セキュリティ - よくある質問

クラウドサービスのセキュリティが気になる方、GitLabのセキュリティプログラムについて知りたい方、共有責任モデルがよくわからない方――同じ疑問をお持ちの方はたくさんいらっしゃいます。

詳細については、まずコミュニティカスタマーアシュアランスパッケージをダウンロードしてください。このパッケージには、2つの完成したセキュリティアンケート（CSA CAIQ Level 1アンケートと標準情報収集（SIG）Liteアンケート）が含まれています。これら2つのアンケートは、300以上のよくあるセキュリティ質問を記載しており、お客様と見込み客が情報を一元管理できるようになっています。また、セキュリティレビューに役立つよくある質問をいくつか以下に記載しています。

コンプライアンスレポートとセキュリティ保証

GitLabは情報セキュリティプログラムを持っていますか？

はい。GitLab, Incは、アクセス管理、データ分類と保護、インシデント対応を含むポリシーと手順を備えた文書化された情報セキュリティプログラムを維持しています。これらのドキュメントへのリンクは、カスタマーアシュアランスパッケージサイトで利用できます。

GitLabのセキュリティプログラムは業界標準に準拠していますか？

はい。GitLab, Incは、様々なセキュリティフレームワークに対するGitLabのコンプライアンスの監視と報告を担当する正式なセキュリティ保証部門を維持しています。現在のセキュリティフレームワークと認証、ロードマップに記載されている認証、および保証ドキュメントの取得方法に関する最新情報については、GitLabのセキュリティ認証と証明ハンドブックページを参照してください。GitLabは、業界標準を満たすセキュリティコントロールを文書化しています。

GitLabは第三者のコンプライアンス証明を保有していますか？

はい。GitLab, Incは現在、SOC2 Type 2レポート、ISO 27001認証、およびNDA下で提供可能な複数の業界自己証明を保有しています。最新情報については、GitLabのセキュリティ認証と証明ハンドブックページを確認してください。

クラウドセキュリティ

GitLab.comはカスタマーサービスをサポートするためにクラウドプロバイダーに依存していますか？

はい。GitLab.comはGoogle Cloud Platform（GCP）インフラストラクチャ・アズ・ア・サービス（IaaS）および複数のサブプロセッサーにデプロイされています。詳細なアーキテクチャについては、本番環境アーキテクチャを参照してください。

GitLabコントロールフレームワーク

GitLab Inc のコア価値である効率性の精神に基づき、セキュリティコンプライアンスチームは、複数の基本的な要件に対応するセキュリティコントロールのセットを維持しています。一般的なコントロールをいくつか以下に記載しています。

GitLabはデータを転送中および保存中に暗号化していますか？

はい。GitLab, Incは、転送中のデータを暗号化するためにTLS Strict、HTTPS、およびUniversal SSLを使用しています。データはGoogle Cloud Platformを使用して保存中にAES-256で暗号化されます。

GitLabはインシデント対応計画を持っていますか？

はい。GitLab, Incは専任のセキュリティインシデント対応チームと、インシデントのライフサイクル全体を通じて識別、封じ込め、修復、および通信を含む文書化されたインシデント管理計画を持っています。

GitLabは定期的に第三者企業によるペネトレーションテストを受けていますか？

はい。GitLab, Incは、インフラストラクチャと製品の年間ペネトレーションテストを実施するために第三者サービスプロバイダーと契約しています。GitLabは年間レポートを提供する前にNDAを締結する必要があります。詳細な契約書はNDA付きでリクエストできます。

GitLabはビジネス継続計画/災害復旧計画を持っていますか？

はい。GitLabはビジネス継続計画を持っており、年次で見直しおよびテストを実施しています。

GitLabはどのようなデータにアクセスできますか（個人情報とビジネス情報）？

GitLab, Incは、ユーザーアカウント作成のために、名前、メール、IPアドレスを含む情報を必要とします。会社名と従業員数などの追加のビジネス情報は、請求と契約をサポートするためにアクセス可能になります。個人情報はプロフィールから削除でき、データ削除のリクエストはいつでも行うことができます。GitLab, Incはデータ処理者であり、お客様はデータ管理者です。任意でご提供いただける情報は以下のとおりです。

個人情報（以下を含みますが、これに限定されません）：

• 市区町村
• 郵便番号
• 国
• 都道府県または地域

GitLabはバックアップを実行していますか？

はい。GitLabは継続的な増分データを含むバックアップを実行しています。バックアップは暗号化され、定期的にテストされています。

GitLabのRTOおよびRPO時間は何ですか？

GitLabは現在、GitLab.com災害復旧のための明記されたRTO/RPOを持っていません。復旧機能の一部として明記された目標を確立することは、GitLabにとって重要な目標です。透明性への取り組みに従い、シミュレートされた災害復旧シナリオの実際のテスト結果に基づいて信頼できる場合にのみ、これらの値を提供します。SaaSアーキテクチャおよび可用性の監視方法についてご確認ください。

GitLab製品セキュリティ

GitLabはセキュリティリリースをどのように処理していますか？

GitLabは、専用のセキュリティリリースで脆弱性のパッチをリリースしています。セキュリティリリースには2つのタイプがあります。

• 機能リリース（毎月デプロイされます）の1週間後にリリースされることを目指した月次スケジュール済みセキュリティリリース
• 重大な脆弱性に対するアドホックセキュリティリリース。すべての脆弱性の修正は現在のリリースと直近2つのmajor.minorバージョンにバックポートされます。

修正された脆弱性を理解するのに役立つように、各セキュリティリリースに付属するブログ投稿には、簡潔な説明、影響を受けるバージョン、および各脆弱性に割り当てられたCVE IDが含まれています。機能とセキュリティリリースのブログ投稿は、ブログのreleasesセクションにあります。さらに、各脆弱性の詳細を記載した問題は、パッチが適用されたリリースの30日後に公開されます。すべてのお客様は、サポートされているバージョンの少なくとも最新のセキュリティリリースにアップグレードすることを強くお勧めします。

セキュリティリリースがリリースされたときに通知を受けるには、以下のチャネルが利用可能です。

• セキュリティ通知メーリングリスト
• セキュリティリリースRSSフィード
• すべてのGitLabリリースRSSフィード

GitLabはセキュリティリリースに関する事前通知をお客様に提供できますか？

セキュリティリリースの事前通知はお客様に提供していません。これには2つの主な理由があります。

• 上記で述べたように、定期的なセキュリティリリースは、機能リリース（毎月デプロイされます）の1週間後にリリースされることを目指しています。機能リリース後にセキュリティリリースの日付を設定しますが、その7日間のウィンドウ内で正確なリリース日を正確に特定できるとは限りません（まだ存在する手動プロセスと発生する可能性のある予期しない遅延のため）。
• 特に緊急性が高い場合には、重大なセキュリティリリースをアドホックで実行することがよくあります。これらのシナリオでは、事前発表を提供することは困難であり、重大な修正を遅延させる可能性があり、お客様をリスクにさらします。代わりに、修正ができたらすぐにリリースし、セキュリティ通知メーリングリスト経由で通知します。

セキュリティリリースと重大な修正がユーザーにとって常に便利とは限らないことを理解しています。重大なセキュリティインシデントに関する通信プロセスの見直しと改善を続けており、S1重大度の脆弱性に関連するカスタマー通信のターンアラウンド時間を6時間のウィンドウに設定する目標を立てています。重要な情報をできるだけ迅速にお届けするためです。

セキュリティリリースと重大な修正の最新情報を得るための最良の方法は、セキュリティ通知メーリングリストに登録することです。

GitLabチームメンバーはプライベートリポジトリにアクセスできますか？

はい。GitLab, Incカスタマーサポートは、gitlab.comでホストされているカスタマーリポジトリへのアクセスが必要ですが、チームメンバーはサポートとトラブルシューティングに必要な場合を除き、プライベートリポジトリにアクセスしません。アクセス形式には、偽装を含みますが、これに限定されません。サポート問題に対応する際、お客様のプライバシーに最大限配慮するよう努めています。アカウント所有権を確認した後、問題を解決するために必要なファイルと設定にのみアクセスします。サポートはアカウントにサインインして設定にアクセスする場合がありますが、問題を解決するために必要な最小限のアクセスに確認の範囲を制限します。コードをクローンする必要がある場合は、お客様の同意を得た上でのみ実施します。クローンされたすべてのリポジトリは、サポート問題が解決されるとすぐに削除されます。プライベートリポジトリへのアクセスに関するこのポリシーには2つの例外があります。利用規約の違反の疑いを調査している場合、または法的またはセキュリティ上の理由でリポジトリへのアクセスを強制されている場合です。

GitLabは強化できますか？

はい。GitLabは強化でき、その情報をリリースしています。ブログ投稿とドキュメントで利用できます。詳細については、GitLabインスタンスの強化を参照してください。

カスタマーアシュアランスパッケージは、誰もがGitLabのセキュリティ態勢を確認および評価できるように設計されました。

このFAQは、ソフトウェアアズアサービス（SaaS）のGitLab.comのみに適用されます。

お問い合わせページでセキュリティ通知にサインアップできます。