Close

社外セキュリティテストに対する当社のアプローチ


アトラシアン製品やクラウドのセキュリティ脆弱性を特定 (および修正) する当社規定のプロセスが確実に実施されていることがお客様に分かるよう、アトラシアンはペネトレーションテストレポートを定期的に開示するよう求められています。こうした社外セキュリティテストを利用するアプローチは、「継続的評価」のコンセプトに基づいて構築されています – 単発のペネトレーションテストのみに依存するのではなく、クラウドソース形式のバグ報奨金プログラムを活用した常時有効かつ常時テスト形式のモデルを採用しています。

当社の理念とアプローチ

アトラシアンは、その独自の価値観で知られており、その価値観はセキュリティテストへのアプローチを含め、当社の行動のすべてに反映されています。実際、当社の価値観は下記の理念やアプローチにつながっています。

  • バグの発生は、開発プロセスにおいて避けられません。問題はバグがあるかどうかではなく、どれくらい効果的かつ迅速にそれらを見つけ、対応するかです。これは、当社がバグを容認している、またはバグの発生頻度や重大度を低減するための革新的な方法を模索していないという意味ではありません。しかし、ソフトウェアのバグを頭から否定することは効果的なアプローチではありません。
  • 当社の目的は、当社の製品やサービスの脆弱性を見つけ、悪用するコストを高めることにあります。問題をすばやく特定し、解決することで、セキュリティバグを見つける経済的負担が高まります。脆弱性を悪用しようとしても、それに必要な時間や知識やリソースがより多くなれば、悪用に対する投資利益率を下げることができます。利益率を十分に下げることができれば、悪用しても旨味がなくなるので、このような行為を封じる抑止力となります。
  • 当社は業界標準を支持して活用しています。用語やアプローチを標準化することで情報を漏れなくカバーし、お客様が私たちの活動を把握できるようにします。たとえば、共通脆弱性評価システム (CVSS) を使用して脆弱性を共通の基準でランク付けすることで、特定の脆弱性の重大度をお客様に明確に伝えるようにしています。当社はまた、ISO 27001 およびクラウド セキュリティ アライアンス (CSA) で規定されている脆弱性管理プロセスを順守しています。
  • 社外セキュリティ調査員は、当社チームを補完する貴重な存在です。Atlassian の製品に脆弱性があった場合、できるだけ早くそれを見つけて修正することは、当社とお客様双方の関心事です。Atlassian では独自のバグ報奨金プログラムを運用して社外調査員が報奨金を受け取れるようにし、自社製品の脆弱性の特定を推奨しています。社外セキュリティ調査員の助けにより、当社は従来のアプローチを大きく超えてチームを拡大できるのです。
  • アトラシアンはオープンで透明性の高いセキュリティ テスト プログラムを提供しています。アトラシアンのバグ報奨金プログラムでは、見つかったバグに関する統計情報を提供し、セキュリティ バグをどのくらいの期間で修正できるかを明らかにし、できるかぎりテスト レポートの要約をこのページの下部に公開します。

継続的なセキュリティ保証

ペネトレーションテスト

当社はリスクの高い製品やインフラストラクチャについて、セキュリティコンサルティングの専門団体にペネトレーションテストを依頼しています。たとえば、新しいインフラストラクチャ (例:クラウド環境) のセットアップ、新製品 (例:Trello)、根本的なアーキテクチャの刷新 (例: マイクロサービスの広範な利用) などが考えられます。

このようなケースの場合、当社のペネトレーションテストに対するアプローチは、非常に焦点を絞ったものとなります。一般に、テストは次のようになります。

  • ホワイトボックス - テスターには、当社の製品エンジニアより、テストに役立つ設計ドキュメントや概要書が提供されます。
  • コード支援 - テスターには、テスト中の予期せぬシステム動作を診断し、潜在的なターゲットを特定するため、関連するコードベースへのフルアクセス権限が与えられます。
  • 脅威ベース - 特定の脅威のシナリオに焦点を当ててテストを行います (セキュリティ侵害が発生したインスタンスが存在すると想定し、それを開始点としてテストを実施するなど)。

このページの下部で、ペネトレーション テストのパートナーから取得した評価レポート (LoA) を外部利用向けに公開しています。これらの評価実施時にテスターには幅広い内部情報が提供されているため、レポートの全文は公開していません。このようなシステムや製品の大部分は、当社の公開バグ報奨金プログラムに含められ、お客様が求める外部による保証を継続的に提供します。これらの評価で明らかになったことはすべて、当社の公開されているセキュリティの脆弱性に関する SLO に従って、トリアージ、修正されます。

バグ報奨金

当社のバグ報奨金プログラムは、Bugcrowd によってホストされています。このプログラムの目的は、当社製品のセキュリティ脆弱性が常にテストされている状態を確保することです。これは当社の社外セキュリティテストプログラムの最重要事項であり、テストモデルを徹底的にリサーチ、分析、比較した結果でもあります。

バグ報奨金プログラムに参加している大勢のセキュリティ調査員が提供する社外セキュリティテストプロセスこそが最も効果的であると確信できる理由は、次のとおりです。

  1. バグ報奨金プログラムは常時稼働しています。ペネトレーションテストは一般的に、期間が数週間に限定されています。リリースが頻繁に行われる真にアジャイルな開発環境では、テストの継続的な実施は必須事項です。
  2. バグ報奨金プログラムには、潜在的なテスターが 6 万人以上存在します。ペネトレーションテストは通常、1、2 名で実施されます。この 1、2 名のテスト担当者がどれだけ優れていようと、バグ報奨金プログラム参加者を結集させた能力を超えることはできません。
  3. バグ報奨金プログラムの調査員は、垂直方向 (特定のバグタイプ) および水平方向 (特定の報奨金) に対応した専用ツールとプロセスを構築しています。こうした特化は、目立たないものの重大な脆弱性を特定するチャンスを最大限に高めます。

当社は引き続き、社内サポートとしてペネトレーション テストや専門セキュリティ コンサルタントを活用していきますが、広範囲な社外プログラムに関してはバグ報奨金の方が適していると考えています。これらのアプローチを組み合わせることで、脆弱性の発見確率を最大化できると確信しています。

当社の製品または環境の数は 25 を超え、Server 製品、モバイルアプリ、Cloud 製品など多岐にわたります。これらのすべてがバグ報奨金プログラムの対象となります。報告された脆弱性の数、当社の平均応答時間、平均支払金額といった詳細はすべて、Bugcrowd サイトに掲載されています。現在、このプログラムには 800 人以上のテスターが登録されています。

アトラシアンがバグ報奨金プログラムで特定しようとする脆弱性には、Open Web Application Security Project (OWASP)Web Application Security Consortium (WASC) の脅威リストに掲載される一般的なタイプも含まれます。具体例:

  • インスタンスをまたいだデータ漏洩/アクセス
  • リモートからのコード実行 (RCE)
  • サーバー側リクエストフォージェリ (SSRF)
  • クロスサイトスクリプティング (XSS)
  • クロスサイトリクエストフォージェリ (CSRF)
  • SQL インジェクション (SQLi)
  • XML 外部実体攻撃 (XXE)
  • アクセス制御に関する脆弱性 (安全でないオブジェクトの直接参照など)
  • パス/ディレクトリトラバーサル

オープンさと透明性の向上を図るイニシアチブの一環である当社のバグ報奨金プログラムページには誰でも参加できます。プログラムに登録して、挑戦してください。

Marketplace アプリ - Marketplace アプリは主要なアトラシアンのバグ報奨金プログラムからは除外されています。ただし、Marketplace アプリは、脆弱性開示プログラムアトラシアンのアプリ バグ報奨金プログラムなど、アトラシアンがホストする別のバグ報奨金プログラムの対象となります。

お客様主導のテスト - クラウド製品の当社の利用規約に従い、お客様主導でのテストが認められています。情報開示の取り組みの一環として、引き続きバグ報奨金プログラムからの統計情報を定期的に公開いたします。

アトラシアンは、当社のバグ報奨金プログラムが当社製品およびサービスのセキュリティを評価する、より効率的で経済的な方法であると考えていますが、お客様が独自にセキュリティをテストする必要性も理解しています。お客様は、セキュリティ評価 (ペン テストや脆弱性評価) をご自分で実施できますが、安全性を保つためにいくつかのルールに従っていただく必要があります。

脆弱性レポート

検出した課題をアトラシアンに報告する際は、脆弱性報告に関する指示を参照してください。

アトラシアンの価値観の 1 つは、「オープンな企業文化、デタラメは無し」であり、脆弱性開示はその価値観の一部であると考えています。私たちは、関連するサービス レベル目標 (SLO) 内でセキュリティの脆弱性を修正することを目指しています。課題が修正され、本番環境でリリースされた後に、当社のバグ報奨金プログラムを通じて行われた開示リクエストを受け付けます。ただし、レポートに顧客データが含まれている場合、リクエストは却下されます。当社のバグ報奨金プログラム以外での開示を予定されている場合は、当社に妥当な通知を行い、関連する SLO を通過するまでお待ちいただくようお願いいたします。

セキュリティテストプログラムからの除外

当社は、自ら行うテストに関してオープンさと透明性を保つのと同様に、当社自身で行わない、または現在サポートしていないテストについても、オープンさと透明性を心掛けています。下記は、当社のセキュリティ テスト プログラムから除外されています。

特定の低リスク脆弱性タイプ - 当社の製品はあらゆるチームの潜在能力が活かされるように構築されており、これにはコラボレーションが必要です。列挙や情報収集に関連する脆弱性は一般的に重大なリスクとは見なされません。

的確に測定する

当社のセキュリティ バグ修正ポリシーでは、重大度や製品に基づいて脆弱性を修正するためのサービス レベル目標 (SLO) の期間を指定しています。脆弱性の評価に共通脆弱性評価システムを使用することで、脆弱性の重大度をお客様に伝えやすくします。

さらに、当社の目標は、当社製品の脆弱性を見つけて悪用するコストを高めることにあります。バグ報奨金プログラムを利用してそのコストを定量化します。セキュリティ体制が向上すると、当社のバグ報奨金プログラムを通じて特定されるバグの数は減少するため、バグに関するすぐれた報告を継続的に受け取るには、このようなバグに対して当社が支払う金額を増額する必要があります。たとえば、報奨金 3,000 ドルの脆弱性を見つけるために要した労力がその額に見合わなくなったら (3,000 ドルを超える労力がかかるため)、当社はその脆弱性を見つけるためのコストを上げることになるでしょう。

言い換えれば、時がたつほどに報奨金の額は大きくなることが予想されます。

概要

アトラシアンはバグ報奨金プログラムを中心に、オープンで透明性が高く、成熟した社外セキュリティ テスト プログラムを設けています。

最新バグ報奨金レポートのダウンロード

以下のレポート内で報告されたセキュリティ上の脆弱性は、バグ報奨金の収集プロセスを通じてアトラシアン内部の Jira で追跡され、このプログラムを通して見つかった問題はすべて当社の公開されているセキュリティの脆弱性に関する SLO に従ってトリアージ、修正されます。

評価レポート (Letter of Assessment、LoA) のダウンロード

以下のレポート内で報告されたセキュリティ上の脆弱性は、ペネトレーション テストのレポート プロセスを通じてアトラシアン内部の Jira で追跡され、これらの評価を通して見つかった問題はすべて当社の公開されているセキュリティの脆弱性に関する SLO に従ってトリアージ、修正されます。