アカウント セキュリティ情報

クラウドセキュリティアライアンスのアンケートはこちらから入手できます: https://cloudsecurityalliance.org/star/registry/atlassian/

https://www.atlassian.com/ja/trust をご参照ください。このページには、Statuspage の詳細が記載されています。

アクセス管理

スタッフはクライアント データに対してどのようなアクセス権を持っていますか? これらのスタッフのアカウントはどのように保護されていますか?
アトラシアンのスタッフはアプリが期待どおりに動作しないケースでより良いサポートを行うために、クライアントのデータに対して無制限の読み取りアクセス権を持っています。これらのアカウントが引き起こすリスクをなくすために、複数のリスク軽減策を用意しています。

  • スタッフ アカウントには 2 要素認証が必要です。

  • スタッフ アカウントには Google Apps による認証も必要です。

  • スタッフ アカウントには Atlassian VPN へのアクセス権も必要です。

アカウントにアクセスできるユーザーをどのように管理していますか? どのユーザーがどの機能にアクセスできるかをどのように管理していますか?
アカウントへのアクセス権を持つユーザーは「チーム メンバー」、アカウントを所有しているチーム メンバーは「サイト管理者」と呼ばれます。サイト管理者は Statuspage でユーザーとグループを管理します。サイト管理者はアトラシアンの管理 (admin.atlassian.com) にあるサイトの設定にアクセスできるほか、このグループを通じて製品にアクセスできます。

  • サイト管理者と組織管理者は、新しいチーム メンバーを組織に招待できます。組織管理者のみが、組織やサイトでユーザーを無効化または削除できます。

  • G Suite and SAML single sign-on can be configured and managed in Atlassian administration. An Atlassian Guard Standard subscription is required for SAML single on.

ページまたはページの一部を表示できるユーザーを制限できますか?
はい。特定の対象者向けページでは、事前に指定された認証情報を持つ特定のユーザー セットに公開するものをきめ細かく制御できます。

Can we leverage an existing credential store (e.g. single sign on, SAML, etc)?
Yes, G Suite and SAML single sign-on can be configured and managed in Atlassian administration. An Atlassian Guard Standard subscription is required for SAML single on.

パスワードを保存しますか?
パスワードは bcrypt でハッシュ化します。パスワードは一切保存またはログに記録しません。

不審なアクティビティではアカウントをロックしますか? 一定時間後にユーザーをログアウトさせますか?
不審なアクティビティがないか監視しているほか、ユーザーは 1 か月経つと自動でログアウトするようになっています。この機能のカスタマイズや制御は許可されていません。

Do you have password requirements? Can we impose additional requirements on passwords? Can we impose additional requirements on the max session time? Can we log users out remotely? Can we require passwords are periodically reset?
No; if you want additional security measures we recommend using SAML and imposing the security requirements on the identity provider itself. An Atlassian Guard Standard subscription is required for SAML single on.

サイト管理者はチーム メンバーを直接制御できますか? 不正アクセスや意図しない終了が発生した場合、サイト管理者はチーム メンバーのセッションをただちに無効にできますか?
はい。サイト管理者と組織管理者は、チームに所属するユーザーと所属しないユーザーを完全に制御できます。アカウントからチーム メンバーを削除するとそのユーザーはすぐにアクセスできなくなり、チーム メンバーを追加するとその新しいユーザーはすぐにアクセスできるようになります。

ユーザーのアクティビティとアクセス、ページ アクティビティ、構成の変更に関する定期的なレポートを提供していますか?
いいえ。ただし、アクティビティ ログを通じて、最近のアクティビティに関する詳細な分析を提供しています。

インシデント対応と変更管理

すべての変更管理は、アジャイル開発によってカプセル化されています。

  1. コードの変更にはピア承認が必要です。

  2. コードの変更は、セキュリティ、プライバシー、機能、可用性のニーズですべてのチーム標準を満たす必要があります。

  3. 既存の期待値に反する変更は、変更時に顧客に連絡する必要があります。

変更はすべて事前に顧客に通知しますか? 通知なしで適用される変更はありますか?
顧客には、機能のリリース、顧客が報告したバグの修正、顧客の製品の使い方に関する予期しない変更、特に予期しない機能の削除の場合のみ、変更について通知します。これらの変更の通知は本番稼働後にのみ行われます。変更に対して準備が必要な顧客の場合は、変更が完了する前に顧客が構成を調整できるように余裕を持ってお知らせします。ごくまれに、製品の他の部分の健全性を守るため、または顧客データのセキュリティとプライバシーを維持するために、事前の通知なしに重大な変更を加える場合があります。

インシデント処理の手順はありますか?
はい。アトラシアンでは幅広いインシデント処理を用意しています。少なくとも次の 2 つのケースで顧客に通知します。

  1. 誰かが非公開データを侵害している、または可能性がある。

  2. アカウントで重要な機能またはデータが失われているが、クライアントには www.metastatuspage.com へ直接掲載されるほどの影響はなかった。

ただし、www.metastatuspage.com を配信登録して、サービスの健全性に関する最新のアップデートを受け取ることを強くお勧めします。これは、広範囲にわたる課題が発生した場合に顧客に連絡する主な方法です。

ディザスタリカバリ

可用性やデータの障害からどのように保護していますか?

  • 当社のサービスに対して DDoS 攻撃などの大量のトラフィックが発生している場合、サービスの可用性に関する保証はしません。ただし、可用性は当社にとって最優先事項であり、このような事態においても複数の緩和策を実施してステータス ページをアップデートできるように、社内では積極的な取り組みを行っています。これは、インターネット規模の課題ではおそらく特に重要だと考えています。

  • データベース障害が発生した場合は 1 分以内に "フェイルオーバー" できるため、データ損失は 1 秒単位で測定されます。

  • データベースのリーダーとフォロワーの両方に影響する壊滅的なリージョンの障害が発生した場合は、別のリージョンのデータベース フォロワーを有効にできます。これによって、サービス再開までのデータの損失やデータの復元の時間が数時間で済みます。

 

製品の健全性を監視していますか?
概して、さまざまな方法でサービスの健全性を追跡しています。顧客よりも先に問題についてよく知ることを目指しており、第一に弾力性のレベルが高い製品を構築しています。

データ セキュリティとプライバシー

非公開の個人を特定できる情報 (PII) を保存しますか?
はい。メール、電話番号、氏名を保存します。

  • メールは、メール配信登録ユーザーが提供するメールかチーム メンバーのログイン アカウントのものです。

  • 電話番号は SMS 配信登録者が提供する番号です。または、チーム メンバーが提供する場合もあります。

  • 名前はオプションで、各チーム メンバーから許可を得ています。

転送中のデータを暗号化しますか?
はい。TLS v1.2 を使用しています。

保存時にデータを暗号化しますか?
はい。AES 256 ディスク暗号化によって、アトラシアンのデータベースにはアトラシアン以外アクセスできないようにしています。

暗号化されていないトラフィックは非公開サブネットに制限されていますか?
はい。

スタッフがディスク、データベース、またはアプリ レベルの制御をバイパスする他の方法に直接アクセスすることを許可していますか?
はい。場合によってエンジニアには、変更を検証したり、サポートを提供したり、緊急事態に対応したりするために、アプリ レベルの制御をバイパスする必要が生じます。アトラシアンはそのような許可された各アクセスの詳細を記録するとともに、そのようなアクセス権を持つエンジニアのリストを定期的に確認しています。

セキュリティ監査を行っていますか? 自分でできますか? 結果を確認できますか?
セキュリティ監査は従来から行っています。セキュリティ監査には "バグ報奨金制度" アプローチを採用しています。Bugcrowd によって問題を特定、トリアージ、修正しており、問題を見つけた人にはもちろん報酬を提供しています。アトラシアンに連絡しないでセキュリティ監査を自分で実行することはお勧めしません。実行すると、おそらくアトラシアンのサービスへのアクセスが自動で禁止されます。

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。