脆弱性の数、当社の平均応答時間、平均支払金額といった詳細はすべて、Bugcrowd サイトに掲載されています。現在、このプログラムには 800 人以上のテスターが登録されています。

アトラシアンがバグ報奨金プログラムで特定しようとする脆弱性には、Open Web Application Security Project (OWASP) や Web Application Security Consortium (WASC) の脅威リストに掲載される一般的なタイプも含まれます。具体例は次のとおりです。

  • インスタンスをまたいだデータ漏洩/アクセス
  • リモートからのコード実行 (RCE)
  • サーバー側リクエストフォージェリ (SSRF)
  • クロスサイトスクリプティング (XSS)
  • クロスサイトリクエストフォージェリ (CSRF)
  • SQL インジェクション (SQLi)
  • XML 外部実体攻撃 (XXE)
  • アクセス制御に関する脆弱性 (安全でないオブジェクトの直接参照など)
  • パス/ディレクトリトラバーサル

オープンさと透明性の向上を図る取り組みの一環として、当社のバグ報奨金プログラムページは誰でもアクセス可能です。プログラムにご登録のうえ、テストにご参加ください。

脆弱性レポート

ユーザーが製品を通常利用している際に脆弱性を特定した場合 (バグ報奨金プログラムのようにシステムに特定のテストを試みて発見した脆弱性を除く)、アトラシアンサポートチームにぜひご報告ください。脆弱性の報告にはすべて即座に対応し、問題への調査や対応を行ったうえで、報告いただいた当事者の方に進捗状況を随時報告します。

問題を公開する前に、調査員はまず当社の許可を得ることが求められます。アトラシアンは公開に関するリクエストをレポートごとに処理します。公開に関するリクエストは、報告された脆弱性が解決してから初めて検討されます。

 

セキュリティテストプログラムからの除外

当社は、自ら行うテストに関してオープンさと透明性を保つのと同様に、当社自身で行わない、または現在サポートしていないテストについても、オープンさと透明性を心掛けています。以下は、当社のセキュリティテストプログラムから除外されています。

Marketplace アプリ - Marketplace アプリは、当社のバグ報奨金プログラムから完全に除外され、当社がこれらのアプリに対してコードレビューまたはセキュリティテストを実施することはありません。当社は報告されたアプリの脆弱性についてはすべて報告しますが、それが報奨金の対象となることはありません。

お客様主導のテスト - カスタマー契約に従い、現在、アトラシアンは本番環境でのお客様主導のテストを許可していません。アトラシアンでは、バグ報奨金プログラムの統計を公開しています。積極的なセキュリティテストプログラムを実施し、お客様にご安心いただけるよう取り組んでいます。お客様やお客様のセキュリティアドバイザーは、バグ報奨金プログラムにサインアップして所定のプロセスに沿ってテストを完了いただけます。

特定の低リスク脆弱性タイプ - 当社の製品は、あらゆるチームの潜在能力を解き放つべく構築されており、これにはコラボレーションが必要です。計数や情報収集に関連する脆弱性は一般的に重大なリスクとは見なされません。

 

的確に測定する

当社は、製品チームとセキュリティチーム間の社内サービスレベル契約 (SLA) として機能するバグ修正ポリシーを設けています。バグのカテゴリー分けは、共通脆弱性評価システム (CVSS バージョン 3) に基づいて行います。これにより、脆弱性の重大度をお客様に伝えやすくします。セキュリティの問題を修正するにあたっては、次の時間枠を満たすよう努力します。

  • 脅威レベルが重大であるバグ (CVSS v2 スコア 8 以上、CVSS v3 スコア 9 以上) は、報告後 4 週間以内の本番環境内での修正を義務づけています。
  • 脅威レベルがのバグ (CVSS v2 スコア 6 以上、CVSS v3 スコア 7 以上) は、報告後 6 週間以内の本番環境内での修正を義務づけています。
  • 脅威レベルがのバグ (CVSS v2 スコア 3 以上、CVSS v3 スコア 4 以上) は、報告後 8 週間以内の本番環境内での修正を義務づけています。

これらの時間枠は脅威環境の変化に基づいて毎年見直され、必要に応じて調整されます。

当社の目標は、当社製品の脆弱性を見つけて悪用するコストを高めることにあるため、そのコストを定量化する方法が必要です。当社は「報奨金」を用いて、セキュリティ調査員に代わりに脆弱性を見つけてもらいます。簡単に言うと、当社のバグ報奨金プログラムを通じて特定されるバグの数は時がたつほどに減少するため、継続的にバグを報告してもらうには、このようなバグに対して当社が支払う金額を増額する必要があります。報奨金 $3000 の脆弱性を見つけるために要した労力がその額に見合わなくなったら ($3000 相当より多くの労力がかかるようになってきたら)、当社はその脆弱性を見つけるためのコストを上げることになるでしょう。

言い換えれば、時がたつほどに報奨金の額は大きくなることが予想されます。

 

まとめ

アトラシアンはバグ報奨金プログラムを中心に、オープンで透明性が高く、成熟した社外セキュリティテストプログラムを設けています。 

 

詳細情報

このページではさまざまなドキュメントやリソースを案内してきました。セキュリティやテストに対する当社のアプローチについての詳細は、下記を参照してください。

 

最新テストレポートのダウンロード

以下のレポート内で報告されたセキュリティ上の脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡され、セキュリティバグ修正ポリシーの SLA タイムラインに従ってクローズされます。

 

最新テストレポートのダウンロード

以下のレポート内で報告されたセキュリティ上の脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡され、セキュリティバグ修正ポリシーの SLA タイムラインに従ってクローズされます。