閉じる

セキュリティプラクティス

アトラシアンは、すべてのチームにすばらしいことを実現する力があると信じています。私たちのミッションはすべての規模のすべてのチームの可能性を順々に解き放ち、ソフトウェアの力を通じて人類の進歩を助けることです。 

お客様のミッションは私たちのミッションと同じくらい重要であり、情報は全ての私たちのビジネスと生活の中心です。よってお客様の信頼が私たちの行うことの中心にあり、セキュリティが最優先となります。私たちのセキュリティプログラムには透明性があり、安心して製品とサービスをご利用いただけます。

セキュリティに対する当社のアプローチの詳細をお読みいただき、お客様の関与するところについてご確認ください。

このページの情報は、特に明記しない限り、Atlassian Cloud製品の Jira、Confluence、Bitbucket、Stride に適用されます。

目次

私たちがおこなっていること

当社のセキュリティマネジメントプログラムでは、それぞれのお客様のセキュリティ要件を考慮し、当社および当社の環境に独自の一連の要件と取り組みを実現しています。取り組みの詳細は Atlassian Trust サイトで確認できます。ここでは、ISO 27001 および SOC2 の認定報告書をダウンロードまたは依頼し、CSA STAR への回答を確認し、セキュリティマネジメントプログラムの詳細を参照することができます。

各領域でのセキュリティ対策

セキュリティに最終的な到達点はなく — 継続して行うべきものだと考えています。当社では、ソフトウェアおよびサービスのセキュリティを強化するために、ソフトウェア開発および内部運用プロセスの改善に継続的に努めています。セキュリティの対策はシンプルな方法であるべきです。よって、製品やインフラの基礎構造にセキュリティ対策を組み込んでいます。当社で業務の一環としてセキュリティを確保しているいくつかの方法を以下に紹介します。

アーキテクチャ

アプリケーション、ネットワーク、およびビジネスプロセスを設計する際、セキュリティは最優先事項です。

アトラシアンクラウドのセキュリティアーキテクチャは、幅広い業界標準とフレームワークを検討し、内部の脅威モデリングプロセスを考慮して設計されています。柔軟性の要件と、お客様のデータの機密性、完全性、可用性を実現するために効果的な制御の要件とのバランスをとるように設計されています。 

アプリケーション

アプリケーション開発時のセキュリティ、データセキュリティおよび情報のライフサイクル管理。

セキュリティ

暗号化、脅威への対策および脆弱性の管理、セキュリティインシデント管理。

インフラストラクチャ

アセット管理、アクセス制御、運用、通信セキュリティ。

データーセンターとオフィス

物理および環境面でのセキュリティ。

企業

セキュリティガバナンス、セキュリティ部門、全社員でのセキュリティ対策、サプライヤーおよびサードパーティでのデータ管理、モバイルセキュリティ、ビジネス継続性、監査/コンプライアンス、プライバシー。

当社のアーキテクチャを実現するセキュリティ制御は異なる複数の標準に準拠するように設計されています。このような標準間の重複を受け、当社では独自の制御フレームワークを構築しています。このフレームワークにより、当社が準拠している複数の標準の要件を効率的にマッピングした 1 つの表を作成し、それに従っています。以降の表 1 をご参照ください。

スタンダード 提供元 制御範囲 領域

ISO27001

国際標準化機構

26 要件

6 つの項

ISO27002

国際標準化機構

114 要件

14 領域

PCI-DSS

Payment Card Industries

247 要件

6 領域

CSA CCM

クラウドセキュリティアライアンス

133 の制御

16 領域

SOC 2

Service Organisation Controls

116 要件

5 の対象範囲

SOX 404 (IT)

米国連邦法

22 要件

5 領域

GAPP

米国公認会計士協会

106 要件

10 領域

詳細については、当社の共通制御フレームワークをご参照ください。

 

ネットワーク

We practice a layered approach to network access, with controls at each layer of the stack

We implement controls at each layer of the stack, dividing our infrastructure by zones, environments, and services.

Zone restrictions include limiting office, data center, and platform network traffic. Environment separation limits production and development connectivity. Services must be explicitly authorized to communicate with other services through an authentication whitelist.

We control access to our sensitive networks through the use of virtual private cloud (VPC) routing, firewall rules, and software defined networking. All connectivity is encrypted by default.

Staff connectivity requires device certificates, multi-factor authentication, and use of proxies for sensitive network access. Access to customer data requires explicit review and approval.

We've also implemented intrusion detection and prevention systems in both our office and production networks to identify potential security issues.

アプリケーション

脅威に対して最適な対策を行っていることを確認するために脅威モデリングの手法を使用しています。

製品の計画および設計段階で、その製品または機能に関連するセキュリティリスクを理解するために、脅威モデリングの手法を使用しています。脅威モデリングとは一般に、アプリケーションまたはサービスのエンジニア、セキュリティエンジニア、アーキテクト、およびプロダクトマネージャーの間で行うブレインストーミングセッションです。脅威の特定および優先付けを行い、その情報を設計プロセスで活用し、開発の後の段階であるレビューやテストの焦点として使用します。

当社ではマイクロソフト社の Threat Modeling Tool と、脅威モデルフレームワークである STRIDE を使用しています。STRIDE は、セキュリティでの一般的な考慮事項の頭文字を集めたものです (Spoofing: なりすまし、Tampering: 改ざん、Reputation: レピュテーション、Information Disclosure: 情報公開、Denial of Service: サービス妨害、Elevation of Privilege: 権限昇格)。

当社ではこのモデリングを以前から頻繁に使用しており、当社が開発する各製品または機能への脅威を軽減するために、関連するセキュリティ構成および制御を確実に設計しています。 

信頼性

当社製品の業務への重要性は、お客様によって異なります。お客様との対話の結果、Jira や Confluence などの製品は主要なビジネス プロセスの一部となっている場合が多いことを伺っています。当社では自社の一連の製品を使用して業務を行っているため、信頼性と復元性の重要性をよく理解しています。

プラットフォーム全体の可用性と冗長性

当社は、複数の地域に分かれたデータセンターで製品を運用しています。

当社では、Jira、Confluence、および Bitbucket を、クラウド ホスティング パートナーにホストしています。これらのデータセンターはアプリケーションをホストするために設計および最適化され、複数レベルの冗長性を組み込みで提供し、アプリケーションデータの保管先とは異なるフロントエンドのハードウェアノードで実行されています。

当社ではお客様のデータとサービスの高可用性を重視しています。標準やプラクティスに従って製品の回復性に焦点を当て、最小限のダウンタイムを実現しています。当社の回復性についてのプラクティスは、SOC2、ISO 27002、および ISO 22301 に基づきます。当社のディザスタリカバリ (DR) プログラムの主要な指針には次のものが含まれます。

  1. 継続的な改善。回復性確保のための改善を、運用効率、自動化、新技術、および実証済みのプラクティスを通じて確実に進めるように努力します。
  2. テストを通じた保証。動作確認では必ずテストを行っています。定期的なテストと継続的な改善を通じ、ディザスタリカバリプログラムを最適なタイミングにのみとどめています。
  3. 専任リソース。当社では、お客様向けの製品でディザスタリカバリプログラムが必要な場合にそれを確実に検知できる、専任のチームを用意しています。また、社内の運営委員会、リスクアセスメント、ビジネス影響の分析、およびテストを現場でサポートする人員を用意しています。

In addition, Jira and Confluence cloud infrastructure is implemented with industry-leading services such as Amazon Web Services, resulting in optimal performance with redundancy and failover options globally. We maintain multiple regions and availability zones across east and west regions of the U.S., the European Union and APAC.

Bitbucket データセンターのホスティングパートナーは、セキュリティと可用性において SOC-2 と ISO27001 認定を受けています。また、物理的なセキュリティ、ネットワークおよび IP バックボーンアクセス、顧客プロビジョニング、および問題管理などの面で、当社が要求するレベルで確実に実現しています。

バックアップ

We have an extensive backup program

Application data is stored on resilient storage that's replicated across data centers. In addition to platform-wide resiliency, we also have a comprehensive backup program for our Atlassian Cloud offerings. However, restore and recovery of these backups will only be provided on our own Atlassian Cloud platform. 

Application database backups for Atlassian Cloud occur on the following frequencies: daily automated backups are performed and retained for 30 days with support for point in time recovery. All snapshot and backup data is not encrypted. Backup data is not stored offsite but is replicated to multiple data centers within a particlar region. We perform quarterly testing of our backups. For more information, see our Infrastructure page.  

事業継続とディザスタリカバリ

包括的かつテスト済みの、事業継続およびディザスタリカバリプランを用意しています。

当社ではお客様をないがしろにしないポリシーを掲げており、当社の環境にてあらゆる中断が発生した際にお客様への影響を最小限に抑えるための、強力な事業継続 (BC) およびディザスタリカバリ (DR) プランを保持しています。

当社の DR プログラムには、ガバナンス、監視、およびテストを適切なレベルで実現するための少数の主要プラクティスが含まれます。

  1. ガバナンス。DR プログラムを実行するうえで鍵となるのは、リーダー層の参加です。リーダー層を巻き込むことで、事業と技術両方の責任者で回復戦略に取り組むことができます。
  2. 監視とメンテナンス。DR プログラムの監視および管理時には、ガバナンス、リスク、およびコンプライアンスについて規律的なアプローチを執ります。これにより、DR プログラムの主要なアクティビティを監視、測定、報告、および修正する際に、さらに効果的および効率的な運用を行うことができます。サイト信頼性エンジニアは進行中のディザスタリカバリの打ち合わせに参加し、クリティカルなサービスの継続に貢献します。サイト信頼性エンジニアはリスクおよびコンプライアンスチームとの間で特定された DR のギャップについて議論を行い、必要な回復レベルに専念します。
  3. テスト。当社では、お客様のデータを確実に保持するための DR ライフサイクルの一環として、および、お客様によるデータ利用で高い可用性やパフォーマンスを実現できるよう、定期的なテストを実行し、継続的な改善に努めています。
    1. アベイラビリティゾーンで障害が発生した際に最小限のダウンタイムで対応できるよう、AWS の複数のアベイラビリティゾーンにわたって複数のレベルで回復性のテストを行っています。
    2. 当社では AWS のそれぞれのリージョンのデータセンターにわたってデータのバックアップを作成しています。1 つのリージョンに障害が発生した場合、事態の悪化に備えてお客様のデータをセカンダリのリージョンで保持します。 
    3. 当社では AWS リージョンの障害に備えたテストを行っています。リージョン全体に影響する障害はめったに発生するものではありませんが、サービスのフェイルオーバーやリージョンでの回復性の持続的な改善のために、テストを継続して行っています。
    4. バックアップおよび復元の手順を常に用意し、手順を定期的に確認しています。これにより、データの復元が必要な場合に、経験を積んだ人員が検証済みの手順を使って素早く操作を完了することができます。

ガバナンス、監視、およびテストを通じた回復性の保証に加え、アトラシアンでは DR プログラム全体の継続的な改善を重視しています。

お客様が必要なデータに必要なときにアクセスできるよう、サービス可用性の状態をリアルタイムで公開しています。 

製品セキュリティ

この業界での課題の 1 つに、市場への提供速度を維持しながらセキュアな製品を提供することが挙げられます。当社のゴールは、スピードとセキュリティの最適なバランスを実現することです。当社の業務のほとんどは自社製品を利用して行っています。製品とお客様のデータを安全に保管するために、幅広いセキュリティ制御を実装しています。

暗号化とキーの管理

お客様とアプリケーションとの間で送信されるすべてのデータは転送時に暗号化されます。

All data for our services is encrypted in transit over public networks using Transport Layer Security (TLS) 1.2+ with Perfect Forward Secrecy (PFS) to protect it from unauthorized disclosure or modification. Our implementation of TLS enforces the use of strong ciphers and key-lengths where supported by the browser.

Jira Cloud と Confluence Cloud に保存されるコンテンツの暗号化は行われません。ただし、AWS に保管されている添付ファイルは暗号化されます。AWS での物理的な制御および管理性や、お客様のデータを保護するための転送レベルでの暗号化は、信頼に足るものであると考えています。添付ファイルには、最小限の要件として 128 ビットの Advanced Encryption Standard (AES) が使用されています。

Stride での通信データはエンドツーエンドで暗号化されます。お客様が作成した暗号化キーは、認証や、Bitbucket でのプッシュおよびプル リクエストに使用されます。  

アトラシアンでは暗号化キーを厳重に管理しています。各キーにはオーナーが割り当てられ、オーナーは、必要なレベルのセキュリティ制御をキーに確実に適用する責任を持ちます。

製品の脆弱性管理

当社は品質の良いソフトウェアを構築するために革新的なアプローチをとっています。

当社では、新機能を素早く安全に提供するために、従来の Quality Assurance (品質保証: QA) 領域とは異なる Quality Assistance* 方式を採用しています。QA の役割を、QA 作業を実際に行うメンバーからファシリテーターに変更し、チーム全体で品質について取り組む意識を共有するようにしています。また、開発者が自身の開発した機能を当社の品質標準に従ってテストする取り組みを進めています。

当社では製品の脆弱性の数を減らすよう尽力していますが、開発を行うにあたり、すべての不具合を未然に検出することは不可能であることも承知しています。当社ではバグ報奨金パートナーシップを通じ、脆弱性の発見や公開に報酬を設けることで、悪意のある第三者による脆弱性の発見の可能性を低くしています。

注: Quality Assistance という用語は Cem Kaner が定義したものです。この用語の詳細や当社の全体的な品質プロセスにご興味をお持ちの場合、当社の QA についての一連のブログ投稿をこちらからご確認ください。

製品のセキュリティテスト

内部および外部のテストプログラムに加えてバグバウンティを用意しています。

当社の製品に対する脆弱性管理のアプローチは、内部と外部でのセキュリティテストを含みます。既知の問題は、公開の課題追跡システムで参照できます。

内部テスト

このアプローチは、計画、開発、およびテスト段階にわたります。各テストはそれぞれの前提の作業に基づき、段階的に厳格なものとなります。当社では、開発とテスト段階の両方で、静的及び動的なコード分析アプローチを導入しています。開発段階では、コードスキャンを組み込むことで、機能性に関連するセキュリティ課題や、機能性には関連しないが特定可能なセキュリティ課題を取り除いています。

テスト段階では、開発とセキュリティエンジニアリングチームの両方が敵対的アプローチをとり、自動および手動のテスト技術を使用して機能を損なえるかどうかを試みます。

当社のセキュリティエンジニアリングチームは、共通タスクの自動化や製品チームへの専用のテストツールの提供のために、さまざまなセキュリティテストツールを開発しています。セキュリティチームはこのようなツールを活用しています。開発チームでもこのツールを使用してセキュリティスキャンを自身で行い、出力結果について対策を行うことができます。当社のセキュリティエンジニアリングチームはセキュリティのエキスパートですが、究極的には、社内の開発者の一人ひとりが自身のコードに責任を持つべきであると考えています。

外部テスト

リリースが本番環境に適用されると、外部テストが行われます。このアプローチは "継続的評価" のコンセプトに基づいて構築しています。単発のペネトレーションテストのみに依存するのではなく、公開のクラウドソース形式のバグ報奨金モデルの使用を通じて、常時使用かつ常時テスト形式のモデルを実践しています。

ユーザーにて、製品の標準的な使用を通じて脆弱性を発見した場合、お知らせください。登録されたすべての脆弱性に対して早急に回答いたします (詳細については脆弱性情報報告書を参照)。調査中は問題の起票者と進捗を共有し、いただいたお問い合わせに回答します。

新しいインフラストラクチャアーキテクチャ (例: 当社のクラウド環境)、新製品、基盤となる部分の再アーキテクト (例: マイクロサービスの広範な利用) などの、リスクの高い製品やインフラストラクチャに対しては、セキュリティコンサルティングの専門家がペネトレーションテストを行います。

当社のペネトレーションテストに対するアプローチは、高度に明確化した目的を持ちます。一般に、テストは次のようになります。

ホワイトボックス: テスターには、テストに使用するための設計ドキュメントとプロダクトエンジニアからの概要資料が渡されます。
コードの調査: テスト中に発生した予期せぬシステム動作を診断し、潜在的な原因を特定するため、テスターには関連するコードベースへの完全なアクセス権が付与されます。
脅威ベース: 特定のシナリオに焦点を当ててテストを行います (例: セキュリティ侵害が発生したインスタンスが存在すると想定し、それを開始点としてテストを実施)。

調査を行うにはテスターに幅広い情報を提供する必要があるため、これらのレポートや抜粋は外部には公開されません。このようなシステムや製品の大部分は当社の公開課題追跡システムに含められます。ここでは、お客様が参照できる形式で進行中の追加の外部調査を確認できます。

運用プラクティス

当社では製品のセキュリティと同様に、内部での慎重な日次業務の重要性を理解しています。"セキュリティの内部構築" のコンセプトは当社の内部プロセスで使用している理念と同じであり、当社のビジネスの遂行方法にも影響します。

お客様のデータへのアクセス

アプリケーション内に保存されているお客様データへのアクセスは、必要最小限の範囲に制限します。

当社の SaaS プラットフォームではすべてのお客様データを平等に機密情報として扱い、これを統括する厳重な制限を適用しています。内部の従業員や契約社員に対し、採用研修時に啓蒙トレーニングを実施して、お客様データの重要性とそれらを扱ううえでのベストプラクティスを教育しています。  

アトラシアンでは、許可されたアトラシアン社員のみが、アプリケーションに保管されているお客様データへのアクセス権を持ちます。パスフレーズで保護された個別の公開キーを使用して認証を行い、サーバーでの受信トラフィックでは、アトラシアンおよび内部のデータセンターを経由した SSH 接続のみが許可されます。

お客様データへの許可されていないアクセスや不適切なアクセスはセキュリティインシデントとして扱い、当社のインシデント管理プロセスを通じて管理します。このプロセスには、ポリシー侵害があった場合の、影響を受けるお客様への通知も含まれます。

お客様のデータが保管されている当社のデータセンターへの物理的なアクセスは許可された人員にのみ許可され、アクセスは生体認証で検証されます。データセンターの物理的なセキュリティには、常駐の警備員、有線でのビデオ監視、侵入者用の装置、その他の侵入保護措置が含まれます。

お客様データやメタデータへのアクセス権の管理について、より広範なポリシーがプライバシーポリシーに含まれます。

サポートによるアクセス

サポートチームは、オープンなチケットを解決するために必要な場合にのみお客様のデータにアクセスします。

当社のグローバルサポートチームは、当社のクラウドベースのシステムや、メンテナンスおよびサポートプロセスに利用するアプリケーションへのアクセス権を持ちます。ホストされているアプリケーションやデータへのアクセスは、アプリケーションの健全性の監視、システムまたはアプリケーションメンテナンス、または当社のサポートシステム経由でのお客様からの依頼のためにのみ行います。

トレーニングと啓蒙

当社のセキュリティトレーニングや啓蒙プログラムはコンプライアンスのチェックボックスを選択するだけのものではなく、企業全体での知識の底上げを図るものです。

当社の啓蒙プログラムは、すべてのメンバーがセキュリティに対して責任を持つことを前提に作成しています。このような責任範囲は当社の内部のセキュリティポリシープログラムから引用しているものであり、このトレーニングおよび啓蒙プログラムを使用して従業員に責任範囲の周知を行います。

採用候補者や契約社員は当社での業務を開始する前に秘密保持契約を結び、その後の採用研修でセキュリティの啓蒙コースを受講します。

"継続的な改善" の実現のため、セキュリティの関連メッセージを全社員向けのメールやブログ投稿で配信しています。これらのメッセージは通常、リアルタイムで関連する事象を扱います。これには、新しく発見または公開された脆弱性や、セキュリティプラクティスに従うことの重要性の周知などが含まれます。

セキュリティチャンピオン

当社では、セキュリティチーム外のセキュリティスペシャリストの知識も積極的に取り入れています。

当社では啓蒙プログラムとは個別の "セキュリティチャンピオン" プログラムを内部で立ち上げています。このプログラムのねらいは、アトラシアンのすべてのチームがセキュリティを常に意識することです。また、さらに多くの従業員がセキュリティ知識を習得できるよう、所属チームが運用であるか開発であるかにかかわらず、組織を横断したセキュリティの基本知識の研修を行っています。これにより、セキュリティに対する情熱や能力を持った専門家が業務の合間にフィードバックを行い、社内で支援を行うことができます。

変更管理

当社はオープンソース形式の変更管理を実現しています。

従来の変更管理プロセスは、ピラミッド形式の変更管理階層で実装されていました。ある変更を行いたい場合、それを承認または却下するための会議で提案を行う必要がありました。当社では、"ピアレビュー、グリーンビルド " 形式を導入しています。コードやインフラストラクチャへの各変更では、変更による問題を確認するために 1 人以上の同僚 (ピア) によるレビューが必要です。レビューの必要数は変更または製品の重要性に基づいて増やします。当社では開発チームおよびエンジニアに信頼を置き、それらのメンバーがセキュリティやパフォーマンスの問題を検出して実装前に修正することを想定しています。これに関連し、当社では独自の連携ツールである Bamboo を使用して、メインブランチにマージされた変更が、連携、単体、機能、またはセキュリティテストで問題を発生しないかどうかを確認しています。ビルドおよびテスト段階で問題が検出されなかった場合、Bamboo に緑色のアイコンが表示され、ビルドプロセスが正常に完了します。問題が検出された場合、Bamboo に赤色のアイコンが表示され、問題の原因となっている変更を特定するためにマージの再検証が行われます。当社の "ピアレビュー、グリーンビルド" 方式により、週に何千回も実装される変更の特定を実現しています。

従業員の雇用

最良の人材の雇用に努めています。

あらゆる企業と同様に、当社では最良の人材を採用できるように努めています。毎週の全社ミーティングですべての新入社員を紹介し、当社の理念に則って最高の仕事をして、一人ひとりがアトラシアンを良い方向に変えられるよう促します。アトラシアンが素晴らしい会社になるには、あらゆる社員が豊かな能力を日々活かしてくれることが重要であると考えています。採用の過程では、雇用、ビザ、背景、および財務資格の調査を行います。採用の合意がとれたら、各新入社員に対して 90 日間の基礎研修と職種に基づいた研修を用意します。 

セキュリティプロセス

We acknowledge that there is always margin for error. We want to be proactive in detecting security issues, which allows us to address identified gaps as soon as possible to minimize the damage.

セキュリティインシデント管理

インシデントを完全に防ぐことは難しいですが、影響を最小限に抑えるために素早く効果的な対応を行います。

アトラシアンのセキュリティチームはホスティングインフラストラクチャのさまざまなリソースからログを収集し、SIEM プラットフォームを使用して不審なアクティビティを監視および検出します。このようなアラートのトリアージ、詳細な調査、および適切なエスカレーションについて、当社の内部プロセスで規定しています。お客様やその他のコミュニティにてセキュリティインシデントと疑われる事象を確認した場合、アトラシアンサポートにご報告ください。  

重大なセキュリティインシデントが発生した場合、内外の専門チームを招集して調査を行い、事態の解決まで対応します。当社のセキュリティインシデントのデータベースとしてVERIS フレームワークを使用しています。

Read more about our security incident management process and about our shared responsibilities during a security incident.

脆弱性管理

当社の環境に存在する可能性がある脆弱性を確実かつ主体的に検出するため、さまざまな脆弱性管理プログラムを用意しています。

Apart from our product-specific vulnerability management practices (discussed earlier), our security team performs on-going network vulnerability scans of both our internal and external infrastructure using an industry leading vulnerability scanner. More information about this process is available on our Trust FAQ.

また、当社ではリスクの高い製品やインフラストラクチャについて、セキュリティコンサルティングの専門団体にペネトレーションテストを依頼しています。このような例には、新しいインフラストラクチャの立ち上げ (例: 当社のクラウド環境)、新製品 (例: Stride)、基盤レベルの再アーキテクト (例: マイクロサービスの広範な利用) などが挙げられます。 

報告されたあらゆる脆弱性について、内部プロセスを通じてレビューおよび対応を行います。このプロセスには、CVSS のセキュリティレベルに基づいた、脆弱性に対するパッチ提供の SLA が定義されています。詳細についてはセキュリティバグ修正ポリシーをご参照ください。

For more information on our security testing, see : Our Approach to External Security Testing.

バグ報奨金

バグ報奨金プログラムを活用してシステムを常にテストしています。

当社のセキュリティバグ管理へのアプローチにおいて、バグ報奨金プログラムを通じて製品のセキュリティ面での脆弱性を常にテストすることを実現しています。リリースが頻繁に行われる真にアジャイルな開発環境では、テストの継続的な実施は必須事項です。当社のバグ報奨金プログラムに参加している一連のセキュリティ調査者がもっとも効果的な方法で外部セキュリティテストプロセスを実行し、この目的の達成に貢献します。

当社の製品または環境の数は 25 を超え、サーバー製品、モバイルアプリ、クラウド製品など多岐にわたります。これらのすべてがバグ報奨金プログラムの対象となり、500 人以上のテスターがプログラムに登録しています。報告された脆弱性の数、当社の平均応答時間や支払金については、バグ報奨金プログラムをご参照ください。  

For more information on our security testing, see : Our Approach to External Security Testing.

コンプライアンス

当社のセキュリティプログラムは、よく知られたさまざまな業界標準に準拠して実行しています。各認定を通じて、お客様の求める要件を満たしていることを保証しています。当社のセキュリティ管理プログラムで詳細についてご確認ください。

現在、SOC 2、ISO27001、PCI DSS、および CSA STAR 標準の認定を受けています。これらのプログラムの詳細については、当社のコンプライアンスページをご参照ください。

スタンダード

提供元

状況

ISO27001

国際標準化機構

Atlassian has been accredited to ISO27001, for the scope of operations described in our certificate of accreditation. In short, our security team is currently certified for its security engineering, security intelligence, and security projects functions. The scope of accreditation is currently being expanded across the organization.

ISO/IEC 27001 also leverages the comprehensive security controls detailed in ISO/IEC 27002. The basis of this certification is the development and implementation of a rigorous security management program, including the development and implementation of an Information Security Management System (ISMS). This widely-recognized and widely-respected international security standard specifies that companies that attain certification also:

  • 情報セキュリティのリスクを体系的に評価し、セキュリティの脅威と脆弱性の影響を考慮すること
  • セキュリティのリスクに対処するための包括的な情報セキュリティコントロールを設計、実装すること
  • 総合的な監査およびコンプライアンス管理プロセスを実施して、コントロールが継続的に組織のニーズを満たすようにすること

対象には Jira クラウド、Confluence クラウド、Bitbucket クラウドのアトラシアンクラウド製品とこれらのアプリケーションの配信に使用されるマイクロサービスのほか、会社の部門として法務、人材、ポリシー、プライバシー、調達、リスク & コンプライアンス、セキュリティ、ワークプレースエクスペリエンス、ワークプレーステクノロジーの各チームが含まれます。 

View the Atlassian ISO/IEC 27001 Certificate.

ISO27018

国際標準化機構

アトラシアンでは現在、GDPR プログラムの一環として、業務全体を通じたセキュリティおよびプライバシー制御においおて ISO 27018 の要件を実現するように取り組んでいます。

ISO/IEC 27018 は、クラウドでの個人データの保護に焦点を当てた実践規範です。情報セキュリティ規格 ISO/IEC 27002 を基盤としており、パブリッククラウド内の PII (個人識別情報) に適用される ISO/IEC 27002 管理策向けの補足的実践ガイダンスを定めています。既存の ISO/IEC 27002 管理策一式では対処できないパブリッククラウド内の PII に対する保護要件を定めるために、補足的管理策一式と関連ガイダンスも定めています。

対象には Jira クラウド、Confluence クラウド、Bitbucket クラウドのアトラシアンクラウド製品とこれらのアプリケーションの配信に使用されるマイクロサービスのほか、会社の部門として法務、人材、ポリシー、プライバシー、調達、リスク & コンプライアンス、セキュリティ、ワークプレースエクスペリエンス、ワークプレーステクノロジーの各チームが含まれます。 

View the Atlassian ISO/IEC 27018 Certificate.

PCI-DSS

Payment Card Industries

Atlassian is a PCI DSS compliant merchant for receiving purchases related to our products. However, Atlassian products are not meant to process or store credit card data for our customers.

When you pay with your credit card for Atlassian products or services you can rest assured that we handle the security of that transaction with appropriate attention. We are a Level 2 merchant and we engage with Qualified Security Assessor (QSA) to assess our compliance with PCI DSS. We are currently compliant with PCI DSS v3.2SAQ A.

View or download our PCI Attestations of Compliance (AoC):

CSA CCM / STAR

クラウドセキュリティアライアンス

CSA STAR Level 1 Questionnaire for Atlassian is available for download on the Cloud Security Alliance’s STAR Registry web site.

The CSA Security, Trust & Assurance Registry (STAR) is a free, publicly accessible registry that documents the security controls provided by various cloud computing offerings, thereby helping customers assess the security of cloud providers they currently use or are considering contracting with. Atlassian is a CSA STAR registrant and Corporate Member of the Cloud Security Alliance (CSA) has completed the Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ). The latest version of the CAIQ, aligned to CSA’s Cloud Controls Matrix (CCM) v.3.0.1, provides answers to over 300 questions a cloud customer or a cloud security auditor may wish to ask of a cloud provider

アトラシアンの CAIQ 回答は、Jira、Confluence、Hipchat、Bitbucket の各クラウド版サービスを対象としています。

SOC2/SOC3

Service Organisation Controls

アトラシアンの Service Organization Control (SOC) レポートは第三者機関によって認定されており、コンプライアンスに関する主要なコントロールと目標をアトラシアンがどのように達成しているのかを明示しています。このレポートの目的は、アトラシアンでのオペレーションとコンプライアンスを支援するために確立したコントロールについて、お客様およびお客様の監査役の理解を促すことです。 

アトラシアンは次の製品について SOC2 認証を取得しています。 

  • Jira Cloud (Type II)
  • Confluence Cloud (Type II)
  • Bitbucket Cloud (Type II)
  • Trello (Type I)

Atlassian has achieved SOC3 certifications for: 

  • Jira Cloud
  • Confluence Cloud
  • Bitbucket Cloud

Download Atlassian's SOC2 and SOC3 certifications here.

また、よく知られた監査期間を通じ、包括的なセキュリティ監査を年に 1 回以上行っています。

このような監査および認定プログラムの結果と、脆弱性管理などの内部プロセスで得られたすべての情報とを、継続的な改善サイクルに組み込み、セキュリティプログラム全体の改善に活かしています。 

GDPR Compliance

We are wholly invested in our customers' success and the protection of customer data. One way that we deliver on this promise is by helping Atlassian customers and users understand, and where applicable, comply with the General Data Protection Regulation (GDPR). The GDPR is the most significant change to European data privacy legislation in the last 20 years and went into effect on May 25, 2018.

We appreciate that our customers have requirements under the GDPR that are directly impacted by their use of Atlassian products and services, which is why we have devoted significant resources toward helping our customers fulfill their requirements under the GDPR and local law.

Below are several GDPR initiatives for our cloud products:

  • We have made significant investments in our security infrastructure and certifications (see security and certifications section).
  • We support appropriate international data transfer mechanisms by maintaining our Privacy Shield certifications, and by executing Standard Contractual Clauses through our updated Data Processing Addendum.
  • We offer data portability and data management tools including:
  • We have ensured Atlassian staff that access and process Atlassian customer personal data have been trained in handling that data and are bound to maintain the confidentiality and security of that data.
  • We hold any vendors that handle personal data to the same data management, security, and privacy practices and standards to which we hold ourselves.
  • We have committed to carrying out data impact assessments and consulting with EU regulators where appropriate.

Learn more about our approach and investment in GDPR on our Atlassian GDPR Compliance page.

プライバシー

当社ではプライバシーについてのお客様の懸念を理解し、当社の社員がが SaaS ベースのアプリケーションを使用する際の懸念と同等またはそれ以上のものであると考えています。したがって、個人を特定可能な情報やその他の機密情報は、当社がサービス プロバイダーに期待するのと同等のレベルで扱うように努めています。

アトラシアンおよびアトラシアンに従属する団体は、EU-US Privacy Shield Framework、および、EU から米国に転送された個人情報の収集、使用、および保持についての関連する Privacy Shield Principle に準拠します。

プライバシーに対する当社のアプローチの詳細については、当社のプライバシーポリシーをご参照ください。

法的執行要求の取り扱いについて

アトラシアンでは、ユーザーのデータについての法的な要求や、ユーザーアカウントの停止またはユーザーアカウントのコンテンツの削除についての法的な要求について、年に 1 度透明性レポートを公開しています。

共同責任

クラウドにおいて、システム内に保存されるユーザーデータのセキュリティは共同責任で管理されるものとなります。この共同責任については、先日公開したホワイトペーパー "The Atlassian Cloud Security Team (You're part of it)" にて、広範囲にわたって解説しています。

アトラシアンは、アプリケーション自体、アプリケーションが実行されるシステムおよびそれらがホストされる環境のセキュリティの責任を持ちます。PCI-DSS や SOC 2 を含む必要な標準にこれらのシステムおよび環境が準拠していることを保証します。

お客様は、アカウント内の情報の管理、アカウントおよび関連する資格情報にアクセス可能なユーザーの管理、および自身でインストールおよび信頼するアプリの制御の責任を持ちます。当社のシステムを使用する際に必要なビジネス要件を実現できているかどうかは、ユーザー側で保証されます。

お客様には次のような点に考慮していただくことをおすすめしております。

重要な決定事項

製品のセキュリティは、その製品のセットアップ時の決定に大きく影響されます。次のような決定事項が重要となります。

  • 全製品 - ドメイン検証および中央管理。1 つまたは複数のドメインを検証することで、自身の組織がそのドメインを保有していることを証明することができます。ドメイン検証を使用することで、組織で全社員のアトラシアンアカウントを管理し、パスワード強度や SAML を含む認証ポリシーを適用することができます。ドメインの検証後、そのドメインに所属するアトラシアンアカウントを持つ既存のすべてのユーザーは、自身のアカウントが管理対象に移行する旨のメールを受信します。そのドメインでアトラシアンアカウントを新しく登録するユーザーには、そのアカウントが管理対象になる旨が表示されます。
  • Bitbucket – Public vs Private repositories. You designate whether the repositories are public (meaning that anyone on the internet can view those repositories) or private (meaning that access to those repositories will be limited to those who have permission to access the repositories).
  • Trello – Public vs Private teams and boards. In Trello, you can choose visibility settings for boards, including the ability to make boards public (with some limitations if your Trello account is managed). If a board is set to public, that means anyone on the internet can see it, and it may show up in search results from search engines like Google. Learn more about Trello’s board visibility settings here. You can also choose to make your team public so that your team profile can be viewed by anyone on the internet. Learn more about Trello’s Team visibility settings here.
  • All products – Granting access. Our products are designed to enable collaboration. Collaboration requires access. But you do need to be careful about granting permissions to access your data to other users, and to apps. Once you grant such permissions, we will not be able to prevent those users from taking the actions allowed under those permissions, even if you don’t approve of those actions.
ユーザーアクセス

当社の SaaS ソリューションでは、お客様のデータへの適切なユーザーアクセスの責任はお客様自身が持ちます。このため、システムに保存するデータの区分を理解し、データについて許可されたユーザーのみがシステムへのアクセス権を持つようにする必要があります。

ロールベースの認証が利用できる場合はそれを利用することで、データ分類への準拠や要件の実現に必要なアクセス制限を簡単に実装できます。

パスワードの運用についてのプラクティスをユーザーと共有することで、パスワード推測や漏えいした資格情報を使用した第三者による不正アクセスなどの脅威を軽減できます。

エコシステム

アトラシアンエコシステムは、サービスプロバイダであるアトラシアン、お客様およびそれぞれの環境のユーザー、Marketplace で構成されます。お客様は、自身が選択したアプリのインストールにおいて完全な権限を持ちます。インストール時、インストール実行者 (多くの場合はユーザー管理者) はアプリに付与する権限を確認することができます。管理者はこの権限に十分な注意を払う必要があります。権限を付与したあとにアプリによるお客様データの使用方法を確認することは困難です。

お客様はアプリのインストール前に、アプリの開発者や、アプリが要求する権限の適合性と正当性を確認します。エコシステムの健全性のため、アドオンのインストール後はアプリのアクティビティを監視し、不審なアクティビティを見つけた場合は報告することをご検討ください。

詳細情報

このページではさまざまなドキュメントやリソースを案内してきました。セキュリティおよび信頼に対する当社のアプローチについてさらに関心をお持ちの場合、詳細にご確認いただけます。