Security_standard_cmma on GitLab ハンドブック (非公式日本語訳)

GitLab プロジェクトのベースライン要件

Mon, 02 Mar 2026 07:33:04 -0500

目的

このページの目的は、GitLab 製品を構成するコードに最終的に影響を与える、および/または GitLab のビルド、リリース、デプロイに影響を与える GitLab プロジェクトを構成する際に遵守すべき最小限の要件セットを概説することです。最終的な目標は、GitLab のコードベースに最終的に影響を与える変更がレビューなしで行われないようにすることです。このページはまた、GitLab のユーザーが重要だと考えるプロジェクトを保護するためのいくつかの可能な構成を提供することで、ユーザーを支援できます。

GitLab のドッグフーディングへのコミットメントと GitLab の効率の価値を念頭に置くと、これらのベースラインプロジェクト構成はすべてのプロジェクトで必要とされるわけではなく、(直接的または間接的に) GitLab のコードベースに影響を与えるプロジェクト、または別の伝達された理由で重要であると見なされるプロジェクトでのみ必要とされることを理解することが重要です (これらのインスタンスでは、これらのベースライン構成の必要性の背後にある「理由」の根拠が明確に伝えられる必要があることに注意してください)。

ただし、チームメンバーがプロジェクトを作成または作業する際に、これらのベースライン構成を念頭に置くことが推奨されます。これらは、GitLab プロジェクトでなされる貢献のセキュリティと品質を向上させるように設計されているためです。

スコープ

これらのベースライン構成を適用すべきプロジェクトのスコープは、GitLab のコードベースに直接的または間接的に影響を与えるプロジェクト、および/または GitLab のビルド、リリース、デプロイに影響を与えるプロジェクトです。

この基準に当てはまるプロジェクトの例:

GitLab のコンポーネントをビルドするプロジェクト
GitLab のコンポーネントのコードベースを管理するのに役立つボットをビルドするプロジェクト
重要な非 GitLab システム (例: Salesforce) のコードベースを更新するために使用されるプロジェクト

この基準に当てはまらないプロジェクトの例:

コードを持たないプロジェクト
GitLab のコードベースに影響を与えないボットをビルドするプロジェクト (例: YAML ファイルを CSV に変換するスクリプト)

プロジェクトの使用法は時間の経過とともに自然にシフトする可能性があり、継続的にプロジェクトの使用法を再評価することが重要です。プロジェクトはどちらのカテゴリーにも入ったり出たりする可能性があるため、毎日プロジェクトで作業する際にそれを念頭に置いてください。期待されるのは、プロジェクトにこれらのベースライン構成が設定されている場合でも、チームメンバーが作業で協力し合い、知識のサイロで作業することを避けることで、効率が低下しないことです。これは、個人が単一障害点になるリスクも増加させます。これらの価値観はまた、変更に複数のチームメンバーを関与させることで、私たちの透明性の価値を促進します。

自分のプロジェクトがどこに当てはまるかわかりません

それは大丈夫です! そして、確かに珍しいことではありません。質問がある場合は、私たちが対処し、適切なカテゴリーに当てはめられるよう、提起してください。プロジェクトの分類方法をここで反復することができ、セキュリティと品質、そして効率へのコミットメントを確保できます。

自分のプロジェクトは基準に当てはまらないようですが、それでもこれらの構成が必要ですか?

プロジェクトがベースライン構成を要求するための一般的な基準を厳密に満たさないが、何らかの理由でプロジェクトをベースライン構成を使用して構成すべきと判断される場合もあります。これらのインスタンスでは、これらのベースライン構成の必要性の背後にある「理由」の根拠が明確に伝えられる必要があります。既存の基準を満たさないと思われるプロジェクトに対して多くの類似した根拠が提供される場合、それはプロジェクトのスコープと基準を調整すべきという指標である可能性があります。

保護されたブランチのベースライン構成

一般的なルールとして、私たちは誰もが保護されたブランチに MR を提出することを要求するような方法でブランチを保護したいと考えています。MR を使用するこの要件により、なされた変更とその背後にある根拠の追跡がより容易になり、最も重要なことは、保護されたブランチに変更を加えるために MR を使用する必要があることです。これは、構成された MR 承認ルールと密接に連携します。アカウントが保護されたブランチに直接プッシュできる場合、そのアカウントは MR を使用する必要がなく、別のチームメンバーの関与なしに変更を加えることができます。

記録の保持と廃棄

Thu, 12 Feb 2026 20:47:52 +0000

Visibility: Audit

目的

GitLab の記録保持・廃棄標準は、重要な GitLab 記録に関する具体的な保持および安全な廃棄要件を列挙しています。これらの最小要件は、すべての GitLab tier 1 および tier 2 のクリティカルシステムに対する設計および保守の判断を導きます。

適用範囲

以下の保持および安全な廃棄要件は、GitLab tier 1 および tier 2 のクリティカルシステムに保存されている、下表に列挙されたすべての GitLab 記録に適用されます。

役割と責任

役割	責任
GitLab チームメンバー	本管理対象ドキュメントの要件に従う責任を負います。
Security Compliance Team	本管理対象ドキュメントをレビューし、保守する責任を負います。
Control Owners	以下の要件をサポートする手順を定義し実装する責任を負います。
Security Assurance Management（コードオーナー）	本管理対象ドキュメントへの重大な変更および例外を承認する責任を負います。

保持と廃棄の要件手順

記録	保持要件	廃棄要件
事業継続計画の承認	3 年	[GCP/AWS Secure Deletion]
事業継続テストの結果	3 年	[GCP/AWS Secure Deletion]
本番バックアップテスト	1 年	[GCP/AWS Secure Deletion]
本番変更	3 年	[GCP/AWS Secure Deletion]
セキュリティポリシーレビュー／承認	3 年	[GCP/AWS Secure Deletion]
利用規約への同意	ユーザーがアクティブな間	[GCP/AWS Secure Deletion]
アクセスリクエスト／変更記録	1 年	[GCP/AWS Secure Deletion]
チームメンバーのオフボーディング Issue	現地法による	[GCP/AWS Secure Deletion]
システムアクセスレビュー	1 年 3 か月	[GCP/AWS Secure Deletion]
共有およびグループ認証レビュー	1 年 3 か月	[GCP/AWS Secure Deletion]
本番監査ログ	1 年	[GCP/AWS Secure Deletion]
GCP ファイアウォール構成成果物	1 年	[GCP/AWS Secure Deletion]
職務役割と責任	1 年	[GCP/AWS Secure Deletion]
顧客へのセキュリティインシデント連絡	3 年	[GCP/AWS Secure Deletion]
人事ファイル記録	現地法による	[GCP/AWS Secure Deletion]
1:1 ミーティングノート	現地法による	[GCP/AWS Secure Deletion]
オンボーディングチケット	現地法による	[GCP/AWS Secure Deletion]
年次リスク評価レポート	2 年	[GCP/AWS Secure Deletion]
リスク対応計画	3 年	[GCP/AWS Secure Deletion]
セキュリティ観察 Issue	3 年	[GCP/AWS Secure Deletion]
取締役会議事録	無期限	N/A
リリースノート	1 年	[GCP/AWS Secure Deletion]
クリティカルシステムのアクティビティログ	60 日	[GCP/AWS Secure Deletion]
セキュリティ監視アラート／メトリクス	3 年	[GCP/AWS Secure Deletion]
ベンダーセキュリティレビュー Issue	3 年	[GCP/AWS Secure Deletion]
顧客が署名した MSA	無期限	N/A
ベンダー NDA	無期限	N/A
年次セキュリティアウェアネストレーニング記録	3 年	[GCP/AWS Secure Deletion]
セキュアコーディングトレーニング記録	2 年	[GCP/AWS Secure Deletion]
ペネトレーションテストレポートおよび是正 Issue	2 年	[GCP/AWS Secure Deletion]
システムパッチ記録	1 年	[GCP/AWS Secure Deletion]
ソースコードスキャン結果	1 年	[GCP/AWS Secure Deletion]
ZenDesk チケット	3 年	[GCP/AWS Secure Deletion]
非公開情報レビュー記録	3 年	[GCP/AWS Secure Deletion]
ロールベースのセキュリティトレーニング記録	3 年	[GCP/AWS Secure Deletion]
監査ログレビュー記録	3 年	[GCP/AWS Secure Deletion]
セキュリティアセスメントレポート／観察	3 年	[GCP/AWS Secure Deletion]
セキュリティ構成レビュー／アラート	3 年	[GCP/AWS Secure Deletion]
セキュリティ認可記録	3 年	[GCP/AWS Secure Deletion]
システム接続要件	3 年	[GCP/AWS Secure Deletion]
構成変更記録	3 年	[GCP/AWS Secure Deletion]
セキュリティ影響分析記録	3 年	[GCP/AWS Secure Deletion]
本番資産インベントリ	3 年	[GCP/AWS Secure Deletion]
BC トレーニング記録	3 年	[GCP/AWS Secure Deletion]
本番バックアップ	組織別に定義	[GCP/AWS Secure Deletion]
顧客データバックアップ	組織別に定義	[GCP/AWS Secure Deletion]
雇用申請書および面接ノート（米国ベースの応募者のみ）	4 年（2021-07 更新）	N/A
PII データを含む一時ファイル	業務目的で必要な間	システムの既定の削除スケジュールに従う

例外

これらの要件への例外は、情報セキュリティポリシー例外管理プロセスに従って追跡されます。