セキュリティの概要および勧告

このドキュメントは、Jira アプリケーションのセキュリティを評価するシステム管理者を対象としています。このページでは、アプリケーションの全体的なセキュリティについての説明と、Jira について登録されたセキュリティ勧告の一覧を案内しています。公開 Web アプリケーションとして、Jira のアプリケーションレベルのセキュリティは重要です。このドキュメントでは、弊社の製品のセキュリティについてお客様からお問い合わせいただく際によくある質問への回答を説明しています。

お探しのその他のトピック

  • Jira における権限に関する詳細は、「権限の概要」を参照してください。

  • Jira サイトのセキュリティの構成に関するガイドラインについては、「サーバーの最適化」を参照してください。

アプリケーションセキュリティ概要

パスワードの保存

Jira の内部ユーザー管理が使用されている場合、パスワードは、データベースに保存される前に組み込みの Crowd が提供する salted PKCS5S2 実装によりハッシュされます。Jira 内にはユーザーのパスワードを取得するメカニズムはありません。パスワードの復元が実行される場合、パスワードのリセット リンクが生成され、ユーザーの登録アドレスにメールとして送信されます。

外部ユーザー管理が有効になっている場合、パスワードの保存は外部システムが代行します。

バッファーオバーフロー

Jira はネイティブ コンポーネントを持たない、100 % 純粋な Java アプリケーションです。このため、バッファ オーバーフローの脆弱性に対して強い耐性を持っています。起こり得るバッファ オーバーランは Java ランタイム環境自体にあるバグに限定されます。

SQL インジェクション

データベース クエリは、文字列連結ではなく、パラメーターを置換する標準の API を使用して生成されます。このため、SQL インジェクション攻撃に対して強い耐性があります。

スクリプトインジェクション

Jira は自己完結型の Java アプリケーションで、外部プロセスを起動しません。このため、スクリプト インジェクション攻撃に対して強い耐性があります。

トランスポート層のセキュリティ

Jira は SSL/TLS を直接的にサポートしていません。トランスポート層のセキュリティに懸念がある場合、Java Web アプリケーション サーバー レベルで SSL/TLS を設定するか、HTTP プロキシを Jira アプリケーションの前に配置するようにセットアップします。

SSL を使用できるように Jira を構成する方法の詳細は、SSL または HTTPS による Jira の実行を参照してください。

セッション管理

Jira はデプロイ先の Java アプリケーション サーバーにセッション管理を委譲します。Jira に同梱されている Tomcat アプリケーション サーバーに対して実行可能なセッション ハイジャック攻撃は確認されていません。

アプリ (アドオン) のセキュリティ

管理者はサードパーティ製のアプリを自己責任でインストールします。アプリは、Jira サーバーと同じ仮想マシンで実行され、Java ランタイム環境や、Jira Server API にアクセスできます。

管理者は、インストールするアプリの提供元と、アプリが信頼できるかどうかについて常に把握しておく必要があります。

管理者信頼モデル

Jira では、システム管理者権限が与えられているユーザーは信頼済みであるという想定で記述されています。システム管理者は、直接、またはプラグインをインストールすることによって、Jira アプリケーションで利用可能なあらゆる操作を実行できます。

セキュリティのベスト プラクティスとして、root / 管理者ユーザーとして Jira を実行しないようにします。権限のあるネットワーク ポートを Jira にリッスンさせる場合、Jira を追加権限で実行するのではなく、ポート フォワーディングまたはプロキシをセットアップすることをおすすめします。仮想環境内での Jira の実行には細心の注意が必要な場合があります。

スタックトレース

問題のデバッグに役立つよう、Jira はエラーが発生すると Web インターフェイスを介してスタック トレースを提供します。これらのスタック トレースには、Jira がエラー発生時に実行していた内容に関する情報と、デプロイメント サーバーに関する一部の情報が含まれます。

オペレーティングシステム、バージョン、Java バージョンなど、非個人情報のみが提供されます。適切なネットワークセキュリティを備えていれば、この程度の情報提供で危険性を危惧する必要はありません。ユーザー名やパスワードはまったく含まれていません。

セキュリティ脆弱性の発見と報告

アトラシアンでは、セキュリティ脆弱性を報告する方法について詳細を「セキュリティ問題を報告する方法」に記載しています。

Jira セキュリティ勧告の公開

アトラシアンでは、セキュリティ勧告のリリース方法について詳細を「セキュリティ勧告公開ポリシー」に記載しています。

セキュリティレベル

アトラシアンでは、セキュリティ問題のランク付け方法について詳細を「セキュリティ問題の重大度」に記載しています。

セキュリティバグ修正ポリシー

セキュリティ問題へのパッチのリリースに対するアトラシアンのアプローチについては、「セキュリティ バグ修正ポリシー」をご参照ください。

セキュリティ勧告

Jira についての新しいセキュリティ勧告はありません。すべての Atlassian セキュリティ勧告を確認するには、「セキュリティ勧告」をご覧ください。

最終更新日: 2019 年 1 月 28 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.