アトラシアンの技術的および組織的なセキュリティ対策

概要

セキュリティはアトラシアンのサービスの不可欠な要素です。このページでは、顧客データおよび以下に記載する顧客資料を不正なアクセス、破壊、使用、変更、および開示から保護するためのアトラシアンのセキュリティ プログラム、認定、ポリシー、および物理的、技術的、組織的、管理上の制御 (「セキュリティ対策」) について説明します。セキュリティ対策は、NIST 800-53 管理策を含む、一般に認められている業界基準やプラクティスに従っています。

本覚書の英語版において使用されている大文字で始まる用語は、本覚書上、またはデータ処理補遺で定義されていない限り、基本契約で定義する当該用語の意味を有するものとします。アトラシアンのセキュリティ体制の詳細については、Trust Center とコンプライアンスのリソース センターをご覧ください。

1. アクセス制御

アトラシアンは、顧客データおよび顧客資料を処理するにあたって適切なアクセス制御を実施するために、以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを維持します。

1.1. ユーザー プロビジョニングのフレームワークや原則を含む、アクセス制御標準に対応するアクセス管理ポリシー。

1.2. 上位階層サービスにおける多要素認証の要件を含む、ゼロ トラスト モデル アーキテクチャに基づいて指定された重大度の階層。

1.3. 関連する担当業務ならびに認証プロセスで実施される最小権限の原則に基づく、アトラシアンのシステム、アプリ、インフラストラクチャへのアクセスのためのユーザー プロビジョニングによる、権限のある担当者のみに本製品と関連する開発環境や構築環境 (ソース コード リポジトリを含む) へのアクセスを可能にする制御。

1.4. アトラシアンのスタッフのための厳格なロール ベースのアクセス制御による、知る必要がある場合のみの顧客データへのアクセスの許可。

1.5.(i) アクセス制御レビュー、(ii) 人事アプリ管理対象セキュリティ グループ、および (iii) ワークフロー制御を含むがこれらに限定されない、職務分掌。

1.6. データ分類レベルに基づいてデータ、アプリ、インフラストラクチャ、またはネットワーク コンポーネントへのアクセスを許可する前の、すべてのユーザー アカウントのアトラシアン経営陣による事前の承認、および関連するロールで必要とされるアクセス権の定期的なレビュー。

1.7. 情報分類とアトラシアンのゼロ トラスト モデル アーキテクチャに基づく、VPN (仮想プライベート ネットワーク) や MFA (多要素認証) などの技術的制御の使用。

1.8. エンドポイントとモバイル デバイスのロックアウト期間の定義や体制チェックを含む、一元管理された MDM (モバイル デバイス管理) ソリューション。

1.9. 重複アカウントや休止状態のアカウントを特定して削除する、自動的かつ定期的なレビュー プロセスを通じた速やかなアクセスの取り消し。

2. 意識向上とトレーニング

アトラシアンは、適切なトレーニングとセキュリティ意識向上のアクティビティ実施のための以下を含む包括的な公式ポリシー、制御、プラクティスを維持します。

2.1. さまざまな形式 (オンライン、対面、事前に録画されたセッション、フィッシング シミュレーション) を活用して、すべての従業員を対象とした、入社時および年次のセキュリティ、プライバシー、コンプライアンスのトピックに関する広範な意識向上トレーニング。

2.2. 関連するリスクに対処し、各自のロールに必要な特定のナレッジ ベースを強化するための、昇格権限を持つ従業員向けに対象を絞ったロール別トレーニングと文書。

2.3. 指定された学習管理システムによる、すべてのトレーニング記録の管理。

2.4. 各マネージャーへのエスカレーション プロセスを組み込んだ、トレーニングの締め切りを知らせる自動リマインダー。

2.5.現在の脅威とベスト セキュリティ プラクティスを網羅した、(請負業者やパートナーも対象とする) 継続的なセキュリティ意識向上トレーニング。

2.6.エンジニアリング チームにおける、セキュリティ チャンピオンによる安全なコーディング トレーニング。

2.7.セキュリティに対する連帯責任を強調し、さまざまなアクティビティを通じてセキュリティ原則を強化するための必須の年次セキュリティ トレーニングとイベント。

2.8. 業界標準に沿ったアトラシアン開発者向けのセキュアな開発のための年次トレーニング。

3. 監査および説明責任

アトラシアンは、適切な監査と説明責任のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを維持します。

3.1. 年次レビューと上級管理職の承認を含む、アトラシアンのポリシー管理フレームワークの一部としての包括的なロギング基準。

3.2. 読み取り専用アクセスのクラウド インフラストラクチャの一元化されたログ プラットフォームへの、関連するシステム ログの安全な転送および保存。

3.3. 異常を確認し、対処するための確立されたプロセスによるセキュリティ監査ログの監視と異常なアクティビティの検出。

3.4. 新機能や変更に対応するためのクラウド製品および関連インフラストラクチャの情報およびシステム イベントのログ範囲の定期的な更新。

3.5. 関連するクラウド サービス プロバイダー (AWS や Microsoft Azure など) の時刻同期サービスを使用した、デプロイされたすべてのインスタンスでの信頼性できるタイムキーピング。

4. 評価、承認、監視

アトラシアンは、一貫したシステム監視とセキュリティ評価のための以下を含む包括的な公式ポリシー、制御、プラクティスを維持します。

4.1. 年次レビューと更新を含む広範な監査と保証のポリシー。

4.2. 年次レビューや上級管理職によるプログラム承認など、グローバル ポリシーをさまざまな分野に分類する、一元化された内部ポリシー プログラム。

4.3. 計画、リスク分析、セキュリティ コントロール評価、結論、是正スケジュール、過去の監査報告書のレビューを含む監査管理。

4.4. 法的および契約上の要件、およびコンプライアンス評価のための制御とプロセスの有効性に関して年次評価を実施する内部、および独立した外部による監査。

4.5. 関連する基準や規制 (ISO 27001 や SOC 2 など) への準拠の継続的な検証。

4.6. 根本原因分析、重大度評価、および是正措置を考慮した監査結果から見つかった、すべての不適合に対する体系的な対処。

4.7. クラウドおよびソフトウェア製品の年次ペネトレーション テスト、および脆弱性の検出と軽減のためのプロアクティブなバグ報奨金プログラム。

4.8. 一般的に受け入れられているセキュリティ テストの基準およびプラクティスに沿った継続的な脆弱性スキャンと、アトラシアンのセキュリティ バグ修復ポリシーに沿った共通脆弱性評価システム (CVSS) による特定後の脆弱性の是正。

4.9. 関連するクラウド製品およびプロセスのセキュリティ テスト、プライバシー リスク、脆弱性評価を年 1 回以上実施。

5. 構成管理

アトラシアンは、適切な構成管理のための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを維持します。

5.1. 内部および外部のすべての資産変更のリスク管理を対象とし、年次でレビューされる変更管理ポリシー。

5.2. データを安全に取扱うため、そのセキュリティ分類に従った暗号化と暗号技術 (暗号化キーなど) に適用される変更管理の標準の手順 (キー ローテーション、キーの所有権の定義、安全な保管を含むが、これらに限定されません)。

5.3. 年次レビューや上級管理職によるプログラム承認など、グローバル ポリシーをさまざまな分野に分類する、一元化された内部ポリシー プログラム。

5.4. 業界標準に沿った、(i) 暗号化、(ii) 暗号技術、(iii) エンドポイント管理、(iv) 資産追跡を含む厳格なポリシー。

5.5. 実装と権限者による承認の前に文書化をテストするために確立された変更管理の基準。

5.6. 本番コードとインフラストラクチャの変更に対して、複数のレビューならびにテストの成功を必要とするピア レビューとグリーン ビルド プロセス。

5.7. コードへの緊急変更のための厳格な実装後テストと承認のプロセス。

5.8. 不正な変更を管理し、これを防御する IDS (侵入検知システム) で補完された包括的な自動化システム。

5.9. すべての物理的および論理的資産の綿密なカタログ化、および年次レビューによるリアルタイムの資産管理の確保。

5.10. 資産およびクラウド製品とその基盤となるコンポーネントを含めた健全性 (容量など) および可用性の継続的な監視ならびに管理。

6. 緊急時対応計画

アトラシアンは、ビジネス継続性とディザスタ リカバリに向けた適切な緊急時対応計画のための以下を含む包括的な公式ポリシー、制御、プラクティスを維持します。

6.1. スキルの高い人材と、製品提供に不可欠な電気通信やテクノロジーを含む堅牢な IT インフラストラクチャ。

6.2. 定義された RTO (目標復旧時間) と RPO (目標復旧時点) を含む、ビジネス継続性とディザスタ リカバリ計画 (「BCDR 計画」)。

6.3. アクセスと利用の中断を防ぐように合理的に設計された、データ ストレージと使用継続性を含むビジネス継続性計画。

6.4. グローバルな人材とクラウド インフラストラクチャによる地理的多様性。

6.5. 日次バックアップ、年次の復元テスト、代替クラウド インフラストラクチャのストレージ サイトなどの回復性管理による事業運営の強化。

6.6. ビジネス継続性の維持を目的としたサイバーセキュリティ イベントへの対応と修復のための回復性の枠組みと手順。

6.7. 対応戦略を強化するための四半期ごとのディザスタ リカバリのテストと演習、および適用可能な BCDR 計画に沿った継続的な改善のためのテスト後分析。

6.8. クラウド製品および関連インフラストラクチャに対する DDoS (分散型サービス拒否攻撃) の緩和など、サービスの可用性と処理能力を維持するための内部監視と調整を含む、クラウド製品全体の継続的なキャパシティ管理。

6.9. ビジネス継続性に関するすべてのグローバル ポリシーの年次レビューおよび更新のための一元化された内部ポリシー プログラム。

6.10. (i) データ暗号化、(ii) データ センター間の冗長性、(iii) 緊急時対応計画を強化するための定期的なテストを含む、堅牢なバックアップ プロトコル。

7. 識別と認証

アトラシアンは、適切な識別と認証のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを維持します。

7.1. アプリへのアクセスに SSO (シングル サインオン) を利用する、アクティブ ディレクトリを介した従業員の一意の識別。

7.2. 安全なアクセス、特にアトラシアンのゼロ トラスト モデル アーキテクチャに基づく SSO 経由の VPN とアプリ起動のための MFA の使用。

7.3. パスワードの作成と管理のセキュリティ面に焦点を当てた、NIST 800-63B ガイドラインに従ったパスワード ポリシー。

7.4. 高度な暗号化方法 (パスワードとシークレット管理システムなど) を使用した、保存されている認証情報のセキュリティの確保。

7.5. 文書化された承認、ユーザーとアカウントの定期的なレビュー、関連する ID システムと人材管理システム間の自動同期による、識別データの整合性と精度の維持。

8. セキュリティ インシデント対応

アトラシアンは、適切なセキュリティ インシデント対応のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを維持します。

8.1. 準備、封じ込め、根絶、復旧に注力し、データ保護やその他の規制要件にも重点を置く、セキュリティインシデント対応計画。

8.2. セキュリティ インシデントを処理する専任の部門横断型チーム。セキュリティ イベントの適切なトリアージ プロセスの定義など、効果的なコミュニケーションとコラボレーションを確保します。

8.3.セキュリティ インシデント管理の有効性を追跡し、向上させるための確立されたメトリックを使用した対応計画の定期的なテスト。

8.4.現在のベスト プラクティスを全社的に反映、共有するための全社的なインシデント対応計画とポリシーの年次レビュー。

8.5. システムの改善と学習に重点を置き、重大度の高いセキュリティ インシデントについて実施する根本原因分析によるインシデント事後レビュー。

8.6. ダウンタイムとセキュリティ リスクを最小限に抑えるために、重要なビジネス プロセスに組み込まれたインシデント対応手順および計画。

8.7. セキュリティ インシデントの処理と報告に役立つ、システムの可用性に関して公開されている情報: https://status.atlassian.com/ および https://www.loomstatus.com/ (該当する場合)。

8.8. お客様がインシデント、脆弱性、バグ、課題を報告して、システムの不具合、可用性、セキュリティ、機密性に関連する懸念に迅速に対応するための機能。

8.9. アトラシアンのデータ処理補遺に規定された、セキュリティ インシデントに関するお客様への通知を不当に遅滞なく行うことの確約。これには、適用されるデータ保護法の遵守に必要な情報を速やかにお客様に提供する義務も含まれます。

9. 保守

アトラシアンは、そのクラウド製品の効率維持のための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを維持します。

9.1. 外部監査人による BCDR 計画の定期テストおよび四半期ごとの評価。

9.2. インフラストラクチャの可用性と信頼性の定期テストによる複数リージョンの可用性のリアルタイム監視。

9.3. 第 4 条 (評価、承認、監視)、第 6 条 (緊急時対応計画)、第 18 条 (システムと通信の保護) に概説する対策。

10. メディア保護

アトラシアンは、(社内外の) メディアを確実に保護するための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを維持します。

10.1. 信頼できるサードパーティのサービス (Microsoft Azure や AWS など) の利用による、復処理者として顧客データを処理するための物理的インフラストラクチャの運用。

10.2.業界標準 (NIST 800-88 など) に沿った顧客データを含むハード ドライブを含む、サードパーティのクラウド サービス プロバイダーによる使用済み機器のデータ消去と消磁。

10.3. 顧客データ、顧客資料を保存するサーバーおよびデータベース、およびエンドポイント デバイス上のデータ ドライブに採用されている、業界標準 (AES-256 など) を使用したフル ディスク暗号化。

10.4. アトラシアンのゼロ トラスト モデル アーキテクチャに準拠し、モバイル デバイス管理ソリューションで構成することでアトラシアン所有のマシンに限定された顧客データおよび顧客資料へのアクセス。

10.5. 規則を遵守した安全なデバイスを介してのみアトラシアン ネットワークやシステムへのアクセスが可能な、社内向けの私有デバイスの業務利用 (BYOD) ポリシー。

10.6. セキュリティが確保された職場のガイダンスに従い、機密データが表示されないようにするために必要な無人ワークスペース。

11. 物理および環境面での保護

アトラシアンは、顧客データおよび顧客資料を物理的および環境面から保護するために、以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを維持します。

11.1. アトラシアンのオフィス全体に制御を実装した、安全でセキュリティが確保された職場環境。

11.2. バッジ リーダー、カメラ監視、時間指定のアクセス制限の採用によるセキュリティの強化。

11.3. 調査を目的としたオフィス ビルへのアクセスのログの実装と保持。

11.4. サードパーティ データ センター プロバイダーによって実装される、生体認証やオンプレミス セキュリティを含む、複数のコンプライアンス認定や強固な物理的セキュリティ対策。

11.5. サードパーティのデータ センター プロバイダーによって実装されている、制御されたアクセス ポイントと高度な監視システム、および電源ケーブルと通信ケーブルの保護対策および環境制御システム。

11.6. (アトラシアンとそのサードパーティ データ センター プロバイダーの両方による) リスクの低い環境区域への重要機器の配置による安全性の強化。

11.7. 顧客データまたは顧客資料をホストするなどの方法により処理する施設の物理インフラストラクチャを、自然発生的なものと人為的なもの両方の環境上の脅威 (過度の環境温度、火災、洪水、湿気、盗難、破壊行為など) から保護するための予防措置。

12. 計画

アトラシアンは、事業運営の適切な計画のための以下を含む一連の包括的な公式ポリシー、制御、プラクティスを維持します。

12.1. 法務チームとコンプライアンス チームによる規制上の義務に関するアクティブな監視と文書化。

12.2. システムの境界と製品の説明に関する包括的なドキュメントを含む、詳細なシステム セキュリティ計画。

12.3. 社内ユーザーや顧客への主要な製品やサービスの大幅な変更に関する通知。

12.4. セキュリティ管理プログラムの定期的なレビューと更新。

13. プログラム管理

アトラシアンは、適切なプログラム管理のための以下を含む一連の包括的なポリシー、制御、およびプラクティスを維持します。

13.1.セキュリティ関連のすべてのポリシーとプラクティスを網羅する、経営幹部レベルのセキュリティ管理プログラムのサポート。

13.2.(i) ロール定義、(ii) リスク軽減、(iii) サービス プロバイダーのセキュリティ管理プログラムを含む、文書化された情報セキュリティ ポリシー。

13.3. 顧客データを処理するシステムの定期的なリスク評価、および是正措置のためのセキュリティ インシデントの迅速なレビュー。

13.4. SOC 2、ISO27001、NIST 800-53 などの標準に準拠した公式のセキュリティ制御の枠組み。

13.5. 最高信託責任者によって承認された緩和計画と定期的な実施状況の追跡による、セキュリティ リスクの特定および定量化のプロセス。

13.6. さまざまな潜在的攻撃ベクトルをカバーするセキュリティ テストへの包括的かつ多様なアプローチ。

13.7. アトラシアンの事業に不可欠な情報セキュリティ管理プログラムとポリシーの定期的なレビュー、テスト、および更新 (年 1 回以上)。

13.8.設計によるセキュリティ確保のアプローチおよび安全な開発、安全なエンジニアリング、業界標準に準拠した安全な運用を必要とする情報セキュリティ管理プログラム。

13.9. 定期的なトレーニングによるセキュリティ スタッフ向けの能力開発プログラム、ロールと責任を明確にした組織図。

13.10. 経営幹部による戦略的運用目標の設定およびレビュー。

13.11. リスクおよびコンプライアンス責任者による、リスク管理ポリシー、リスク評価、詐欺リスク評価を含む、ERM (エンタープライズ リスク管理) の枠組みの年次レビュー。

14. 人的セキュリティ

アトラシアンは、顧客データおよび顧客資料へのアクセス権を持つアトラシアンの全従業員のセキュリティのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを維持します。

14.1. すべての対象従業員への犯罪歴調査を含む雇用前の身元調査。上級管理職や経理担当の場合は、適用される現地の法律で認められる範囲で、徹底して高いレベルの調査を実施します。

14.2. 対象従業員の機密保持契約および雇用契約の履行、および適用される方針や行動規範の確認を含む、広範なオンボーディング プロセス。

14.3. 年次で維持、レビューされるグローバルおよびローカルの雇用ポリシー。

14.4. 自動プロビジョニング解除や従業員の退職時チェックリストなど、ロール変更や離職の手続き、アクセス権の再プロビジョニングに必要な管理者の承認。

14.5. 特定のロールに特化したトレーニングやチーム内のセキュリティ チャンピオンの存在による、従業員向けの継続的なセキュリティおよびコンプライアンス トレーニング。

14.6. アトラシアンのポリシー違反を管理するために確立された懲戒プロセス。

15. 個人データの処理と透明性

アトラシアンは、適切なデータ保護法に準拠した個人データ処理のコンプライアンスのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを維持します。

15.1.必要な保護対策やプロセスを含め適用されるデータ保護法を見直し、それに適応するためのグローバルなプライバシー コンプライアンス プログラム。

15.2. 個人データのカテゴリー、処理目的、処理原則を明確に定義した社内の個人データ処理ポリシーの維持。

15.3. 処理原則、適用される法的根拠、プライバシー バイ デザイン、デフォルト原則、保持、破棄などのトピックをカバーする、さまざまなカテゴリーの個人データの処理に関する詳細な基準。

15.4. 業界標準のプラクティスと、仮名識別子を再マッピングできるシステムを管理する技術的かつ組織的な措置による、確立された仮名化データ セット作成方法。

15.5. ユーザーと顧客向けの透明性の高いプライバシー ポリシー、および従業員向けの内部ガイドライン。

15.6. (i) 処理活動の記録、(ii) プライバシーの影響評価、(iii) 移転影響評価、(iv) 同意、(v) 顧客やベンダーとのデータ処理契約を含むがこれらに限定されない、該当する包括的なコンプライアンス ドキュメント。

15.7. 初期の設計段階からセキュリティとデータ保護に重点を置いた、開発ライフサイクルのすべての段階にわたるセキュリティを確保した開発プラクティス。

15.8. 関連するデータ保護法に従い、個人データへのアクセス、修正、削除を行うデータ主体の権利をアトラシアンが遵守することの保証。

16. リスク評価

アトラシアンは、堅牢な情報セキュリティ管理システムのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを維持します。

16.1. 情報に基づいたリスク管理の意思決定を支援するために、さまざまなリスクを特定、評価、対処するための包括的なリスク管理プログラム。

16.2. 関連するリスクを軽減するために、全社的な各種ポリシーを ISO 27001 やその他の関連基準に合わせるポリシー プログラム。

16.3. (i) ペネトレーション テスト、(ii) バグ報奨金、(iii) プロアクティブな脅威軽減を含む、継続的なセキュリティ テストおよび脆弱性の特定。

16.4. 脆弱性管理アクティビティを報告するためのプロセスとメトリック。

16.5. 独立した外部および内部監査を含む、徹底的なセキュリティ評価。

17. システムとサービスの取得

アトラシアンは、システム開発、保守、変更管理のための以下を含む構造化されたセキュリティ中心の手法を維持します。

17.1. システムとインフラストラクチャの変更のレビューと文書化を含む、アジャイルで安全なソフトウェア開発ライフサイクル。

17.2. システム構成の変更とデプロイのプロセスを自動化した、安全で標準化されたアプリのデプロイ。

17.3. ピア レビュー済みのプル リクエストとマージ前の必須の自動テストを含む定義済みの開発プロセス。

17.4. 指定した従業員間で分離した変更管理責任。

17.5.重大インシデントの発生時に迅速に対応する体制を整えるための「ブレーク グラス」手順を含めた緊急変更プロセス。

17.6. アトラシアンのソース コードとデプロイ システムにおける堅牢なコンプライアンス設定による不正な改ざんの防止。

17.7. すべての構成変更の明確な文書化と監視、およびピア レビューの実施によるコンプライアンス違反または改ざんの自動アラート。

17.8. クラウドおよびソフトウェア製品を安全に使用ならびに構成する方法に関する説明を含む、クラウドおよびソフトウェア製品の補足文書

17.9. ベンダー ソフトウェアへの変更に対する厳格な管理。

17.10. サードパーティまたはオープンソースのライブラリの定期的なスキャンと更新、およびコード ベースの継続的なスキャン。

18. システムと通信の保護

アトラシアンは、システムおよび通信の保護のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを維持します。

18.1. 信頼性が高く安全な暗号化技術を使用した、パブリック インターネットを含むネットワーク上で保存および送信される機密情報を保護する暗号化メカニズム。

18.2. PFS (Perfect Forward Secrecy) と、保存中の顧客データには AES-256 を使用し、転送中の顧客データには TLS (Transport Layer Security) 1.2 を使用したパブリック ネットワークでの暗号化。

18.3.本番環境と非本番環境の間の接続を制限するゾーン制限と環境分離。

18.4. (i) セキュリティ パッチのデプロイ、(ii) パスワード保護、(iii) 画面ロック、(iv) 資産管理ソフトウェアによるドライブの暗号化を含む、ワークステーション資産の継続的な管理。

18.5. ゼロ トラスト モデル アーキテクチャの原則に従った、MDM プラットフォームに登録されている既知の準拠デバイスのみへのアクセス限定。

18.6. セキュリティ層の増強のため、プラットフォームと非プラットフォームのホステッド デバイスの両方に対する企業エッジでのファイアウォールの維持。

18.7. オペレーティング システムの強化、ネットワークのセグメンテーション、データ損失防止技術を含む、ネットワークとホストの防御の維持。

18.8. 顧客データおよび顧客資料を他の顧客データと論理的に分離して保持するための確立された対策。

19. システムと情報の完全性

アトラシアンは、特に以下のようなシステムと情報の完全性に関する制御と保護を含む公式に確立されたポリシーとプラクティスを維持します。

19.1. ストレージ メディアからのデータをサニタイズ後に復旧不可能にすることを合理的に保証する、適用法に従った厳格なデータ廃棄プロトコルの遵守。

19.2. 非本番環境での本番データの使用を禁止し、データの整合性と分離を確保するための厳格なポリシー。

19.3. 一元管理された読み取り専用のシステム ログ、セキュリティ インシデントの監視、セキュリティのベスト プラクティスに沿った保存ポリシー。

19.4. アトラシアン担当者による顧客データまたは顧客資料へのアクセスを、製品の提供に使用されたシステムと、かかるログに対する不正アクセス、変更、不慮または故意の破壊からの保護について記録したログの生成および保持。

19.5. ネットワークのセキュリティと信頼性を高めるためのシステムやアプリとのエンドポイントの互換性の管理。

19.6. マルウェア対策ポリシーと検出ツールの定期的な更新による、マルウェアの脅威に対する保護を強化するための関連するインフラストラクチャとアトラシアン デバイスへのマルウェア対策戦略の展開。

19.7. 一意の識別子とトークンベースのアクセス制御による、論理的に分離された、顧客データへの安全かつ制限されたアクセスの保証。

19.8. 本番環境と非本番環境の分離。

19.9. 本番環境と同様の手段を用いた、サンドボックス環境内の顧客データの保護 (エラーの再現など)。

20. サプライ チェーンのリスク管理

アトラシアンは、以下を含むサプライ チェーンのリスク管理に関する確立された公式ポリシーとプラクティスを維持します。

20.1. ベンダー関係を管理し、ライフサイクル全体でサプライヤーのセキュリティ、可用性、機密保持基準を調整するための公式の枠組み。

20.2. すべてのサードパーティのリスク評価、デュー デリジェンス、契約管理、継続的な監視を含めた、強固な TPRM (サードパーティ リスク管理) 評価プロセス。

20.3. 法務、調達、セキュリティ、リスクの各部門を含む専門チームによる、セキュリティとデータの機密性に関するリスク管理のための契約、サービス レベル アグリーメント、およびセキュリティ対策のレビュー。

20.4. ポリシーの更新時や関係の大幅な変更の際の改定を含む、リスク レベルに基づくオンボーディング前と定期的に実施するサプライヤーの機能的リスク評価。

20.5. アトラシアンに提供されるサービスに関連する所有権とリスク レベルを詳述したすべてのサプライヤーのインベントリ。

20.6. 監査報告書 (SOC 2 など) の年次レビュー、IT ガバナンス ポリシーの定期レビューとサプライ チェーン プロバイダーのセキュリティ評価による、適用される統制が準拠していることの確認。

20.7. モバイル デバイスおよび私有デバイス ポリシーに基づくコンプライアンス監視と選択的制限に焦点を当てた、サードパーティ エンドポイント保護のための対策。