お客様のセキュリティを最優先に

CircleCI は、SOC 2 Type II の業界水準を満たす (そして上回る) ことができ、CircleCI をお使いの企業が、業界認証の標準化された報告書を閲覧し、同分野のサービスと比較できるようになりました。SOC 2 Type II に準拠したということは、CircleCI がリスク軽減に必要な手続きやセキュリティ ポリシーを整備して実施していること、そのプロセスの遵守が要請され監査の対象となることを意味します。SOC 2 Type I の詳細については https://www.aicpa.org/ をご覧ください。

CircleCI は FedRAMP Tailored 認証を取得しました。これにより、米国政府のデータ セキュリティ標準を満たしたサービスとして、米国政府機関での使用が認可されています。FedRAMP 認証の詳細については https://www.fedramp.gov/ をご覧ください。

EU-米国間およびスイス-米国間のプライバシー シールド フレームワークにおいて、CircleCI が米国、EU、スイスのデータ移転セキュリティ標準をすべて満たしていることが保証されています。プライバシー シールドの詳細については https://www.privacyshield.gov/welcome をご覧ください。

CircleCI は PCI に準拠した Chargify、Stripe、Zuora を採用しています。

従業員および契約業者の採用時には、必ず採用調査を実施し、秘密保持契約を締結しています。

新しい従業員に対して、セキュリティのベスト プラクティスに関する研修の受講を義務付けています。

エンジニアには、テクノロジー セキュリティのワークショップへの参加も義務付けています。

セキュリティ管理チームがさまざまなセキュリティ ポリシーを整備し、情報提供を行っています。

すべてのパートナーやサードパーティ ベンダーに対して、セキュリティ アンケートへの回答を要請しています。また、個人情報を扱う企業には、データ処理補足契約書への署名も求めています。

セキュリティ脆弱性の特定に協力してくださった方々をセキュリティの殿堂でご紹介しています。セキュリティの問題を見つけた場合にはこちらからお知らせください。

インシデント対応の専任チームを設置しています。

インシデント対応のポリシーと、危機的な状況における意思決定を円滑に行うための運用手順書を作成しています。

ネットワークおよびセキュリティに関するインシデントが発生した場合には、https://status.circleci.com/ にて情報を公開します。セキュリティインシデントの性質に基づき、弊社の裁量により、ステータスページの更新に加えて、直接お客様へのご連絡や、ブログにてセキュリティアラート情報を公開する場合があります。

本社の出入口には 24 時間体制で警備員を配置し、入館証の提示を求めています。訪問者様には入口でのご署名と、常時従業員同伴での行動をお願いしています。

デンバー、日本、ロンドンにある CircleCI のリモート オフィスには、サンフランシスコ本社と同等の物理セキュリティを導入しています。

CircleCI は、コンピューティングに Amazon と Google Cloud Platform を使用しています。両社はセキュリティとプライバシーにおいて業界をリードする企業です。

CircleCI は、ミルウォーキー、ラスベガス、アトランタにある３つのデータセンターに設置された macOS フリートを運用しています。当社の全従業員はマシンに物理的にアクセスすることができず、すべての管理はリモートで行われます。マシンのプロビジョニングや、アップデート、デプロビジョニングを実施できるのは、データセンターのエンジニアだけです。2022年には、連邦規制当局が施設のセキュリティ、可用性、および信頼性を評価するために1日にわたる現地監査が実施されました。また、2022年末には、プラットフォームへの潜在的な脅威を特定し、解決するために侵入テストが実施されました。入館証による立ち入りの管理やアクセス ログなどのセキュリティ制御も実施されており、これらはすべて SOC 2 Type II の準拠にあたって監査と承認を受けています。

ソフトウェア開発の CI/CD プロセスに Docker ベースの脆弱性検査ツールを導入しています。CircleCI のクラウド サービスにおけるパッチ提供期限は、優先度に応じて「重大 - 14 日 | 高 - 14 日 | 中 - 30 日 | 低 - 30 日」と定められています。毎月の検査結果は、FedRAMP の認証継続要件として連邦当局に提出しています。

公式の監査ポリシーにより、アプリケーション イベント、システム イベント、ハードウェア イベント、物理アクセスを管理しています。これには、イベントの場所と時間と内容、イベントの発生元、対象、結果、関係者などが含まれます。

CircleCI のアーキテクチャは、DMZ、踏み台ホスト、Firewall など、複数のセキュリティ レイヤーから構成されています。

サイト信頼性、サポート、開発の各チームが世界中に分散して 24 時間 365 日の対応を行っています。

CircleCI では、すべてのビルドを隔離されたサンドボックスで実行します。実行が終了すると、サンドボックスは破棄されます。

送信データはすべて TLS および SSH で暗号化されます。

環境変数は、保存時も送信時も暗号化され、ジョブの開始時に実行環境に取り込まれます。キー、トークン、その他の認証情報を含む機密情報はすべて、CircleCI 内に環境変数として格納してください。

ソース コードは、送信時に必ず TLS および SSH で暗号化されますが、保存時には暗号化されません。保存時のソース コードは、DMZ、踏み台ホスト、Firewall など、アーキテクチャを構成する複数のセキュリティ レイヤーによって保護されます。

CircleCI ではデータのバックアップとスナップショットに関するポリシーを整備しており、それに則って、業界で標準的な期限内に復旧する機能を用意しています。

ソフトウェア開発ライフサイクル ポリシーでは、ロールバック、停止時間、設計の瑕疵、セキュリティ インシデントを最小限に抑えられるよう、デリバリー、レビュー、マージのプロセスを定めています。

サイト信頼性を担当するエンジニアリング チームを設置し、CircleCI のアプリケーション セキュリティ レイヤーを常に保守しています。

CircleCI の Web アプリケーションは、インジェクション、認証の不備とセッション管理、クロスサイト スクリプティング (XSS)、安全でないオブジェクトへの直接参照、機能レベルのアクセス制御の不足、クロスサイト リクエスト フォージェリ (CSRF)、未検証のリダイレクトと転送といった、OWASP Top 10 の問題に耐えられるよう設計されています。

侵入テスト サービスを提供するサードパーティに依頼して、CircleCI のアプリケーション、ネットワーク、インフラストラクチャ、新しいプロダクトに脆弱性がないかを四半期ごとに確認しています。項目は、OWASP Top 10 から新しいプロダクト機能の脅威モデリングまで、多岐にわたります。