GitLab 監査ログポリシー
This is a Controlled Document
In line with GitLab’s regulatory obligations, changes to controlled documents must be approved or merged by a code owner. All contributions are welcome and encouraged.目的
GitLab.com の適切な運用とセキュリティを保証するため、GitLab は重要な情報システム活動を記録します。
スコープ
監査ログポリシーは、本番環境内のすべてのシステムに適用されます。本番環境には、GitLab.com およびそのサブドメインのホスティングに使用されるすべてのエンドポイントとクラウドアセットが含まれます。これには、GitLab.com の事業をサポートするサードパーティシステムが含まれることがあります。
役割と責任
| 役割 | 責任 |
|---|---|
| GitLab チームメンバー | このポリシーの要件の遵守に責任を負う |
| Security チーム | このポリシーの実装と実行に責任を負う |
| システムオーナー | 個別の監査ログ基準の定義、システム監査ログ手順の定義と実行 |
| Security マネジメント(コードオーナー) | このポリシーに対する重大な変更や例外の承認に責任を負う |
ポリシー
- GitLab は重要な情報システム活動を記録および監視するものとします。
- ログは定義された期間保持される必要があります。
- ログは変更または削除されてはなりません。
- 監査ログデータへのアクセスは、最小権限の原則に基づいて制限される必要があります。
GitLab の継続的監視コントロールに沿って、システムオーナーは、各自の経験と専門的判断に基づき、それぞれのシステムにおいて何が「重要な情報システム活動」を構成するかを決定する責任を負います。
そのような活動は、適切な方であれば、ハンドブックまたはランブックのいずれかに文書化されます。
監査ログプロセスは、所定のシステムを担当する部門またはチームによって作成および実装される必要があります。
例外
このポリシーに対する例外は、情報セキュリティポリシー例外管理プロセスに従って追跡されます。
参考
最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (
bfd74782)