Asana セキュリティステートメント

はじめに

当社では、チームの連携を促し、仕事を整理して成果を出すことに集中するために Asana を毎日使っています。Asana プラットフォームのセキュリティを維持することは、私たち自身のデータを保護するためにも不可欠であり、お客様の情報を守ることは私たちの最重要課題です。

Asana のセキュリティ戦略は、当社ビジネスのあらゆる要素を保護します。以下はその一部です。

  • Asana コーポレートセキュリティポリシー
  • 物理的セキュリティと環境セキュリティ
  • 業務におけるセキュリティプロセス
  • Asana のシステムアーキテクチャの拡張性と信頼性
  • Asana のデータモデルアクセス制御
  • システムの開発と保守
  • サービスの開発と保守
  • サードパーティのセキュリティ専門業者による定期的なチェック

Asana のコーポレートセキュリティポリシーとプロシージャ

Asana のすべての社員はデータアクセスポリシーに署名し、守秘義務ポリシーに従うことを義務づけられます。この守秘義務ポリシーは、asana.com/terms および asana.com/privacy でご覧いただけます。アクセス許可は、社員の部署や役割に応じて付与されます。

SOC 2 (タイプ 1 および 2)

Asana はセキュリティ、可用性、機密性に関する制御の監査である SOC 2 (タイプ I) および (タイプ II) を完了し、認証を取得しました。これは、独立したサードパーティがこの 3 つの信頼サービス基準に関する当社のプロセスと取り組みを検証し、当社が実装している制御に対するコンプライアンスを維持する能力が当社にあることを認めたことを意味します。

Asana のソフトウェア開発ライフサイクルにおけるセキュリティ

Asana は Git バージョン管理システムを使用しています。Asana のコードベースが変更されると、自動化された一連のテストとレビューが実施された後に、人の手によるレビューも行われます。自動化システムによるテストに合格すると、その変更はまずステージングサーバーにプッシュされ、そこで Asana の社員がテストを行ってから、最終的に本番環境のサーバーと Asana の顧客ベースへと変更がプッシュされます。また、機密性が特に高い変更や機能に対しては、特別なセキュリティレビューも追加で行われます。さらに、Asana のエンジニアが特に重要な更新のみを選別 (チェリーピック) し、本番環境のサーバーに直接プッシュすることもできるようにしています。

アクセス制御を変更した場合は、それがパブリッシュされた場所をすべてリストに記録しています。また、アクセス制御のルールが正しく作成され、ルールに従って正しく機能していることをチェックする一連のユニットテストも自動で実施しています。さらに、サードパーティのセキュリティ専門業者と連携し、以下のテストを行っています。

  • Asana のコードをよくある攻撃手法に対してテストする
  • ネットワークスキャンツールを使用して Asana の本番環境サーバーをテストする

Asana のオフィスにおけるセキュリティ

Asana のオフィスのアクセスにはキーカードを使用し、ログに記録してセキュリティを保護しています。訪問者は受付で記録されます。

オフィスのネットワークとデバイスの可用性を常に監視しています。ファイアウォール、DNS サーバー、DHCP サーバー、ルーターなどのネットワークデバイスによって記録されたログを 1 か所で収集し、セキュリティ装置 (ファイアウォール)、ワイヤレスアクセスポイント、スイッチのネットワークログを保存しています。

Asana のアーキテクチャと拡張性

アーキテクチャの拡張性および信頼性

Asana は Amazon Web Services (RDS および S3) を使用してユーザーデータを管理しています。データベースは同期して複製されるので、障害が発生してもすばやく復元できます。また、万一に備えてデータベースのスナップショットを定期的に作成し、離れた場所にあるデータセンターで安全に保管することにより、たとえ Amazon のエリア全体で障害が起きたとしても、すぐに復元できるようにしています。

現在、データのホスティングは SSAE 16 のセキュリティ基準を満たしたデータセンターで、米国内の Amazon RDS を使用して行っています。

暗号化されたトランザクション

Asana サービスへのウェブ接続には、TLS 1.1 以降を使用します。Forward Secrecy と AES-GCM をサポートし、1.0 以前の TLS や RC4 を使用した安全でない接続は禁止しています。

Asana の情報セキュリティ

社員のワークステーション、ラップトップ、モバイルデバイス

すべてのラップトップとワークステーションは、ディスク全体を暗号化し、中央で一元管理することによって、セキュリティを保護しています。社員のマシンには必ずアップデートを適用し、ワークステーションにマルウェアが侵入してないかを監視しています。また、重要なパッチを適用したり、マシンのデータをリモートで消去したりすることもできます。さらに、業界標準の OTP テクノロジーを使用して、コーポレートインフラストラクチャへのアクセスに対し、セキュリティをさらに強化しています。

セキュリティコンサルティングとアプリケーションレビュー

外部のセキュリティアドバイザーに相談し、バウンティプログラムを用意して、セキュリティの脆弱性を発見したセキュリティリサーチャーに報酬を支払っています。

データセンターセキュリティ

Amazon

Amazon は SSAE 16 など複数の認証を取得し、堅牢な物理的セキュリティプログラムを実施しています。Amazon による物理的セキュリティプロセスについて詳しくは、aws.amazon.com/security をご覧ください。

製品の機能

管理者向けの管理機能

  • 認証 - Asana の管理者は、Google アカウントか設定された SAML を使用して認証するよう、社員に求めることができます。Asana にパスワードを使用して直接ログインする場合は、salt (ソルト) を使用した BCrypt によって、保存されたパスワードの安全が保護されます。

  • ユーザー管理 - 管理者はユーザーの最新のアクティビティを見たり、ゲストやメンバーのステータスをチェックしたり、ユーザーのプロビジョンを解除するなどの操作を、中央の管理者インターフェイスから行うことができます。

ユーザー向けの機能

  • プライバシー、可視性、設定の共有 - チーム、プロジェクト、タスクなどのさまざまなデータカテゴリーについて、それぞれにアクセスを許可するユーザーを設定できます。Asana の組織に対するアクセス許可は、各社のメールドメインに基づいて制御されます。ユーザーをゲストとして招待すれば、データへのアクセスを制限できます。

プライバシー

プライバシーポリシー

Asana に入力されたデータを当社がどのように扱うかについて説明した Asana のプライバシーポリシーを、asana.com/privacy でご覧いただけます。

可用性

当社はお客様とチームが Asana を常に利用できるよう努力を重ねています。障害に耐えられるようシステムに冗長性を持たせ、継続的に監視してお客様の作業の中断を防ぎます。Asana の状態確認ページでは、Asana の稼働状況をいつでも確認できます。

セキュリティに関するお問い合わせ

Asana ではセキュリティ攻撃バウンティプログラムを実施しています。 security@asana.com までメールでご連絡ください。