お客様のセキュリティを最優先に

CircleCIでは、ユーザーのシークレットやキー、トークン、認証情報などの機密を保護することを
最優先事項としています。

コンプライアンスと認定

CircleCI ではお客様のアプリケーションの保護に真摯に取り組んでいます。皆様が安全にプロジェクトをビルド、デプロイ、メンテナンスできるよう、大手セキュリティ ベンダーと提携しています。

FedRAMP Tailored

FedRAMP のセキュリティおよびプライバシーに関する厳格な NIST 標準に準拠した、初めての CI/CD ツールです。

SOC 2 Type II 報告書は、米国公認会計士協会 (AICPA) が制定した基準に従って評価する Service Organization Control (SOC) 報告書の 1 つです。

プロダクトの セキュリティ機能

コンプライアンス、セキュリティ、監査ログなどの機能が揃っているため、CircleCI が管理するクラウドサービス (SaaS) を利用する場合でも、お客様のインフラストラクチャ (オンプレミス環境) で CircleCI を動作させる場合でも、安心してご利用いただけます。

ソース コードのセキュリティ

VCS がソース コードにアクセスするときの通信は、SSH または HTTPS を使用して常に暗号化されます。

コンフィグ ポリシー

組織のコンプライアンスとプロジェクト全体の標準化を実施します。

環境変数 (シークレット)

CircleCI で扱うシークレットなどの機密情報は、環境変数を使用して保護できます。

OpenID Connect

CircleCI では、OpenID Connect を使用したジョブレベルでの認証が可能です。OIDC を使用することで、パイプラインの秘密を配布することなく、Vault、AWS、GCPなどのシステムに対して認証することができます。

制限付きコンテキスト

制限付きコンテキストでは、特定のユーザーグループやプロジェクト レベルでのアクセスを制限しながら、複数のプロジェクト間で環境変数を暗号化して保存・共有することができます。

監査ログ

監査ログを使用して、異常を監視したり、フォレンジックに協力したり、コンプライアンスを証明したりすることができます。

隔離実行

CircleCI では、すべてのビルドを隔離されたサンドボックスで実行します。実行が終了すると、サンドボックスは破棄されます。

コンソール出力とアーティファクト

コンソール出力とアーティファクトも、ネットワーク上で送信されるときには SSH や HTTPS で暗号化されます。リポジトリの読み取りアクセス権がなければ、どちらにもアクセスできません。

2 要素認証

CircleCI は、お使いの VCS プロバイダーの 2 要素認証を引き継ぎます。

CircleCI のセキュリティ問題を見つけたときは…

Finding serious security issues

なりすましメールや DKIM レコードなどの対策は十分に行っておりますが、次のような点にお気付きになった場合には、当社までご連絡ください。

  • インジェクション脆弱性
  • 認証やセッションに関する問題
  • 機密情報への不正アクセス
  • アクセス制御の不良
  • クロスサイト スクリプティング
  • OWASP Top 10 に提示されている問題
  • メールスプーフィング、SPF、DKIM、およびDMARCのエラー

CircleCI では、以下のバグおよびレポートには対応していません

  • Credentials in a 3rd party’s .circleci/config.yml

CircleCI では、バウンティ プログラムは実施しておりません CircleCI では、脆弱性の発見に対する報奨金はご用意しておりません。インターネット エコシステムの健全化のため、作業中に脆弱性に気づかれた場合には、お手数ですが当社までお知らせくだいますようお願いいたします。

Protect our users’ data

脆弱性を発見された場合は、ユーザーの皆様のデータが保護されるよう、以下の手順でのご対応をお願いいたします。

  • 速やかに CircleCI にご連絡ください、当社のセキュリティ チーム (security@circleci.com) までメールでご連絡ください
    • 機密情報にかかわる問題を報告するときには、当社セキュリティ チームの GPG キーを使用してメッセージを暗号化してください (ID: 0x4013DDA7、フィンガープリント: 3CD2 A48F 2071 61C0 B9B7 1AE2 6170 15B8 4013 DDA7)。
  • お客様のプライベート データは使用せず、ダミーのデータおよびアカウントでテストを行ってください (テスト用に無料アカウントが必要な場合にはお知らせください)
  • お知らせいただいた情報を踏まえて CircleCI が脆弱性への対処を行います。終了するまで、外部への開示はお控えください。

詳しくはこちら

セキュリティ