お客様のセキュリティを最優先に
CircleCIでは、ユーザーのシークレットやキー、トークン、認証情報などの機密を保護することを
最優先事項としています。
コンプライアンスと認定
ビルド、デプロイ、メンテナンスできるよう、大手セキュリティ ベンダーと提携しています。
SOC 2 Type II 報告書は、米国公認会計士協会 (AICPA) が制定した基準に従って評価する Service Organization Control (SOC) 報告書の 1 つです。
プロダクトの
セキュリティ機能
コンプライアンス、セキュリティ、監査ログなどの機能が揃っているため、CircleCI が管理するクラウドサービス (SaaS) を利用する場合でも、お客様のインフラストラクチャ (オンプレミス環境) で CircleCI を動作させる場合でも、安心してご利用いただけます。
-
ソース コードのセキュリティ
VCS がソース コードにアクセスするときの通信は、SSH または HTTPS を使用して常に暗号化されます。
-
コンフィグ ポリシー
組織のコンプライアンスとプロジェクト全体の標準化を実施します。
-
環境変数 (シークレット)
CircleCI で扱うシークレットなどの機密情報は、環境変数を使用して保護できます。
-
OpenID Connect
CircleCI では、OpenID Connect を使用したジョブレベルでの認証が可能です。OIDC を使用することで、パイプラインの秘密を配布することなく、Vault、AWS、GCPなどのシステムに対して認証することができます。
-
制限付きコンテキスト
制限付きコンテキストでは、特定のユーザーグループやプロジェクト レベルでのアクセスを制限しながら、複数のプロジェクト間で環境変数を暗号化して保存・共有することができます。
-
監査ログ
監査ログを使用して、異常を監視したり、フォレンジックに協力したり、コンプライアンスを証明したりすることができます。
-
隔離実行
CircleCI では、すべてのビルドを隔離されたサンドボックスで実行します。実行が終了すると、サンドボックスは破棄されます。
-
コンソール出力とアーティファクト
コンソール出力もアーティファクトも、ネットワーク上で送信されるときには SSH や HTTPS で暗号化されます。リポジトリの読み取りアクセス権がなければ、どちらにもアクセスできません。
-
2 要素認証
CircleCI は、お使いの VCS プロバイダーの 2 要素認証を引き継ぎます。
Compliance & Certifications
CircleCI は、SOC 2 Type II の業界水準を満たす (そして上回る) ことができ、CircleCI をお使いの企業が、業界認証の標準化された報告書を閲覧し、同分野のサービスと比較できるようになりました。SOC 2 Type II に準拠したということは、CircleCI がリスク軽減に必要な手続きやセキュリティ ポリシーを整備して実施していること、そのプロセスの遵守が要請され監査の対象となることを意味します。SOC 2 Type I の詳細については https://www.aicpa.org/ をご覧ください。
CircleCI は FedRAMP Tailored 認証を取得しました。これにより、米国政府のデータ セキュリティ標準を満たしたサービスとして、米国政府機関での使用が認可されています。FedRAMP 認証の詳細については https://www.fedramp.gov/ をご覧ください。
米国商務省の定める EU-米国間 (英国拡張版含む) およびスイス-米国間のデータプライバシーフレームワークにおいて、CircleCI が米国、EU、英国 (およびジブラルタル)、スイスのデータ移転に関するすべてのセキュリティ基準を満たしていることが保証されています。データプライバシーフレームワークの詳細については、https://www.dataprivacyframework.gov/ をご覧ください。
CircleCI は PCI に準拠した Stripe を採用しています。
Business Practices
従業員および契約業者の採用時には、必ず採用調査を実施し、秘密保持契約を締結しています。
新しい従業員に対して、セキュリティのベスト プラクティスに関する研修の受講を義務付けています。
エンジニアには、テクノロジー セキュリティのワークショップへの参加も義務付けています。
セキュリティ管理チームがさまざまなセキュリティ ポリシーを整備し、情報提供を行っています。
すべてのパートナーやサードパーティ ベンダーに対して、セキュリティ アンケートへの回答を要請しています。また、個人情報を扱う企業には、データ処理補足契約書への署名も求めています。
インシデント対応の専任チームを設置しています。
インシデント対応のポリシーと、危機的な状況における意思決定を円滑に行うための運用手順書を作成しています。
ネットワークおよびセキュリティに関するインシデントが発生した場合には、https://status.circleci.com/ にて情報を公開します。セキュリティインシデントの性質に基づき、弊社の裁量により、ステータスページの更新に加えて、直接お客様へのご連絡や、ブログにてセキュリティアラート情報を公開する場合があります。
Physical Security
本社の出入口には 24 時間体制で警備員を配置し、入館証の提示を求めています。訪問者様には入口でのご署名と、常時従業員同伴での行動をお願いしています。
デンバー、日本、ロンドンにある CircleCI のリモート オフィスには、サンフランシスコ本社と同等の物理セキュリティを導入しています。
CircleCI は、コンピューティングに Amazon と Google Cloud Platform を使用しています。両社はセキュリティとプライバシーにおいて業界をリードする企業です。
CircleCI は、ミルウォーキー、ラスベガス、アトランタにある3つのデータセンターに設置された macOS フリートを運用しています。当社の全従業員はマシンに物理的にアクセスすることができず、すべての管理はリモートで行われます。マシンのプロビジョニングや、アップデート、デプロビジョニングを実施できるのは、データセンターのエンジニアだけです。2022年には、連邦規制当局が施設のセキュリティ、可用性、および信頼性を評価するために1日にわたる現地監査が実施されました。また、2022年末には、プラットフォームへの潜在的な脅威を特定し、解決するために侵入テストが実施されました。入館証による立ち入りの管理やアクセス ログなどのセキュリティ制御も実施されており、これらはすべて SOC 2 Type II の準拠にあたって監査と承認を受けています。
Network & Data Security
ソフトウェア開発の CI/CD プロセスに Docker ベースの脆弱性検査ツールを導入しています。CircleCI のクラウド サービスにおけるパッチ提供期限は、優先度に応じて「重大 - 14 日 | 高 - 14 日 | 中 - 30 日 | 低 - 30 日」と定められています。毎月の検査結果は、FedRAMP の認証継続要件として連邦当局に提出しています。
公式の監査ポリシーにより、アプリケーション イベント、システム イベント、ハードウェア イベント、物理アクセスを管理しています。これには、イベントの場所と時間と内容、イベントの発生元、対象、結果、関係者などが含まれます。
CircleCI のアーキテクチャは、DMZ、踏み台ホスト、Firewall など、複数のセキュリティ レイヤーから構成されています。
サイト信頼性、サポート、開発の各チームが世界中に分散して 24 時間 365 日の対応を行っています。
CircleCI では、すべてのビルドを隔離されたサンドボックスで実行します。実行が終了すると、サンドボックスは破棄されます。
送信データはすべて TLS および SSH で暗号化されます。
環境変数は、保存時も送信時も暗号化され、ジョブの開始時に実行環境に取り込まれます。キー、トークン、その他の認証情報を含む機密情報はすべて、CircleCI 内に環境変数として格納してください。
ソース コードは、送信時に必ず TLS および SSH で暗号化されますが、保存時には暗号化されません。保存時のソース コードは、DMZ、踏み台ホスト、Firewall など、アーキテクチャを構成する複数のセキュリティ レイヤーによって保護されます。
CircleCI ではデータのバックアップとスナップショットに関するポリシーを整備しており、それに則って、業界で標準的な期限内に復旧する機能を用意しています。
Application Security
ソフトウェア開発ライフサイクル ポリシーでは、ロールバック、停止時間、設計の瑕疵、セキュリティ インシデントを最小限に抑えられるよう、デリバリー、レビュー、マージのプロセスを定めています。
サイト信頼性を担当するエンジニアリング チームを設置し、CircleCI のアプリケーション セキュリティ レイヤーを常に保守しています。
CircleCI の Web アプリケーションは、インジェクション、認証の不備とセッション管理、クロスサイト スクリプティング (XSS)、安全でないオブジェクトへの直接参照、機能レベルのアクセス制御の不足、クロスサイト リクエスト フォージェリ (CSRF)、未検証のリダイレクトと転送といった、OWASP Top 10 の問題に耐えられるよう設計されています。
侵入テスト サービスを提供するサードパーティに依頼して、CircleCI のアプリケーション、ネットワーク、インフラストラクチャ、新しいプロダクトに脆弱性がないかを一年ごとに確認しています。項目は、OWASP Top 10 から新しいプロダクト機能の脅威モデリングまで、多岐にわたります。
CircleCI のセキュリティ問題を見つけたときは…
なりすましメールや DKIM レコードなどの対策は十分に行っておりますが、次のような点にお気付きになった場合には、当社までご連絡ください。
- インジェクション脆弱性
- 認証やセッションに関する問題
- 機密情報への不正アクセス
- アクセス制御の不良
- クロスサイト スクリプティング
- OWASP Top 10 に提示されている問題
- メールスプーフィング、SPF、DKIM、およびDMARCのエラー
CircleCI では、以下のバグおよびレポートには対応していません。
- Credentials in a 3rd party's
.circleci/config.yml
脆弱性を発見された場合は、ユーザーの皆様のデータが保護されるよう、以下の手順でのご対応をお願いいたします。
- 速やかに CircleCI にご連絡ください。
- お客様のプライベート データは使用せず、ダミーのデータおよびアカウントでテストを行ってください (テスト用に無料アカウントが必要な場合にはお知らせください)。
- お知らせいただいた情報を踏まえて CircleCI が脆弱性への対処を行います。終了するまで、外部への開示はお控えください。
CircleCI では、バウンティ プログラムは実施しておりません。
CircleCI では、脆弱性の発見に対する報奨金はご用意しておりません。インターネット エコシステムの健全化のため、作業中に脆弱性に気づかれた場合には、お手数ですが当社までお知らせくだいますようお願いいたします。
セキュリティ上の懸念事項を CircleCI に
報告する
CircleCI の脆弱性を見つけた場合には、当社のセキュリティ チーム (security@circleci.com) までメールでご連絡ください。
機密情報にかかわる問題を報告するときには、当社セキュリティ チームの GPG キーを使用してメッセージを暗号化してください (ID: 0x4013DDA7、フィンガープリント: 3CD2 A48F 2071 61C0 B9B7 1AE2 6170 15B8 4013 DDA7)。
security@circleci.com に送信参考情報一覧
CircleCI がデフォルトで提供するセキュリティについて学びましょう。
OIDC(OpenID Connect) を使用して CircleCI と HashiCorp Vault を連携する
HashiCorp Vault および OpenID Connect を使用して、CircleCI パイプラインにセキュアなシークレット管理機能を組み込む方法について説明します。
CI/CD におけるセキュリティのベストプラクティス
この記事では、CI/CD パイプラインのセキュリティ強化に役立つ、DevSecOps の2023年版ベストプラクティスを詳しくご紹介します。
Vulnerability Management and DevSecOps with CI/CD
A guide to incorporating vulnerability management and DevSecOps into your CI/CD pipelines. Proven methods for making software security a team effort.