GitLab ベンダーセキュリティ補遺書
本セキュリティ補遺書(「補遺書」)は、ベンダーと当該合意書に記載された GitLab エンティティとの間の該当する合意書に組み込まれ、その一部を構成します。該当する合意書に別段の定めがない限り、ベンダーによる合意書の締結は、本補遺書に定める条件に同意したものとみなされます。
期間中、および該当する合意書のいかなる条件に加えて、ベンダーは以下のセキュリティ対策および義務を実施し、維持し、遵守する責任を負います。
I. セキュリティ対策
A. 企業アイデンティティ、認証、および認可
ベンダーは、社内の従業員およびサービスアクセスの認証と認可について業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
サービスの提供に使用される第三者サービスへの認証のためのベンダーのアイデンティティプロバイダーを通じたシングルサインオン(SSO)。
サービスへの内部または外部アクセスをプロビジョニングする際に役割ベースアクセス制御(RBAC)を使用すること。
ベンダーのアイデンティティプロバイダーへの認証に多要素認証を必須とすること。
各ユーザーに固有のログイン識別子を割り当てること。
本合意書に基づいて提供されるサービスの対象となるシステムおよびアプリケーション、または本合意書に基づいて提供されるサービスの対象となるシステムおよびアプリケーションに影響を与える能力を持つシステムおよびアプリケーションに顧客データを保存するサービスへのアクセス要求について、確立されたレビューと承認プロセス。
各ユーザーが担う役割に対してアクセスレベルが適切であることを確保するための定期的なアクセス監査(少なくとも四半期に1回)。
従業員の退職または職場移動時に24時間以内にアクセス権を直ちに取り消すための確立された手順。
パスワードや API キーなどの侵害された認証情報を報告し取り消すための確立された手順。
ユーザーの身元を確認してから新しい、代替の、または一時的なパスワードを発行する手順を含むパスワードリセット手順(パスワード要件は NIST SP 800-63B の最新版に記載された要件より厳格でないものであってはならない)。
B. 顧客アイデンティティ、認証、および認可
ベンダーは、顧客がサービスにアクセスするための認証と認可について業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
顧客アイデンティティを管理するためのサードパーティのアイデンティティアクセス管理サービスの使用(ベンダーはユーザーが提供したパスワードをユーザーの代理で保存しないことを意味する)。
固有の識別子を使用して組織アカウントごとに顧客データを論理的に分離すること(組織アカウント内では固有のユーザーアカウントがサポートされている)。
C. クラウドインフラおよびネットワークセキュリティ
ベンダーは、クラウドインフラのセキュリティ確保と運用について業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
本番環境と非本番環境を分離し、両者間に直接リンクを設けないこと。
本番リソースは、権限のある個人とデバイスのみにアクセスを制限するネットワークセキュリティ技術の背後に配置すること。
サービスのセキュリティ脆弱性を定期的に(少なくとも週1回)監査すること。
特定された脆弱性は共通脆弱性評価システム(「CVSS」)評価に基づいて分類され、以下のスケジュールに従って修正されること。
a. クリティカル - 30日
b. 高 - 30日
c. 中 - 90日
d. 低 - 180日
アプリケーションシークレットとサービスアカウントはシークレット管理サービスで管理されること。
ネットワークセキュリティポリシーとファイアウォールは、事前に確立された許可トラフィックフローのセットに対して最小権限アクセスで設定され、許可されていないトラフィックフローはデフォルトでブロックされること。
サービスログはセキュリティと可用性のために監視され、かかる監視は自動レビューとアラートメカニズム、および定期的な手動レビューによって行われること。
D. システムおよびワークステーションのセキュリティ
ベンダーは、ベンダーの企業システムのセキュリティ確保について業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
企業ワークステーションのエンドポイント管理。
モバイルデバイスのエンドポイント管理。
ワークステーションへのセキュリティ設定の自動適用。
すべてのワークステーションへのエンドポイント検出・対応(「EDR」)の導入。
ベンダーのテクノロジーおよび情報資産へのすべての変更をテスト、承認、および監視するために設計された変更管理手順と追跡メカニズム。
本合意書に基づいて提供されるサービスの対象となるシステムおよびアプリケーションのセキュリティ強化および基準となる設定標準の確立のためのインフラ管理および構成管理ツールの使用。
本合意書に基づいて提供されるサービスの対象となるすべてのシステム、または本合意書に基づいて提供されるサービスの対象となるシステムに影響を与える能力を持つシステムに導入された検出、防止、および対応技術。
すべてのワークステーション、ならびに本合意書に基づいて提供されるサービスの対象となるシステムおよびアプリケーションの必須パッチ管理。
適切なセキュリティログを維持し、自動レビューとアラートメカニズム、および定期的な手動レビューによってかかるログをレビューすること。
E. データアクセス
ベンダーは、権限のあるユーザーが権限を超えたデータにアクセスすることを防ぎ、データの不正な入力、読み取り、複製、削除、変更、または開示を防ぐために業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
サービスへの従業員のアクセスは最小権限の原則に従い、サービスの提供をサポートする職務機能を持つ従業員のみがサービス環境への認証情報を持つこと。
サービスに提出された GitLab データは、DPA、合意書、および GitLab との間のその他の該当する契約合意の条件に従ってのみ使用されること。
F. データ開示
ベンダーは、転送中のデータへの不正アクセス、変更、または削除を防ぎ、すべての転送を保護してログに記録するために業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
強力な業界標準の暗号化アルゴリズムを使用して本番データストアの静止データを暗号化すること。
業界標準のプロトコルと方法論を使用して転送中のデータを暗号化すること。
本番データストアへのすべてのデータアクセス要求の監査証跡。
すべての企業ワークステーションで必須のフルディスク暗号化。
すべての企業ワークステーションで必須のデバイス管理制御。
ポータブルまたはリムーバブルメディアへの顧客データの保存または転送の禁止。
要求に応じて顧客データを削除できること。
G. サービスの可用性
ベンダーは、偶発的または悪意ある意図によるサービス機能の維持について業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
該当する SLA に従って中断が発生した場合にシステムを復元できることを確保すること。
システムが機能しており、障害が報告されていることを確保すること。
本合意書に基づいて提供されるサービスの対象となるすべてのシステム、または本合意書に基づいて提供されるサービスの対象となるシステムに影響を与える能力を持つシステムにわたって包括的に実装されたマルウェア対策と侵入検知/防止ソリューション。
年1回の事業継続/災害復旧(「BC/DR」)の机上演習の実施。
H. データおよびシステムの分離
ベンダーは、異なる目的のために収集されたデータの個別処理について業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
顧客データの論理的分離。
スタッフの役割と責任に応じた、異なる目的で保存されたデータへのアクセスの制限。
業務情報システム機能の分離。
テスト用と本番用の情報システム環境の分離(両者間に直接リンクを設けないこと)。
I. リスク管理
ベンダーは、サイバーセキュリティリスクを検出・管理するために業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
優先順位付けと修正のためにセキュリティリスクの発生源を文書化し分類するための脅威モデリング。
少なくとも年1回サービスに対してペネトレーションテストを実施し、特定された修正項目は脆弱性について上記のタイムテーブルで可能な限り早急に解決すること。要求に応じて、ベンダーは実施されたテストの概要詳細と特定された問題が解決されているかどうかを提供します。
SOC 2 Type II 認証監査を含む認識された監査標準に照らしてベンダーのセキュリティ慣行の定期的なレビューを実施するための、資格のある独立した外部監査人との年1回の契約。合理的な要求に応じて、ベンダーは関連する SOC2 レポート、該当する証明書(ISO など)、およびその他の該当する監査/評価の概要詳細を提供します。
本合意書に基づいて提供されるサービスの対象となるアプリケーションおよびシステムの年1回のセキュリティ運用リスク評価。リスク評価活動の結果はリスク登録簿に文書化され、リスクレベルに基づいて対策のための優先順位が付けられます。
本合意書に基づいて提供されるサービスの対象となるすべてのシステム、または本合意書に基づいて提供されるサービスの対象となるシステムに影響を与える能力を持つシステムに影響する脆弱性の迅速な修正を確保するために設計された脆弱性管理プログラム。かかる修正は脆弱性について上記のタイムテーブルに従って実施されるものとします。
J. 人員
ベンダーは、セキュリティ問題に関して人員を審査し、訓練し、管理するために業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
GitLab データへのアクセスを持つ従業員またはサービスの他の側面をサポートする従業員の身元調査(法的に許可される範囲)。
従業員に対する年1回のセキュリティトレーニング、入社時のセキュリティトレーニング、および適切に補足的なセキュリティトレーニング。
K. 物理的アクセス
ベンダーは、ベンダーの施設への不正な物理的アクセスを防ぐために業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
施錠されたドアと門を含む物理的バリア制御。
24時間体制のオンサイトセキュリティガード配置。
共用エリアおよび施設の出入り口を含む24時間のビデオ監視とアラームシステム。
すべてのベンダー施設へのベンダー人員の入場に生体認証または写真入り ID バッジと PIN を必要とするアクセス制御システム。
訪問者の識別、サインイン、エスコートのプロトコル。
施設の出入りのログ記録。
L. 第三者リスク管理
ベンダーは、ベンダーが GitLab データを提供するサブプロセッサーまたは下請業者を含む第三者のセキュリティリスクを管理するために業界標準のベストプラクティスを維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
いかなる代理人も顧客データを保護するための合理的で適切なセーフガードを維持することに合意することを確保するために設計された書面による契約。かかるセーフガードは本合意書で定めるセーフガードよりも厳格でないものであってはなりません。
ベンダーセキュリティ評価: すべての第三者はベンダーのセキュリティチームが維持する正式なベンダー評価プロセスを経ること。
II. セキュリティインシデント対応
ベンダーは、サービスまたは GitLab データの機密性、可用性、または完全性を損なう事象に対応し解決するためのセキュリティインシデント対応計画を維持するものとし、これには以下のセキュリティ対策および義務が含まれます。
ベンダーは検出と対応を促進するためにさまざまなシステムからセキュリティおよび一般的な可観測性のためのシステムログを集約すること。
ベンダーが個人データの侵害が発生したことを認識した場合、ベンダーは DPA に従い GitLab に通知すること。
ベンダーは GitLab データの偶発的または不法な破壊、損失、変更、不正開示またはアクセスをもたらすいかなる事象(「セキュリティインシデント」)の場合も、不当な遅延なく、いかなる場合も48時間以内に GitLab に通知するものとします。ベンダーはいかなるセキュリティインシデントも停止し修正するために必要なすべての措置を迅速に講じ、GitLab の合理的な要求に応じて修正努力に関するレポートを提供するものとします。セキュリティインシデントに関連して、ベンダーは GitLab の代表者または GitLab が指名した第三者に合理的な協力を提供するものとします。
III. セキュリティ評価
ベンダーは、主要な管理が適切に実装されているかどうかおよび業界のセキュリティ標準と自社のポリシーおよび手続きに照らして測定された有効性を評価するため、ならびに GitLab データのセキュリティおよびベンダーの情報システムの維持と構造に関して法律、規制、または契約によって課された義務への継続的な準拠を確保するために、定期的なセキュリティおよび脆弱性テストを実施します。ベンダーは、SOC レポート、ペネトレーションテスト概要レポート、該当する認証証明書、および本合意書へのベンダーの準拠を検証するために GitLab が合理的に要求するその他の文書を含むが限定されない、関連するアンケートへの回答と関連文書の提供によって GitLab の合理的な第三者リスク管理要請をサポートするものとします。かかるレビューは適用法によって要求される場合またはセキュリティインシデントへの対応として必要な場合を除き、年1回を超えて実施されないものとします。
