Close

セキュリティ インシデント管理に対するアトラシアンのアプローチ


セキュリティインシデントに対する当社のアプローチ

Atlassian では包括的なセキュリティ対策を練り、お客様の情報保護と可能な限り信頼性と安全性の高いサービスの提供に万全を期しています。一方でセキュリティ インシデントが発生する可能性 (および実例) も認識しています。そのため、こうしたインシデントに効果的に対処する方法を用意しておくことも同じくらい重要です。

こうした観点から、Atlassian ではサービスやインフラストラクチャに影響するセキュリティ インシデントに対応するために、明確に定義されたアプローチを設けています。たとえば、当社製品とインフラストラクチャについて包括的なログを作成して監視を徹底し、インシデントの疑いを早期に検知すると同時に、インシデントの全段階で実行する所定のプロセスを周到に定義して、検知漏れを補完しています。こうしたアプローチは、適性が高く、効果的なインシデント対応の指揮において豊富な経験を持つオンコールのインシデント マネージャー チームによって支えられています。また、社内スタッフによる調査と対応が可能な限り効果を発揮するように、外部の専門家の協力も幅広く仰いでいます。当社はインシデント管理アプローチを策定するうえで、アメリカ国立標準技術研究所 (NIST) が策定した「コンピューター セキュリティ インシデント対応ガイド」(800-61) のガイダンスを参考にし、Verizon の VERIS フレームワークに従ってインシデントをカタログ化しています。

当社の理念とアプローチ

Atlassian ではセキュリティ インシデントを、お客様のデータおよび Atlassian のデータとサービスの機密性、完全性、可用性に悪影響を及ぼしているか、及ぼす危険性があるあらゆる場面であると捉えています。

以前は、影響を「故意」という用語で限定していましたが、不用意なデータ流出なども含めるために、現在この用語は削除されています。

セキュリティ インシデントに対する Atlassian の対応方法の中核となるのが当社の価値の保護です。「顧客をないがしろにしない (DFTC)」という価値は、特に大切にしています。そのために最適なプロセスの完備に力を入れ、常にお客様の最善の利益にかなう方法でセキュリティ インシデントを処理すること、そしてお客様にご満足いただけるような形で当社製品の使用を継続していただけることを徹底しています。こうした観点から Atlassian では、以下の複数の機能を備える堅牢なインシデント対応プロセスを策定しました。

インシデントの疑いを早期に検知する複数の方法

Atlassian では、製品とインフラストラクチャの不具合や異常のうち、セキュリティ インシデントの可能性があるものを検知する監視メカニズムを複数用意してあります。こうしたメカニズムを通じて、詳細な調査を必要とする活動の有無がすぐに警告されます。累積されたログを取り込み分析するプラットフォームでは、ログを 1 か所に整理し、アナリストが迅速かつ入念に調査できるようにするほか、サイト信頼性エンジニアがプラットフォームを監視して可用性を常時保ちます。また、セキュリティ情報およびイベント アプリケーションでアラートを作成して、チームへの事前通知に役立てています。

外部のレポート チャンネルも、脆弱性やインシデントの検知に使用しています。主な例として、バグ報奨金プログラム顧客サポート ポータル、所定のセキュリティ メール受信箱と電話番号が挙げられます。

定評あるセキュリティインシデント管理のフレームワーク

インシデント対応プロセスの一貫性、反復性、効率性を保つために、Atlassian では明確に定義された内部フレームワークを設けています。このフレームワークでは、インシデント対応プロセスの各フェーズで講じる必要のある手順を取り上げています。また、多様なインシデントのタイプに効果的に対応するために、必要な手順を詳細に定義するプレイブックも作成して継続的に更新しています。これらフレームワークの要点は以下のとおりです。

インシデントの検知と分析 – インシデントの疑いに関する最初の報告後に取る手順には、攻撃元、危険が及ぶ範囲、Atlassian とそのお客様への影響を理解することで、セキュリティ インシデントの発生の有無を確認する (その結果、誤検知を最小限に抑える) 方法が含まれます。

インシデントの深刻度区分 – 適切な分析を通じて状況を把握したら、この情報を使用してインシデントの深刻度を判断します。Atlassian ではインシデントを、次の 4 つの深刻度のいずれかに区分しています。

インシデントの深刻度の説明
重大度 説明
0 最大級の影響を伴う危機的インシデント
1 大きな影響を伴うきわめて重大なインシデント
2 相当の影響を伴う大規模なインシデント
3 影響が小さい小規模のインシデント

Atlassian では、多様な指標を使ってインシデントの深刻度を判断しています。どの指標を使用するかは関係する製品に応じて異なりますが、たとえば、サービスの全面的停止の有無 (および影響を受ける顧客数)、中核機能の故障の有無、データ紛失の有無といった指標を考慮します。

封じ込め、根絶、回復 – インシデントの深刻度を検討した後で、そのインシデントの封じ込め、根本原因の根絶、回復プロセスの開始に必要な手順を見極め、その手順を実行に移し、できるだけ早急に通常業務に戻れるようにします。このフェーズで講じる手順は、当然ながらインシデントの性質に応じて多岐にわたります。Atlassian は、お客様にメリットがある場合 (または法律や契約上の義務を果たすために必要な場合) は、インシデント対応プロセスのこのフェーズで、インシデントとそれに伴い考えられる影響についてお客様に伝えます。

通知 - お客様のデータが確認済みのインシデントの対象となった場合、遅滞なくお客様に通知する方針をとっています。第一報でお知らせする内容はそれほど具体的ではありませんが、情報が得られ次第、逐一お伝えします。

インシデント後の入念なレビュー プロセス – すべてのインシデントが解決したら発生事例から学んだことについて考察します。考察を通じて得た知識が、技術的ソリューションの策定、プロセスの改善、追加のベスト プラクティスの導入につながれば、お客様に最善の体験を提供し続け、次回はより深刻な悪意のある攻撃をも受けにくくなります。

明確に定義された役割と責任

発生する各インシデントは、適正が高く経験豊富な社内の重大なインシデント担当マネージャー (MIM) によって管理されます。MIM は通常、セキュリティ関連の決断を下し、対応プロセスを円滑にするためのタスクを内部に割り当てます。MIM の補佐役となるインシデント アナリストは、インシデントの調査と分析に加え、対応プロセスを補完する他の広範な役割を主導します。インシデントが複数のロケールに影響を及ぼすケースでは、多くの場合、各インシデントに 2 名の MIM を配属し、責任者が常駐して対応プロセスを前進させ、封じ込めや回復活動が停滞したり、時差による影響を受けたりしないように取り計らいます。

インシデントがきわめて大規模な場合、別のチーム (通常 サイト信頼性エンジニア) から招集された MIM が対応プロセスの管理を支援します。セキュリティ インシデントに関する役割と責任の詳細はこちらをお読みください

外部の専門家を利用するケース

インシデント調査の支援役として、時には外部の専門家の協力を仰がなければならないケースもあります。たとえば、詳細なフォレンジック分析、または訴訟向けに電子情報開示義務に基づくフォレンジック情報の証拠保全が必要な場合には、サイバーセキュリティ専門のコンサルタントやフォレンジック分野の専門家とサービス契約を結びます。

独自ツールを使用したセキュリティインシデントの管理方法

当社では、できるだけ秩序と一貫性を保って動的にインシデントに対処できるように、特別に構成された多くの当社製品を使用します。その主な例は次のとおりです。

Confluence – ドキュメントを共同で作成し、インシデント対応プロセスの状況を集中的にまとめて更新するのに使用できます。Confluence を使用することで、プロセスがスタッフ全員に確実に伝わるうえ、過去のインシデントに基づく教訓を迅速に現状に反映できます。また、調査と発見事項の文書化にも使用されます。

Jira – インシデントが疑われる事例の初回調査用のチケット、および初回調査でインシデントの発生が確認された場合は、対応プロセスの進行と追跡用のチケットを作成するために使用されます。これらのチケットは、インシデントの関連情報の集積、解決策の策定、他の後方支援作業 (対応プロセスの一環としてタスクを委託したり、必要な場合に社内の他のチームに連絡したりするなど) を実行するために利用します。また、実行する調査と各調査の成否の追跡にも使用されます。

Bitbucket – 特定の種類のインシデントで発生する独特なエッジケース問題に関してコードベースのソリューションを策定する際に、ソース コードの管理ツールとして使用されます。ソリューションは策定後、非公開のまま内部で共同作業とテストが可能で、必要なだけ簡単かつ迅速にイテレーションを続行できます。また、継続的インテグレーション プランや継続的デリバリー プランと組み合わせて、インシデントの原因を軽減するコードの展開、検知プロセスの円滑化、インシデントの再発防止のためにも使用されます。

上記ツールの使用を継続すると、あらゆるタイプのインシデントについての対応フレームワークが確立されます。各インシデントについて特定レベルの構造と知識が蓄積されるようになるため、解決策の早急な発見が可能となります。

概要

セキュリティインシデントへの対処に関してアトラシアンが採用しているアプローチは、堅牢で包括的なものであり、お客様にご提供しているのと同じツールの使用を中心にしています。これにより、一貫性、予測可能性、効果の高いインシデント対応が可能になり、お客様、パートナー、およびアトラシアン自体に及びうる損害を最小限に抑えることができます。

詳細情報

Atlassian では、当社のセキュリティ インシデントの処理方法、およびセキュリティ全般へのアプローチに関する情報を掲載する他のリソースをいくつか公表しています。