Atlassian’s Technical and Organisational Security Measures

概要

Security is an essential part of Atlassian’s offerings. This page describes Atlassian’s security program, certifications, policies, and physical, technical, organizational and administrative controls and measures to protect Customer Data from unauthorized access, destruction, use, modification or disclosure (the “Security Measures”). The Security Measures are intended to be in line with the commonly-accepted standards of similarly-situated software-as-a-service providers (“industry standard”), including NIST 800-53 controls.

本覚書の英語版において使用されている大文字で始まる用語は、本覚書上、またはデータ処理補遺で定義されていない限り、基本契約で定義する当該用語の意味を有するものとします。アトラシアンのセキュリティ体制の詳細については、Trust Center とコンプライアンスのリソース センターをご覧ください。

1. Access Control

アトラシアンは、顧客データの適切なアクセス制御および保護のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• ユーザー プロビジョニングのフレームワークや原則を含む、アクセス制御標準に対応するアクセス管理ポリシー。
• Designated criticality tiers based on a Zero Trust Model architecture, including the requirements for multi-factor authentication on higher-tier services.
• User provisioning for the access to Atlassian systems, applications and infrastructure based on the relevant job role and on the least privilege principle that is enforced through the authentication processes.
• Strict role-based access controls for Atlassian staff, allowing access to Customer Data only on a need-to-know basis.
• Segregation of duties including but not limited to (i) access controls reviews, (ii) HR-application managed security groups, and (iii) workflow controls.
• データ分類レベルに基づいてデータ、アプリ、インフラストラクチャ、またはネットワーク コンポーネントへのアクセスを許可する前の、すべてのユーザー アカウントのアトラシアン経営陣による事前の承認、および関連するロールで必要とされるアクセス権の定期的なレビュー。
• 情報分類とアトラシアンのゼロ トラスト モデル アーキテクチャに基づく、VPN (仮想プライベート ネットワーク) や MFA (多要素認証) などの技術的制御の使用。

• エンドポイントとモバイル デバイスのロックアウト期間の定義や体制チェックを含む、一元管理された MDM (モバイル デバイス管理) ソリューション。

2. 意識向上とトレーニング

Atlassian has implemented and will maintain a comprehensive set of formal policies, controls, and practices for conducting appropriate trainings and security awareness activities, which include:

• さまざまな形式 (オンライン、対面、事前に録画されたセッション、フィッシング シミュレーション) を活用して、すべての従業員を対象とした、入社時および年次のセキュリティ、プライバシー、コンプライアンスのトピックに関する広範な意識向上トレーニング。
• 関連するリスクに対処し、特定のナレッジ ベースを強化するための、昇格権限を持つ従業員向けに対象を絞ったロール別トレーニング。
• Maintaining of all training records in a designated learning management system.
• 各マネージャーへのエスカレーション プロセスを組み込んだ、トレーニングの締め切りを知らせる自動リマインダー。
• Continuous security awareness trainings (extending to contractors and partners), covering current threats and best security practices.
• Secure coding trainings by security champions embedded within engineering teams.

• セキュリティに対する連帯責任を強調し、さまざまなアクティビティを通じてセキュリティ原則を強化するための必須の年次セキュリティ トレーニングとイベント。

3. 監査および説明責任

Atlassian has implemented and will maintain a comprehensive set of formal policies, controls, and practices for proper auditing and accountability purposes, which include:

• 年次レビューと上級管理職の承認を含む、アトラシアンのポリシー管理フレームワークの一部としての包括的なロギング基準。
• 読み取り専用アクセスのクラウド インフラストラクチャの一元化されたログ プラットフォームへの、関連するシステム ログの安全な転送および保存。
• 異常を確認し、対処するための確立されたプロセスによるセキュリティ監査ログの監視と異常なアクティビティの検出。
• 新機能や変更に対応するためのクラウド製品および関連インフラストラクチャの情報およびシステム イベントのログ範囲の定期的な更新。

• 関連するクラウド サービス プロバイダー (AWS や Microsoft Azure など) の時刻同期サービスを使用した、デプロイされたすべてのインスタンスでの信頼性できるタイムキーピング。

4. Assessment, Authorisation and Monitoring

アトラシアンは、一貫したシステム監視とセキュリティ評価のための以下を含む包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• 年次レビューと更新を含む広範な監査と保証のポリシー。
• 年次レビューや上級管理職によるプログラム承認など、グローバル ポリシーをさまざまな分野に分類する、一元化された内部ポリシー プログラム。
• 計画、リスク分析、セキュリティ コントロール評価、結論、是正スケジュール、過去の監査報告書のレビューを含む監査管理。
• 法的および契約上の要件、およびコンプライアンス評価のための制御とプロセスの有効性に関して年次評価を実施する内部、および独立した外部による監査。
• 関連する基準や規制 (ISO 27001 や SOC 2 など) への準拠の継続的な検証。
• Systematically addressing any nonconformities found through audit findings taking into account the root-cause analysis, severity rating, and corrective actions, all documented and tracked meticulously.
• 製品の年次ペネトレーション テスト、および脆弱性の検出と軽減のためのプロアクティブなバグ報奨金プログラム。

• アトラシアンのポリシーに従って脆弱性を特定し、修正する継続的な脆弱性スキャン。

5. 構成管理

アトラシアンは、適切な構成管理のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• Change management policies covering the risk management for all internal and external asset changes, reviewed annually.
• データを安全に取り扱うため、そのセキュリティ分類に従って暗号化と暗号技術 (暗号化キーなど) に適用される変更管理の標準の手順。
• 年次レビューや上級管理職によるプログラム承認など、グローバル ポリシーをさまざまな分野に分類する、一元化された内部ポリシー プログラム。
• Stringent policies encompassing (i) encryption, (ii) cryptography, (iii) endpoint management, and (iv) asset tracking inline with industry standards.
• 実装と権限者による承認の前に文書化をテストするために確立された変更管理の基準。
• A peer review and green build process requiring multiple reviews and successful testing for production code and infrastructure changes.
• コードへの緊急変更のための厳格な実装後テストと承認のプロセス。
• 不正な変更を管理し、これを防御する IDS (侵入検知システム) で補完された包括的な自動化システム。

• Meticulous cataloguing and tracking of all physical and logical assets with annual reviews ensuring up-to-date asset management.

6. Contingency Planning

アトラシアンは、ビジネス継続性とディザスタ リカバリに向けた適切な緊急時対応計画のための以下を含む包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• スキルの高い人材と、製品提供に不可欠な電気通信やテクノロジーを含む堅牢な IT インフラストラクチャ。
• 定義された RTO (目標復旧時間) と RPO (目標復旧時点) を含む、ビジネス継続性とディザスタ リカバリ計画 (「BCDR 計画」)。
• アクセスと利用の中断を防ぐように合理的に設計された、データ ストレージと使用継続性を含むビジネス継続性計画。
• グローバルな人材とクラウド インフラストラクチャによる地理的多様性。
• 日次バックアップ、年次の復元テスト、代替クラウド インフラストラクチャのストレージ サイトなどの回復性管理による事業運営の強化。
• A resilience framework and procedures for response and remediation of cyber events to maintain business continuity.
• 対応戦略を強化するための四半期ごとのディザスタ リカバリのテストと演習、および適用可能な BCDR 計画に沿った継続的な改善のためのテスト後分析。
• クラウド製品および関連インフラストラクチャに対する DDoS (分散型サービス拒否攻撃) の緩和など、サービスの可用性と処理能力を維持するための内部監視と調整を含む、製品全体の継続的なキャパシティ管理。
• ビジネス継続性に関するすべてのグローバル ポリシーの年次レビューおよび更新のための一元化された内部ポリシー プログラム。

• (i) データ暗号化、(ii) データ センター間の冗長性、(iii) 緊急時対応計画を強化するための定期的なテストを含む、堅牢なバックアップ プロトコル。

7. 識別と認証

Atlassian has implemented and will maintain a comprehensive set of formal policies, controls, and practices for appropriate identification and authentication purposes which include:

• アプリへのアクセスに SSO (シングル サインオン) を利用する、アクティブ ディレクトリを介した従業員の一意の識別。
• 安全なアクセス、特にアトラシアンのゼロ トラスト モデル アーキテクチャに基づく SSO 経由の VPN とアプリ起動のための MFA の使用。
• パスワードの作成と管理のセキュリティ面に焦点を当てた、NIST 800-63B ガイドラインに従ったパスワード ポリシー。
• Ensuring the security of stored credentials using advanced encryption methods, e.g. password and secret management systems.

• Documented approvals, regular reviews of users and accounts, and automatic syncs between the relevant identity system and HR systems to maintain the integrity and accuracy of identification data.

8. セキュリティ インシデント対応

アトラシアンは、適切なセキュリティ インシデント対応のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 準備、封じ込め、根絶、復旧を強調し、データ保護やその他の規制要件にも重点を置く、セキュリティインシデント対応計画。
• Dedicated cross-functional teams handling Security Incidents, ensuring effective communication and collaboration, including well-defined processes for triaging security events.
• セキュリティ インシデント管理の有効性を追跡し、向上させるための確立されたメトリックを使用した対応計画の定期的なテスト。
• Annual reviews of company-wide incident response plans and policies to reflect and share current best practices across the company.
• システムの改善と学習に重点を置き、重大度の高いセキュリティ インシデントについて実施する根本原因分析による PIR (インシデント事後レビュー)。
• ダウンタイムとセキュリティ リスクを最小限に抑えるために、重要なビジネス プロセスに組み込まれたインシデント対応手順および計画。
• Published system availability information to aid in Security Incident handling and reporting at https://status.atlassian.com/, and https://www.loomstatus.com/, as applicable.
• お客様がインシデント、脆弱性、バグ、課題を報告して、システムの不具合、可用性、セキュリティ、機密性に関連する懸念に迅速に対応するための機能。

• Commitment to Customer notification of the Security Incident without undue delay under Atlassian’s Data Processing Addendum, including the obligation to assist the Customer with necessary information for compliance with Applicable Data Protection Laws.

9. 保守

アトラシアンは、そのクラウド製品の効率維持のための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 外部監査人による BCDR 計画の定期テストおよび四半期ごとの評価。
• インフラストラクチャの可用性と信頼性の定期テストによる複数リージョンの可用性のリアルタイム監視。

• 第 4 条 (評価、承認、監視)、第 6 条 (緊急時対応計画)、第 18 条 (システムと通信の保護) に概説する対策。

10. メディア保護

アトラシアンは、(内外の) メディアを確実に保護するための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 信頼できるサード パーティのサービス (Microsoft Azure や AWS など) の利用による、復処理者として顧客データを処理するための物理的インフラストラクチャの運用。
• Sanitization and degaussing of used equipment by the 3rd party cloud service providers, including hard drives with Customer Data in line with industry standards (e.g. ISO 27001).
• Full disk encryption using industry standards (e.g. AES-256) employed for data drives on servers and databases storing Customer Data, and on endpoint devices.
• Internal bring your own device (BYOD) policy ensuring access to Customer Data is only possible via secure and compliant devices; restricting the access with technical controls (e.g. VPN) for all devices following Atlassian’s Zero Trust Model architecture.

• Unattended workspaces are required to have no visible confidential data, aligning with the secure workplace guidance.

11. 物理および環境面での保護

アトラシアンは、顧客データの物理および環境面での保護のための以下を含む一連の包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• アトラシアンのオフィス全体に制御を実装した、安全でセキュリティが確保された職場環境。
• Employing badge readers, camera surveillance, and time-specific access restrictions for enhanced security.
• 調査を目的としたオフィス ビルへのアクセスのログの実装と保持。
• サード パーティ データ センター プロバイダーによって実装される、生体認証やオンプレミス セキュリティを含む、複数のコンプライアンス認定や強固な物理的セキュリティ対策。
• Controlled access points and advanced surveillance systems as well as protective measures for power and telecommunication cables, alongside with environmental control systems, implemented by 3rd party data center providers.

• (アトラシアンとそのサード パーティ データ センター プロバイダーの両方による) リスクの低い環境区域への重要機器の配置による安全性の強化。

12. 計画

アトラシアンは、事業運営の適切な計画のための以下を含む一連の包括的な公式ポリシー、制御、プラクティスを実施しており、今後もこれを維持します。

• 法務チームとコンプライアンス チームによる規制上の義務に関するアクティブな監視と文書化。
• A detailed system security plan with comprehensive documentation on system boundaries and product descriptions.
• Communication to internal users and customers about significant changes to key products and services.

• セキュリティ管理プログラムの定期的なレビューと更新。

13. Program Management

アトラシアンは、適切なプログラム管理のための以下を含む一連の包括的なポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• Supporting the security management program at the executive level, encompassing all security-related policies and practices.
• Documented information security policies, including (i) defined roles, (ii) risk mitigation, and (iii) service provider security management program.
• 顧客データを処理するシステムの定期的なリスク評価、および是正措置のためのセキュリティ インシデントの迅速なレビュー。
• Formal security controls framework aligning to standards such as SOC 2, ISO27001, and NIST 800-53.
• 最高信託責任者によって承認された緩和計画と定期的な実施状況の追跡による、セキュリティ リスクの特定および定量化のプロセス。
• Comprehensive and diverse approach to security testing to cover a wide range of potential attack vectors.
• Regular review, testing and updating of the security management program (annually, at a minimum).
• 定期的なトレーニングによるセキュリティ スタッフ向けの能力開発プログラム、ロールと責任を明確にした組織図。
• 経営幹部による戦略的運用目標の設定およびレビュー。

• Annual review of the Enterprise Risk Management (ERM) framework, including the risk management policy, risk assessments, and fraud risk assessments, by the Head of Risk and Compliance.

14. 人的セキュリティ

アトラシアンは、顧客データへのアクセス権を持つアトラシアンの全従業員のセキュリティのための以下を含む一連の包括的なポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 犯罪歴調査を含む雇用前の身元調査。特に上級管理職や経理担当の場合は、適用される現地の法律で認められる範囲で徹底して実施します。
• 機密保持契約、雇用契約、さまざまな方針や行動規範の確認を含む、広範なオンボーディング プロセス。
• 年次で維持、レビューされるグローバルおよびローカルの雇用ポリシー。
• 自動プロビジョニング解除や従業員の退職時チェックリストなど、ロール変更や離職の手続き、アクセス権の再プロビジョニングに必要な管理者の承認。
• 特定のロールに特化したトレーニングやチーム内のセキュリティ チャンピオンの存在による、従業員向けの継続的なセキュリティおよびコンプライアンス トレーニング。
• Hosting of annual security awareness month to reinforce security education and celebrate achievements in maintaining organizational security.

• アトラシアンのポリシー違反を管理するために確立された懲戒プロセス。

15. Personal Data Processing and Transparency

Atlassian has implemented and will maintain a comprehensive set of formal policies, controls, and practices for the compliance of personal data processing in line with Applicable Data Protection Laws, which include:

• 必要な保護対策やプロセスを含めデータ保護法を見直し、それに適応するためのグローバルなプライバシー コンプライアンス プログラム。
• 個人データのカテゴリー、処理目的、処理原則を明確に定義した社内の個人データ処理ポリシーの維持。
• Detailed standards for processing of various categories of personal data covering the topics such as processing principles, applicable legal basis, retention, destruction etc.
• 業界標準のプラクティスと、仮名識別子を再マッピングできるシステムを管理する技術的かつ組織的な措置による、確立された仮名化データ セット作成方法。
• ユーザーと顧客向けの透明性の高いプライバシー ポリシー、および従業員向けの内部ガイドライン。
• (i) 処理活動、(ii) プライバシーの影響評価、(iii) 移転影響評価、(iv) 同意、(v) 顧客やベンダーとのデータ処理契約を含むがこれらに限定されない、包括的なコンプライアンス ドキュメント。
• 初期の設計段階からセキュリティとデータ保護に重点を置いた、開発ライフサイクルのすべての段階にわたるセキュリティを確保した開発プラクティス。

• Respecting the individual’s rights to access, correct, and delete their personal data in line with relevant data protection laws.

16. リスク評価

Atlassian has implemented and will maintain a comprehensive set of formal policies, controls, and practices for a robust Information Security Management System, which include:

• A comprehensive risk management program for identifying, assessing, and addressing various risks to support informed risk management decisions.
• 関連するリスクを軽減するために、全社的な各種ポリシーを ISO 27001 やその他の関連基準に合わせるポリシー プログラム。
• (i) ペネトレーション テスト、(ii) バグ報奨金、(iii) プロアクティブな脅威軽減を含む、継続的なセキュリティ テスト。
• 脆弱性管理アクティビティを報告するためのプロセスとメトリック。

• 独立した外部および内部監査を含む、徹底的なセキュリティ評価。

17. システムとサービスの取得

Atlassian has implemented and will maintain a structured, security-centric methodology for the system development, maintenance, and change management, which include:

• An agile secure software development life cycle for the adaptability, and efficiency, as well as thorough review and documentation of system and infrastructure changes.
• システム構成の変更とデプロイのプロセスを自動化した、安全で標準化されたアプリのデプロイ。
• Defined development process with peer-reviewed pull requests and mandatory automated tests prior to merging.
• Segregated responsibilities for change management among designated employees.
• 重大インシデントの発生時に迅速に対応する体制を整えるための「ブレーク グラス」手順を含めた緊急変更プロセス。
• アトラシアンのソース コードとデプロイ システムにおける堅牢なコンプライアンス設定 (Bitbucket Cloud など) による不正な改ざんの防止。
• すべての構成変更の明確な文書化と監視、およびピア レビューの実施によるコンプライアンス違反または改ざんの自動アラート。
• ベンダー ソフトウェアへの変更に対する厳格な管理。

• サードパーティまたはオープンソースのライブラリの定期的なスキャンと更新、およびコード ベースの継続的なスキャン。

18. システムと通信の保護

アトラシアンは、システムおよび通信の保護のための以下を含む包括的な公式ポリシー、制御、およびプラクティスを実施しており、今後もこれを維持します。

• 信頼性が高く安全な暗号化技術を使用した、パブリック インターネットを含むネットワーク上で保存および送信される機密情報を保護する暗号化メカニズム。
• Encryption of Customer Data at rest and in transit using TLS 1.2+ with Perfect Forward Secrecy (PFS) across public networks.
• 本番環境と非本番環境の間の接続を制限するゾーン制限と環境分離。
• (i) セキュリティ パッチのデプロイ、(ii) パスワード保護、(iii) 画面ロック、(iv) 資産管理ソフトウェアによるドライブの暗号化を含む、ワークステーション資産の継続的な管理。
• Restricting access to only known and compliant devices enrolled in the MDM platform, adhering to the principles of Zero Trust Model architecture.
• セキュリティ層の増強のため、プラットフォームと非プラットフォームのホステッド デバイスの両方に対する企業エッジでのファイアウォールの維持。
• オペレーティング システムの強化、ネットワークのセグメンテーション、データ損失防止技術を含む、ネットワークとホストの防御。

• Established measures to ensure Customer Data is kept logically segregated from other customers' data.

19. システムと情報の完全性

Atlassian has implemented and will maintain formally established policies and practices that include the following controls and safeguards relevant for system and information integrity, in particular:

• 脆弱性を迅速に特定し、修復するための継続的な脆弱性スキャン。
• ストレージ メディアからのデータをサニタイズ後に復旧不可能にすることを合理的に保証する、適用法に従った厳格なデータ廃棄プロトコルの遵守。
• 非本番環境での本番データの使用を禁止し、データの整合性と分離を確保するための厳格なポリシー。
• Centrally managed, read-only system logs; monitoring for Security Incidents; retention policies aligned with security best practices.
• Managing endpoint compatibility with systems and applications, enhancing network security and reliability.
• マルウェア対策ポリシーと検出ツールの定期的な更新による、マルウェアの脅威に対する保護を強化するための関連するインフラストラクチャとアトラシアン デバイスへのマルウェア対策戦略の展開。

• Unique identifiers and token-based access control ensure logical isolation and secure, limited access to Customer Data.

20. サプライ チェーンのリスク管理

Atlassian has implemented and will maintain formally established policies and practices for supply chain risk management, which include:

• ベンダー関係を管理し、ライフサイクル全体でサプライヤーのセキュリティ、可用性、機密保持基準を調整するための公式の枠組み。
• A robust third party risk management (TPRM) assessment process including risk assessments, due diligence, contract management, and ongoing monitoring of all third parties.
• Dedicated teams, including legal, procurement, security, and risk departments for the review of contracts, SLAs, and security measures to manage risks related to security and data confidentiality.
• Functional risk assessments for suppliers before onboarding and periodically, based on risk levels, with revisions during policy renewals or significant relationship changes.
• アトラシアンに提供されるサービスに関連する所有権とリスク レベルを詳述したすべてのサプライヤーのインベントリ。
• Yearly review of audit reports (e.g. SOC 2) and regular reviews of IT governance policies and security assessments of supply chain to ensure controls are both, appropriate and effectively compliant.

• モバイル デバイスおよび私有デバイス ポリシーに基づくコンプライアンス監視と選択的制限に焦点を当てた、サードパーティ エンドポイント保護のための対策。