Security_standard_caplscsi on GitLab ハンドブック (非公式日本語訳)

GitLab 暗号化標準

Wed, 06 May 2026 17:37:54 -0500

Visibility: Audit

目的

暗号化標準は、GitLab 製品で使用されるさまざまなシステムやサブシステム内で保存中または転送中のデータを暗号化する目的で、承認された暗号化アルゴリズム、設定、暗号化モジュールを定義します。

暗号化標準は、GitLab 内での暗号化使用に対するより一貫したアプローチ、業界標準やコンプライアンスフレームワーク (FedRAMP など) へのより容易な適応、および全体的により安全な製品と作業環境を可能にします。さらに、ほとんどの標準は NIST (米国国立標準技術研究所) の推奨事項に基づいています。多くのコンプライアンスフレームワークが NIST 標準に基づいており、NIST は世界中の多くの組織によって採用される堅実な推奨事項を一貫して提供しているためです。

スコープ

暗号化標準は、GitLab のデータを取り扱い、管理、保存、または送信するすべての GitLab チームメンバー、契約者、コンサルタント、ベンダー、その他のサービスプロバイダーに適用されます。

これは、GitLab 製品自体の暗号化に関わるクライアントおよびサーバー設定だけでなく、コーディングのベストプラクティスにも必要です。現在、これらの標準を確実に満たし維持するために、複数のエンジニアリングチームによる多数の取り組みが社内で行われています。スコープには、暗号化設定が必要なサードパーティモジュールやソフトウェア設定が含まれます。基本的に、GitLab または GitLab の顧客データに触れる場合、この標準が適用されます。

役割と責任

役割	責任
GitLab チームメンバー	この標準で概説された要件を遵守する責任
セキュリティ管理および暗号化担当者 (Code Owners)	この標準に対する重要な変更や例外を承認する責任

GitLab の責任

GitLab チームメンバー、契約者、コンサルタント、ベンダー、その他のサービスプロバイダーは、この暗号化標準と、特に注記がない限り以下に定義される保存中および転送中のデータの暗号化ニーズの取り扱い方法をレビューして理解する必要があります。

顧客の責任

GitLab 顧客は自分自身のデータを管理する責任があり、これらの標準を強く推奨されるものとして考慮し、独自の内部要件に従って採用する必要があります。GitLab は相互秘密保持契約に記載された秘密保持義務に従って顧客データを社内で取り扱い、この標準で特定されているコントロールを使用します。

標準

コンプライアンスと認証の標準

これらの標準は GitLab 製品の全体的なセキュリティを向上させるためのセキュリティベースラインと考えていますが、コンプライアンスと認証の取り組みについては、以下の一般的なガイドラインを使用します。

GitLab データ分類標準

Thu, 30 Apr 2026 16:57:54 +0000

Visibility: Audit

目的

データ分類標準は、データの種類とカテゴリーを定義し、GitLab および顧客データのライフサイクル全体を通じて適用される保護レベルを決定する目的で、それぞれに関連付けられたデータ分類を提供します。

スコープ

データ分類標準は、GitLab のデータを取り扱い、管理、保存、または送信するすべての GitLab チームメンバー、契約者、コンサルタント、ベンダー、その他のサービスプロバイダーに適用されます。

役割と責任

役割	責任
GitLab チームメンバー	この標準で概説された要件を遵守する責任
データオーナー	所有するデータタイプに対するこの標準への例外を承認する責任。これらは一般にシステムのビジネスオーナーです。
セキュリティおよび法務 (Code Owners)	この標準への重要な変更や例外を承認する責任

GitLab の責任

GitLab チームメンバー、契約者、コンサルタント、ベンダー、その他 GitLab に代わって行動するすべてのサービスプロバイダーは、このデータ分類標準と、特に注記がない限り以下の分類レベルに従ってデータを取り扱う方法をレビューして理解する必要があります。
データオーナーは、この標準に従ってデータの分類を決定するものとします。データ分類インデックス (内部のみ) は、さまざまな種類のデータとその分類レベルのリストを提供します。データ要素を特定できない、またはデータに関連するリスクとそれをどのように分類して取り扱うべきかについて確信が持てない場合は、Slack の @security-risk 経由でセキュリティリスクチームに連絡してください。
セキュリティ、透明性の文化を維持し、機密データと顧客に対するリスクを最小限に抑えるために、GitLab チームメンバーは、GitLab のセキュリティ意識向上トレーニングの一環としてデータ分類トレーニングを完了することが必要です。これは、GitLab のさまざまな種類のデータと、それを SAFE に保つ方法を理解するのに役立ちます。トレーニングは GitLab の内部学習プラットフォームである LevelUp 経由で利用できます。

顧客の責任

GitLab 顧客は自分自身のデータを管理する責任があり、独自の内部要件に従って識別と分類を含めて行います。GitLab は相互秘密保持契約に記載された秘密保持義務とこの標準で識別された分類に従って、顧客のデータを社内で取り扱います。

標準

データ分類の定義

個人データ: 個別または他のデータと組み合わせて、識別可能な自然人 (「データ主体」) に直接的または間接的に関連付けられる、または合理的に関連付けまたは結びつけられる可能性のあるデータ。

GitLab トークン管理標準

Thu, 12 Feb 2026 20:47:52 +0000

目的

トークン管理標準は、GitLab 製品で使用される様々なシステムおよびサブシステム内で認証と認可を提供する目的のために、承認された GitLab のトークン使用、設定、配布を定義します。

本標準のいくつかの要素では、現在実装されていない技術、テクニック、設定、およびそれらのバリエーションが参照されます。それらの場合、本標準は将来の開発と実装に対する具体的なガイダンスを提供することを意図しています。

トークン管理標準により、GitLab 内でのトークン使用に対するより一貫したアプローチ、業界標準やコンプライアンスフレームワーク（FedRAMP など）へのより容易な適応、そして全体としてよりセキュアな製品と作業環境が可能になります。さらに、ほとんどのコンプライアンスフレームワークが NIST 標準に基づいており、NIST が世界中の多くの組織で採用される確かな推奨事項を一貫して提供していることから、本標準のほとんどは NIST（National Institute of Standards and Technology）の推奨事項に基づいています。

適用範囲

トークン管理標準は、GitLab データを取り扱う、管理する、保存する、または送信するすべての GitLab チームメンバー、契約社員、コンサルタント、ベンダー、その他のサービスプロバイダーに適用されます。

これは、GitLab 製品自体のトークンを伴うアカウントおよび認証子管理だけでなく、コーディングのベストプラクティスにも必須です。基本的に、GitLab または GitLab 顧客データに触れるものであれば、本標準が適用されます。

役割と責任

役割	責任
GitLab チームメンバー	本標準に記載された要件を遵守する責任を負います
Security Management および Cryptographic Officer	本標準への変更と例外を承認する責任を負います
トークンの DRI	すべての Owner および Maintainer ロール割り当てのレビューと承認権限を持ちます
Management	すべてのグループおよびプロジェクトメンバーシップのレビューと承認権限を持ちます
Group Owners、Group Maintainers、Project Owners、Project Maintainers	グループおよびプロジェクトのアカウント管理、ならびに Group、Project、Deploy、Runner Token オブジェクトの作成、失効、使用および配布の監視を含む（ただしこれらに限定されない）トークン管理業務

GitLab の責任

GitLab チームメンバー、契約社員、コンサルタント、ベンダー、その他のサービスプロバイダーは、本トークン管理標準を定期的にレビューして理解し、セキュリティを維持するために GitLab トークンをどのように要求、承認、配布、使用、保護するかを把握することが求められます。本書はいつでも更新される対象であり、上記の人々は変更を追跡する責任を負います。

ソフトウェア開発ライフサイクル標準

Thu, 12 Feb 2026 20:47:52 +0000

Visibility: Audit

目的

セキュアなソフトウェア開発は、安全で信頼されるアプリケーションを開発・維持するうえで重要です。本標準は、GitLab のソフトウェア開発ライフサイクルの一般的な構成要素を概説します。

適用範囲

本標準は、GitLab の本番アプリケーションを支えるために GitLab でコードを開発するすべての人に適用されます。開発プロセスの詳細については product development flow を参照してください。

役割と責任

役割	責任
Security Governance	本標準を作成し実装する責任を負います
チームメンバー	本標準の各項目を実行する責任を負います

標準

構想と要件

このステージは、各チームの個別プロセスに応じて異なる媒体で行われます。

このステージでは、次の情報が確立されます:

課題の明示と望ましい結果
スコープの定義
主要なステークホルダーの特定
関連するステークホルダーと協力して、マイルストーンと成果物を含む詳細なプロジェクト計画を作成

要件は最低限、次を特定する必要があります:

アプリケーションまたは機能が何を行うか
プロジェクトを完了するために必要なリソース

特定された要件はプロジェクト管理ツールに文書化され、関連するステークホルダーがレビューおよび承認できるようにします。

設計

設計ステージでは、設計ドキュメントはプロジェクト管理ツールにバージョン管理されたドキュメントとして取得されます。

設計ドキュメントの考慮事項は次のとおりです:

アーキテクチャ: チームは特定のテンプレートを希望するか、業界慣行を実装するかを定義します。
ユーザーインターフェース: チームはユーザーがアプリケーションや機能とどのように対話するかを定義します。
セキュリティ: 開発者はアプリケーションをどのようにセキュアに保つかを定義する必要があります。これには、ユーザーデータと一般的なアプリケーションデータをどのように保護するかを決定することが含まれます。
プログラミング: プロジェクトの技術およびツールスタックを定義します。
コンポーネント: ソリューションをサポートするために必要なコンポーネントを定義します。

設計ドキュメントは、マージ（プロトタイピング）される前に関連するステークホルダーによって承認される必要があります。