CircleCI のセキュリティ

CircleCI では、キー、トークン、認証情報といった、お客様の機密情報や知的財産を保護することを
最優先に考えています

コンプライアンスと認定

CircleCI ではお客様のアプリケーションの保護に真摯に取り組んでいます。皆様が安全にプロジェクトを
ビルド、デプロイ、メンテナンスできるよう、大手セキュリティ ベンダーと提携しています。
FedRAMP Tailored

FedRAMP のセキュリティおよびプライバシーに関する厳格な NIST 標準に準拠した、初めての CI/CD ツールです。

SOC 2 Type II 準拠

SOC 2 Type II 報告書は、米国公認会計士協会 (AICPA) が制定した基準に従って評価する Service Organization Control (SOC) 報告書の 1 つです。

プロダクトの
セキュリティ機能

コンプライアンス、セキュリティ、監査ログなどの機能が揃っているため、CircleCI が管理するクラウドサービス (SaaS) を利用する場合でも、お客様のインフラストラクチャ (オンプレミス環境) で CircleCI を動作させる場合でも、安心してご利用いただけます。

  • ソース コードのセキュリティ

    VCS がソース コードにアクセスするときの通信は、SSH または HTTPS を使用して常に暗号化されます。

  • 環境変数 (シークレット)

    CircleCI で扱うシークレットなどの機密情報は、環境変数を使用して保護できます。

  • OpenID Connect

    CircleCI では、OpenID Connect を使用したジョブレベルでの認証が可能です。

  • 制限付きコンテキスト

    制限付きコンテキストを使用すると、特定のユーザー グループのみにアクセスを許可した状態で、ストレージを暗号化したり、複数プロジェクトに環境変数を共有したりすることが可能です。

  • 監査ログ

    監査ログを使用して、異常を監視したり、フォレンジックに協力したり、コンプライアンスを証明したりすることができます。

  • 隔離実行

    CircleCI では、すべてのビルドを隔離されたサンドボックスで実行します。実行が終了すると、サンドボックスは破棄されます。

  • コンソール出力とアーティファクト

    コンソール出力もアーティファクトも、ネットワーク上で送信されるときには SSH や HTTPS で暗号化されます。リポジトリの読み取りアクセス権がなければ、どちらにもアクセスできません。

  • 2 要素認証

    CircleCI は、お使いの VCS プロバイダーの 2 要素認証を引き継ぎます。

Compliance & Certifications

現在のコンプライアンス状況と取得認定
SOC 2 Type II 準拠

CircleCI は、SOC 2 Type II の業界水準を満たす (そして上回る) ことができ、CircleCI をお使いの企業が、業界認証の標準化された報告書を閲覧し、同分野のサービスと比較できるようになりました。SOC 2 Type II に準拠したということは、CircleCI がリスク軽減に必要な手続きやセキュリティ ポリシーを整備して実施していること、そのプロセスの遵守が要請され監査の対象となることを意味します。SOC 2 Type I の詳細については https://www.aicpa.org/ をご覧ください。

FedRAMP Tailored

CircleCI は FedRAMP Tailored 認証を取得しました。これにより、米国政府のデータ セキュリティ標準を満たしたサービスとして、米国政府機関での使用が認可されています。FedRAMP 認証の詳細については https://www.fedramp.gov/ をご覧ください。

EU/スイス プライバシー シールド

EU-米国間およびスイス-米国間のプライバシー シールド フレームワークにおいて、CircleCI が米国、EU、スイスのデータ移転セキュリティ標準をすべて満たしていることが保証されています。プライバシー シールドの詳細については https://www.privacyshield.gov/welcome をご覧ください。

Cloud Security Alliance

CircleCI は、Cloud Security Alliance が設定したクラウド データ セキュリティの厳格な標準を満たすセキュリティ制御を実施しており、その旨を記載した評価レポートを登録しました。CircleCI の STAR 登録用の評価レポートは https://cloudsecurityalliance.org/ からダウンロードできます。

PCI 準拠

CircleCI は PCI に準拠した Chargify、Stripe、Zuora を採用しています。

Business Practices

従業員とパートナー
採用調査

従業員および契約業者の採用時には、必ず採用調査を実施し、秘密保持契約を締結しています。

従業員のセキュリティ意識

新しい従業員に対して、セキュリティのベスト プラクティスに関する研修の受講を義務付けています。

エンジニアのセキュリティ教育

エンジニアには、テクノロジー セキュリティのワークショップへの参加も義務付けています。

ポリシー

セキュリティ管理チームがさまざまなセキュリティ ポリシーを整備し、情報提供を行っています。

パートナー管理

すべてのパートナーやサードパーティ ベンダーに対して、セキュリティ アンケートへの回答を要請しています。また、個人情報を扱う企業には、データ処理補足契約書への署名も求めています。

セキュリティの殿堂

セキュリティ脆弱性の特定に協力してくださった方々をセキュリティの殿堂でご紹介しています。セキュリティの問題を見つけた場合にはこちらからお知らせください。

セキュリティ インシデントへの対応
対応チーム

インシデント対応の専任チームを設置しています。

対応ポリシーと計画

インシデント対応のポリシーと、危機的な状況における意思決定を円滑に行うための運用手順書を作成しています。

情報公開

ネットワークおよびセキュリティに関するインシデントが発生した場合には、https://status.circleci.com/ にて情報を公開します。

Physical Security

オフィスのセキュリティ
本社のセキュリティ

本社の出入口には 24 時間体制で警備員を配置し、入館証の提示を求めています。訪問者様には入口でのご署名と、常時従業員同伴での行動をお願いしています。

リモート オフィスのセキュリティ

デンバー、トロント、ボストン、日本、ロンドンにある CircleCI のリモート オフィスには、サンフランシスコ本社と同等の物理セキュリティを導入しています。

フリートのセキュリティ
Linux フリートのセキュリティ

Linux フリートには Amazon Web Services を使用し、Google Cloud Platform で補助的な演算処理を行っています。両ベンダーとも、セキュリティおよびプライバシーの面では業界の最先端を行く企業です。

macOS フリートのセキュリティ

CircleCI は macOS フリートを自社で保有し、ミルウォーキーの Milwaukee Colo データセンターで運用しています。当社の全従業員はマシンに物理的にアクセスすることができず、すべての管理はリモートで行われます。マシンのプロビジョニングや、アップデート、デプロビジョニングを実施できるのは、データセンターのエンジニアだけです。連邦監督機関による全日の現地監査が 2019 年に完了し、施設の安全性、可用性、完全性が評価されました。入館証による立ち入りの管理やアクセス ログなどのセキュリティ制御も実施されており、これらはすべて SOC 2 Type II の準拠にあたって監査と承認を受けています。

Network & Data Security

ネットワークのセキュリティ
脆弱性検査

ソフトウェア開発の CI/CD プロセスに Docker ベースの脆弱性検査ツールを導入しています。CircleCI のクラウド サービスにおけるパッチ提供期限は、優先度に応じて「重大 - 14 ~ 30 日 | 高 - 14 ~ 30 日 | 中 - 45 ~ 90 日 | 低 - 90 ~ 180 日」と定められています。毎月の検査結果は、FedRAMP の認証継続要件として連邦当局に提出しています。

内部システム監査

公式の監査ポリシーにより、アプリケーション イベント、システム イベント、ハードウェア イベント、物理アクセスを管理しています。これには、イベントの場所と時間と内容、イベントの発生元、対象、結果、関係者などが含まれます。

アーキテクチャ

CircleCI のアーキテクチャは、DMZ、踏み台ホスト、iptables など、複数のセキュリティ レイヤーから構成されています。

世界に分散

サイト信頼性、サポート、開発の各チームが世界中に分散して 24 時間 365 日の対応を行っています。

隔離ビルド

CircleCI では、すべてのビルドを隔離されたサンドボックスで実行します。実行が終了すると、サンドボックスは破棄されます。

データのセキュリティ
トラフィックの暗号化

送信データはすべて TLS および SSH で暗号化されます。

環境変数の暗号化

環境変数は、保存時も送信時も暗号化され、ジョブの開始時に実行環境に取り込まれます。キー、トークン、その他の認証情報を含む機密情報はすべて、CircleCI 内に環境変数として格納してください。

ソース コードの暗号化

ソース コードは、送信時に必ず TLS および SSH で暗号化されますが、保存時には暗号化されません。保存時のソース コードは、DMZ、踏み台ホスト、iptables など、アーキテクチャを構成する複数のセキュリティ レイヤーによって保護されます。

データのバックアップ

CircleCI ではデータのバックアップとスナップショットに関するポリシーを整備しており、それに則って、業界で標準的な期限内に復旧する機能を用意しています。

Application Security

セキュアな開発
セキュアなコーディング

ソフトウェア開発ライフサイクル ポリシーでは、ロールバック、停止時間、設計の瑕疵、セキュリティ インシデントを最小限に抑えられるよう、デリバリー、レビュー、マージのプロセスを定めています。

サイトの信頼性

サイト信頼性を担当するエンジニアリング チームを設置し、CircleCI のアプリケーション セキュリティ レイヤーを常に保守しています。

アプリケーションレベルのセキュリティ
OWASP Top 10

CircleCI の Web アプリケーションは、インジェクション、認証の不備とセッション管理、クロスサイト スクリプティング (XSS)、安全でないオブジェクトへの直接参照、機能レベルのアクセス制御の不足、クロスサイト リクエスト フォージェリ (CSRF)、未検証のリダイレクトと転送といった、OWASP Top 10 の問題に耐えられるよう設計されています。

アプリケーション侵入テスト

侵入テスト サービスを提供するサードパーティに依頼して、CircleCI のアプリケーション、ネットワーク、インフラストラクチャ、新しいプロダクトに脆弱性がないかを四半期ごとに確認しています。項目は、OWASP Top 10 から新しいプロダクト機能の脅威モデリングまで、多岐にわたります。

CircleCI のセキュリティ問題を見つけたときは…

なりすましメールや DKIM レコードなどの対策は十分に行っておりますが、次のような点にお気付きになった場合には、当社までご連絡ください。

  • インジェクション脆弱性
  • 認証やセッションに関する問題
  • 機密情報への不正アクセス
  • アクセス制御の不良
  • クロスサイト スクリプティング
  • OWASP Top 10 に提示されている問題

CircleCI では、以下のバグおよびレポートには対応していません。

  • サードパーティ製 .circleci/config.yml に含まれる認証情報
  • なりすましメール、SPF、DKIM、DMARC のエラー

脆弱性を発見された場合は、ユーザーの皆様のデータが保護されるよう、以下の手順でのご対応をお願いいたします。

  • 速やかに CircleCI にご連絡ください。
  • お客様のプライベート データは使用せず、ダミーのデータおよびアカウントでテストを行ってください (テスト用に無料アカウントが必要な場合にはお知らせください)。
  • お知らせいただいた情報を踏まえて CircleCI が脆弱性への対処を行います。終了するまで、外部への開示はお控えください。

CircleCI では、バウンティ プログラムは実施しておりません。

CircleCI では、脆弱性の発見に対する報奨金はご用意しておりません。インターネット エコシステムの健全化のため、作業中に脆弱性に気づかれた場合には、お手数ですが当社までお知らせくだいますようお願いいたします。

セキュリティ上の懸念事項を CircleCI に
報告する

機密情報にかかわる問題を報告するときには、当社セキュリティ チームの GPG キーを使用してメッセージを暗号化してください (ID: 0x4013DDA7、フィンガープリント: 3CD2 A48F 2071 61C0 B9B7 1AE2 6170 15B8 4013 DDA7)。

security@circleci.com に送信
close

Thank You for Submitting Your Info


You should receive an automated response notifying you that we received your info. Someone from our Enterprise team will be reaching out to you shortly.


CircleCI Success Logo