Asana セキュリティステートメント

はじめに

私たちはチームの連携を促し、仕事を整理して成果を出すために Asana を毎日使っています。つまり、Asana プラットフォームのセキュリティを維持することは、私たち自身のデータを保護するためにも不可欠なのです。お客様の情報を守ることは、私たちの最重要課題です。

Asana のセキュリティ戦略は、ビジネスのあらゆる要素を保護します。以下はその一部です。

  • Asana コーポレートセキュリティポリシー
  • 物理的セキュリティと環境セキュリティ
  • 業務におけるセキュリティプロセス
  • Asana のシステムアーキテクチャの拡張性と信頼性
  • Asana のデータモデルアクセス制御
  • システムの開発と保守
  • サービスの開発と保守
  • 第三者のセキュリティ専門業者による定期的なチェック

Asana のコーポレートセキュリティポリシーとプロシージャ

Asana のすべての社員はデータアクセスポリシーに署名し、私たちの守秘義務ポリシーに従うことを義務づけられます。この守秘義務ポリシーは、asana.com/terms、および asana.com/privacy でご覧いただけます。アクセス許可は、社員の部署や役割に応じて付与されます。

SOC 2 (タイプ 1 および 2)

Asana はセキュリティ、可用性、機密性に関する制御の監査である SOC 2 (タイプ I) および (タイプ II) を完了し、認証を取得しました。これは、独立した第三者がこの 3 つの信頼サービス条件に関する当社のプロセスと取り組みを検証し、当社が実装している制御に対するコンプライアンスを維持する能力が当社にあることを認めたことを意味します。

Asana のソフトウェア開発ライフサイクルにおけるセキュリティ

Asana は Git バージョン管理システムを使用しています。Asana のコードベースが変更されると、自動化された一連のテストとレビューが実施された後に、人の手によるレビューも行われます。自動化システムによるテストに合格すると、その変更はまずステージングサーバーにプッシュされ、そこで Asana の社員がテストを行ってから、最終的に本番環境のサーバーと Asana の顧客ベースへと変更がプッシュされます。また、機密性が特に高い変更や機能に対しては、特別なセキュリティレビューも追加で行われます。さらに、Asana のエンジニアが特に重要なアップデートを選別し、本番環境のサーバーに直接アップデートをプッシュできるようにしています。

アクセス制御を変更した場合は、それをすべてリストに記録しています。また、アクセス制御のルールが正しく作成され、ルールに従って正しく機能していることをチェックするユニットテストも自動で実施しています。さらに、第三者のセキュリティ専門業者に依頼し、以下のテストを行っています。

  • Asana のコードがよくある手口で攻撃されていないかをテストする
  • ネットワークスキャンツールを使用して Asana の本番環境サーバーをテストする

Asana のオフィスにおけるセキュリティ

Asana のオフィスのアクセスにはキーカードを使用し、ログに記録してセキュリティを保護しています。訪問者は受付で記録されます。

オフィスのネットワークとデバイスの可用性を常に監視しています。主な場所に設置されるネットワークデバイス(ファイヤーウォール、DNS サーバー、DHCP サーバー、ルーターなど)によって記録されたログを収集し、セキュリティ装置(ファイヤーウォール)、ワイヤレスアクセスポイント、スイッチのために保持しています。

Asana のアーキテクチャと拡張性

アーキテクチャの拡張性および信頼性

Asana は アマゾンウェブサービス(RDS および S3)を使用してユーザーデータを管理しています。データベースは同期して複製されるので、障害が発生してもすばやく復元できます。また、万一に備えてデータベースのスナップショットを継続的に作成し、離れた場所にあるデータセンターで安全に保管することにより、たとえ Amazon にエリア全体で障害が起きたとしても、すぐに復元できるようにしています。

現状で、データのホスティングは SSAE 16 のセキュリティ基準を満たしたデータセンターで、米国内の Amazon RDS を使用して行っています。

暗号化されたトランザクション

Asana サービスへのウェブ接続には、TLS 1.1 またはそれ以降を使用します。Forward Secrecy と AES-GCM をサポートし、1.0 以前の TLS や RC4 を使用した安全でない接続は禁止しています。

Asana の情報セキュリティ

社員のワークステーション、ラップトップ、モバイルデバイス

すべてのラップトップとワークステーションは、ディスクを完全に暗号化し、中央で管理することによって、セキュリティを保護しています。社員のマシンには必ずアップデートを適用し、ワークステーションにマルウェアが侵入してないかを監視します。また、重要なパッチを適用したり、マシンのデータをリモートで消去することもできます。さらに、業界標準の OTP テクノロジーを使用して、コーポレートインフラストラクチャへのアクセスに対し、セキュリティをさらに強化しています。

セキュリティコンサルティングとアプリケーションレビュー

外部のセキュリティアドバイザーに相談し、バウンティプログラムを用意して、セキュリティの脆弱性を発見したセキュリティ調査員に報酬を支払っています。

データセンターセキュリティ

Amazon

Amazon は SSAE 16 など複数の認証を取得し、堅牢な物理的セキュリティプログラムを実施しています。Amazon による物理的セキュリティプロセスについて詳しくは、aws.amazon.com/security をご覧ください。

製品の機能

管理者向けの機能

  • 認証 - Asana の管理者は、Google アカウントを使用するか SAML を設定して、社員に認証を要求することができます。Asana でパスワードを直接保存する場合は、salt(ソルト)を使用した BCrypt によってパスワードの安全が保護されます。

  • ユーザー管理 - 管理者はユーザーの最後のアクティビティを見たり、ゲストやメンバーのステータスをチェックしたり、ユーザーのプロビジョンを解除するなどの操作を、中央の管理者インターフェイスから行うことができます。

ユーザー向けの機能

  • プライバシー、可視性、設定の共有 - データをチーム、プロジェクト、タスクなどのさまざまなカテゴリーに分類し、それぞれにアクセスを許可するユーザーを設定できます。Asana の組織に対するアクセス許可は、各社のメールドメインに基づいて制御されます。ユーザーをゲストとして招待すれば、データへのアクセスを制限できます。

プライバシー

プライバシーポリシー

私たちが Asana に入力されたデータをどのように扱うかについて説明した Asana のプライバシーポリシーを、asana.com/privacy でご覧いただけます。

可用性

私たちはお客様とチームが Asana を常に利用できるよう努力を重ねています。障害に耐えられるようシステムに冗長性を持たせ、継続的に監視してお客様の作業の中断を防ぎます。Asana のこちらのページでは、現在の稼働状況をいつでもチェックすることができます。

セキュリティに関するお問合せ

Asana ではセキュリティ攻撃バウンティプログラムを実施しています。 security@asana.com までメールでご連絡ください。