アトラシアンにおけるソフトウェア開発時のセキュリティ

セキュリティの文化を築く

アトラシアンは、セキュリティ チャンピオン プログラムと確固としたセキュリティ トレーニングによってチームを強化し、セキュリティの文化を構築しています。

セキュリティチャンピオンプログラム

Atlassian は、すべての製品およびサービス チームにセキュリティ リーダーまたはセキュリティ チャンピオンを配置しており、他の従業員との間で継続的に重要なセキュリティ イニシアチブを実行したり、中央セキュリティ チームとのコミュニケーションを極力オープンな状態に維持したりする業務を担当しています。このように、Atlassian ではセキュリティ意識を常に最優先しています。

セキュリティ チャンピオンは定期的に集まり、最新のセキュリティ上の問題や直面している課題についてツールや知識を共有し、すべてのチームがメリットを受けられるように工夫しています。このプログラムに基づき、当社の文化におけるセキュリティの位置付けがさらに高まっています。

開発者セキュリティ トレーニング

当社では、トレーニング用に社内開発のコンテンツとサードパーティ製コンテンツがあり、開発チームが安全なアプリケーションを構築するために必要なセキュリティ知識を得られるようにしています。トレーニング プログラムは継続的に監視され、プログラムの健全性を維持し、変化し続ける脅威環境に合わせて進化しています。

設計フェーズ

設計フェーズでは、脅威モニタリング、設計レビュー、当社のセキュリティ標準ライブラリを使用して、適切なセキュリティ要件を考慮しています。

開発フェーズ

開発プロセス全体を通して、さまざまなセキュリティ プロセスを採用して実践し、コードがセキュリティ保護されていることを確認します。

ピア レビュー

開発中、すべてのコードはピア レビュー、グリーン ビルド (PRGB) テスト プロセスの対象になります。このプロセスでは、複数の上級開発者または開発リーダーが、本番環境へのプッシュ前にすべてのコミットを確認する必要があります。これは自動での静的分析チェック (SAST) と手動でのセキュリティ テスト (どちらもリスク評価プロセスで決定した社内チームとサードパーティの専門家によるもの) にも支えられています。開発はアプリケーションのセキュリティ トレーニング プログラム、およびセキュリティ チームが保持しているセキュリティのナレッジ ベースにも支えられています。

環境の分離

アトラシアンでは、すべての重要なサービスについて、本番環境と非本番 (開発) 環境を論理的かつ物理的に分離しています。ステージング環境は論理的に分離されていますが、物理的には分離されておらず、本番環境グレードの変更管理とアクセスのプロセスで管理されています。

また、Atlassian のセキュリティ ポリシーでは、非本番環境での本番環境データの使用を禁じています。当社には、匿名化、ハッシュ化、トークン化などの技術を使用して、個人データなどの制限のあるデータを削除または保護する方法についてのガイドラインがあります。

メンテナンス フェーズ

コードを本番環境にプッシュするには、正式な運用準備と変更管理のプロセスを経る必要があります。

システムのデプロイ後は、自動脆弱性スキャンを定期的に実行します。セキュリティ プラクティスでも説明したとおり、当社には業界をリードするバグ報奨金プログラムがあります。このプログラムでは、信頼性の高い、クラウド ソースのセキュリティ調査員を利用して、継続的にセキュリティを保証しています。

セキュリティスコアカード

アトラシアンでは、製品セキュリティ スコアカードと呼ばれる自動化された説明責任と監視のシステムを構築しており、アトラシアンのすべての製品のセキュリティ対策を評価しています。最新の脆弱性、トレーニング範囲、最新のセキュリティ インシデント、セキュリティ チャンピオンの範囲など、セキュリティに注力した幅広い基準を使用して、各製品の日常的なセキュリティ スコアすべてを提供しています。

各製品チームはこのスコアリング プロセスにより、注意が必要なセキュリティの分野を客観的に把握し、対処する必要がある既存のギャップと、これらのギャップに対処するためのアクションを特定します。また、特に当社の製品スイートは拡張し続けているため、アトラシアン セキュリティ チームはセキュリティ スコアカード プロセスにより、すべての製品のセキュリティの観点からの経時的な状況を簡単に追跡することもできます。