アカウント セキュリティ情報

Cloud Security Alliance questionnaire is available here: https://cloudsecurityalliance.org/star/registry/atlassian/

Please defer to https://www.atlassian.com/ja/trust; this page documents the specifics of Statuspage.

アクセス管理

スタッフはクライアント データに対してどのようなアクセス権を持っていますか? これらのスタッフのアカウントはどのように保護されていますか?
当社のスタッフはアプリが期待どおりに動作しないケースでより良いサポートを行うために、クライアントのデータに対して無制限の読み取りアクセス権を持っています。これらのアカウントが引き起こすリスクをなくすために、複数のリスク軽減策を用意しています。

  • スタッフ アカウントには 2 要素認証が必要です。

  • スタッフ アカウントには Google Apps による認証も必要です。

  • スタッフ アカウントには Atlassian VPN へのアクセス権も必要です。

How do you manage who has access to an account? How do you manage which user can access which functionality?
The people with access to an account are referred to as ‘team members', and the team member who owns the account is the 'Site admin’. Site admins manage the users and groups in Statuspage. They have access to the site's settings in Atlassian administration (admin.atlassian.com) and access to the products through this group.

  • サイト管理者と組織管理者は、新しいチーム メンバーを組織に招待できます。組織管理者のみが、組織やサイトでユーザーを無効化または削除できます。

  • G Suite と SAML シングル サインオンは、アトラシアンの管理で構成して管理できます。SAML シングル サインオンには、Atlassian Guard Standard サブスクリプションが必要です。

ページまたはページの一部を表示できるユーザーを制限できますか?
はい。特定の対象者向けページでは、事前に指定された認証情報を持つ特定のユーザー セットに公開するものをきめ細かく制御できます。

既存の資格情報ストアを活用できますか (例: シングル サインオン、SAML など)?
はい。G Suite と SAML シングル サインオンは、アトラシアンの管理で構成して管理できます。SAML シングル サインオンには、Atlassian Guard Standard サブスクリプションが必要です。

パスワードを保存しますか?
パスワードは bcrypt でハッシュ化します。パスワードは一切保存またはログに記録しません。

不審なアクティビティではアカウントをロックしますか? 一定時間後にユーザーをログアウトさせますか?
不審なアクティビティがないか監視しているほか、ユーザーは 1 か月経つと自動でログアウトするようになっています。この機能のカスタマイズや制御は許可されていません。

パスワード要件はありますか?パスワードに追加の要件を課せますか?最大セッション時間に追加の要件を課せますか?ユーザーをリモートでログアウトさせられますか?パスワードが定期的にリセットされるようにできますか?いいえ;追加のセキュリティ対策が必要な場合は、SAML を使用して ID プロバイダー自体にセキュリティ要件を課すことをお勧めします。 SAML シングル サインオンには、Atlassian Guard Standard サブスクリプションが必要です。

サイト管理者はチーム メンバーを直接制御できますか? 不正アクセスや意図しない終了が発生した場合、サイト管理者はチーム メンバーのセッションをただちに無効にできますか?
はい。サイト管理者と組織管理者は、チームに所属するユーザーと所属しないユーザーを完全に制御できます。アカウントからチーム メンバーを削除するとそのユーザーはすぐにアクセスできなくなり、チーム メンバーを追加するとその新しいユーザーはすぐにアクセスできるようになります。

Do you offer periodic reports on user activity and access, page activity, or configuration changes?
No, but we do offer some insight into recent activity via the activity log.

インシデント対応と変更管理

すべての変更管理は、アジャイル開発によってカプセル化されています。

  1. コードの変更にはピア承認が必要です。

  2. コードの変更は、セキュリティ、プライバシー、機能、可用性のニーズですべてのチーム標準を満たす必要があります。

  3. 既存の期待値に反する変更は、変更時に顧客に連絡する必要があります。

変更はすべて事前に顧客に通知しますか? 通知なしで適用される変更はありますか?
顧客には、機能のリリース、顧客が報告したバグの修正、顧客の製品の使い方に関する予期しない変更、特に予期しない機能の削除の場合のみ、変更について通知します。これらの変更の通知は本番稼働後にのみ行われます。変更に対して準備が必要な顧客の場合は、変更が完了する前に顧客が構成を調整できるように余裕を持ってお知らせします。ごくまれに、製品の他の部分の健全性を守るため、または顧客データのセキュリティとプライバシーを維持するために、事前の通知なしに重大な変更を加える場合があります。

インシデント処理の手順はありますか?
はい。アトラシアンでは幅広いインシデント処理を用意しています。少なくとも次の 2 つのケースで顧客に通知します。

  1. 誰かが非公開データを侵害している、または可能性がある。

  2. Your account has suffered a loss of critical functionality or data that did not affect enough clients to be posted directly to www.metastatuspage.com .

However, we highly recommend subscribing to www.metastatuspage.com to receive the latest updates to the health of our service; this is the main way we contact our customers in the event of a widespread issue.

ディザスタリカバリ

可用性やデータの障害からどのように保護していますか?

  • 当社のサービスに対して DDoS 攻撃などの大量のトラフィックが発生している場合、サービスの可用性に関する保証はしません。ただし、可用性は当社にとって最優先事項であり、このような事態においても複数の緩和策を実施してステータス ページをアップデートできるように、社内では積極的な取り組みを行っています。これは、インターネット規模の課題ではおそらく特に重要だと考えています。

  • データベース障害が発生した場合は 1 分以内に "フェイルオーバー" できるため、データ損失は 1 秒単位で測定されます。

  • データベースのリーダーとフォロワーの両方に影響する壊滅的なリージョンの障害が発生した場合は、別のリージョンのデータベース フォロワーを有効にできます。これによって、サービス再開までのデータの損失やデータの復元の時間が数時間で済みます。

 

製品の健全性を監視していますか?
概して、さまざまな方法でサービスの健全性を追跡しています。顧客よりも先に問題についてよく知ることを目指しており、第一に弾力性のレベルが高い製品を構築しています。

データ セキュリティとプライバシー

非公開の個人を特定できる情報 (PII) を保存しますか?
はい。メール、電話番号、氏名を保存します。

  • メールは、メール配信登録ユーザーが提供するメールかチーム メンバーのログイン アカウントのものです。

  • 電話番号は SMS 配信登録者が提供する番号です。または、チーム メンバーが提供する場合もあります。

  • 名前はオプションで、各チーム メンバーから許可を得ています。

転送中のデータを暗号化しますか?
はい。TLS v1.2 を使用しています。

保存時にデータを暗号化しますか?
はい。AES 256 ディスク暗号化によって、アトラシアンのデータベースにはアトラシアン以外アクセスできないようにしています。

暗号化されていないトラフィックは非公開サブネットに制限されていますか?
はい。

スタッフがディスク、データベース、またはアプリ レベルの制御をバイパスする他の方法に直接アクセスすることを許可していますか?
はい。場合によってエンジニアには、変更を検証したり、サポートを提供したり、緊急事態に対応したりするために、アプリ レベルの制御をバイパスする必要が生じます。アトラシアンはそのような許可された各アクセスの詳細を記録するとともに、そのようなアクセス権を持つエンジニアのリストを定期的に確認しています。

Do you undergo security audits? Can we conduct our own? Can we see the results?
We have done security audits in the past. We use the "bug bounty" approach to security audits; we use bugcrowd to identify, triage, and fix problems, not to mention reward the people who found them. We do not recommend running security audits yourself without contacting us, because this will likely result in an automatic ban from accessing our service.

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容アクセス管理インシデント対応と変更管理ディザスタリカバリデータ セキュリティとプライバシー
コミュニティ質問、ディスカッション、記事