Atlassian Government Cloud の共同責任モデル
Atlassian Government Cloud は、FedRAMP Moderate の共同責任モデルの下で運用されています。これは、セキュリティとコンプライアンスのコントロールの一部がアトラシアンによって管理され、一部がお客様によって管理され、一部が共有されることを意味します。
すべての FedRAMP Moderate コントロールのリストについては、fedramp.gov をご確認ください。このページの内容は、Atlassian Government Cloud の FedRAMP Customer Responsibilities Matrix (CRM) の要約版です。CRM へのアクセスをリクエストするには、アトラシアン サポートにお問い合わせください。
それぞれの表は、FedRAMP コントロール ファミリーの概要と、アトラシアンがすべての責任を負うか、またはお客様と共同で責任を負うかを示しています。お客様が責任を負うコントロールについては、詳細とドキュメントへのリンクをご確認いただけます。当社のアプリの機能について詳しくは、Atlassian Government Cloud で利用可能なアプリと機能の完全なリストをご覧ください。
Atlassian Government Cloud のカスタマーは、Atlassian Government Cloud の FedRAMP Moderate 承認パッケージへのアクセスをリクエストできます。FedRAMP パッケージ アクセス リクエスト フォームを送信する際、アトラシアンの FedRAMP パッケージ ID は FR2412062433 です。
アクセス制御 (AC) コントロール ファミリー | コントロール (該当する場合) |
|---|---|
アトラシアンの責任: プラットフォーム制御、初期管理者アカウント、SAML シングルサインオン統合、監査ログを提供します。 |
|
お客様の責任: 次の方法で、ユーザー、ベンダー、パートナーのアクセス許可を管理します。
|
AC-2(a, b, c, d, e, f, g, h, i, j, k, l) |
以下の方法で個々のユーザー アカウントを管理します。
| AC-2(1),(2), (3 a, b, c, d), (4), (5), (7 a, b, c, d), (9), (12 a, b) (13) |
承認された個人のみが管理者権限を持つようにします。 | AC-3 |
承認されたアクセス権を持つ個人に対する職務分掌 (SoD) を定義し、文書化します。 | AC-5(a,b) |
業務の実行に必要なアクセス権限のみをユーザー アカウントに付与します。 | AC-6 |
ID プロバイダーを設定して、ログイン試行の失敗回数に制限を設けます。 | AC-7(a,b) |
Lightweight Directory Access Protocol (LDAP) システムで、ユーザーが FedRAMP の使用条件を承認するためのメッセージが表示されることを確認します。 | AC-8(a,b) |
各リモート アクセス接続の使用制限、設定、接続要件、実装ガイダンスを文書化します。 | AC-17 (a,b) |
リモート アクセス セッションの機密性と整合性を保護するための暗号化メカニズムを実装します。 | AC-17(2) |
すべてのリモート アクセス接続を管理対象ネットワークのアクセス制御ポイント経由でルーティングします。 | AC-17(3) |
詳細については、以下のドキュメントをご参照ください。 |
|
意識向上とトレーニング (AT) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
監査および説明責任 (AU) コントロール ファミリー | コントロール (該当する場合) |
|---|---|
アトラシアンの責任: アプリと管理アクティビティの監査ログを提供します。 |
|
お客様の責任: 組織のデータ削除、データ アクセス、データ変更、権限変更、管理者アクティビティを監視します。 |
AU-2(a) |
詳細については、以下のドキュメントをご参照ください。 |
|
評価、承認、監視 (CA) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
構成管理 (CM) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
緊急時対応計画 (CP) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
識別および認証 (IA) コントロール ファミリー | コントロール (該当する場合) |
|---|---|
アトラシアンの責任: SAML シングル サインオン設定を提供します。 |
|
お客様の責任: ハードウェアベースのスマートカードと SAML 2.0 を使用したシングル サインオンを統合します。 |
IA-2(12), IA-8, IA-8(1), IA-8(2 a,b), IA-8(4) |
次の方法でユーザー識別子を管理します。
| IA-4(a,b,c,d) |
パスワードと認証システムを以下の方法で管理します。
| IA-5(a,b,c,d,f,g,h,i) |
ID プロバイダーの認証システムを不正なアクセスや変更から保護します。 | IA-5(6) |
認証プロセス中にパスワードを難読化します。 | IA-6 |
ID プロバイダーを設定して、セッションがアクティブになってから 12 時間後、または非アクティブな状態が 15 分続いた後に、ユーザーを再認証するようにします。 | IA-11 |
詳細については、以下のドキュメントをご参照ください。 |
|
インシデント対応 (IR) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
保守 (MA) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンおよび AWS から継承 |
お客様の責任: なし |
メディア保護 (MP) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンおよび AWS から継承 |
お客様の責任: なし |
物理的および環境的保護 (PE) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンおよび AWS から継承 |
お客様の責任: なし |
計画 (PL) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
要員セキュリティ (PS) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
リスク評価 (RA) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
システムとサービスの取得 (SA) コントロール ファミリー | コントロール (該当する場合) |
|---|---|
アトラシアンの責任: SAML シングル サインオン設定を提供します。 |
|
お客様の責任: FIPS 201 承認済みの PIV/CAC 認証情報のみを使用します。 |
SA-4(10) |
システムと通信の保護 (SC) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
システムおよび情報の整合性 (SI) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
サプライ チェーン リスク管理 (SR) コントロール ファミリー |
|---|
アトラシアンの責任: アトラシアンから継承 |
お客様の責任: なし |
この内容はお役に立ちましたか?