クラウドのセキュリティ ベスト プラクティスを活用する

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

業務のもっとも重要な作業を安全に行うため、ベスト プラクティスを活用して強固な基盤を作成しましょう。

Atlassian Cloud のランドスケープについて

Atlassian Cloud 製品全体でセキュリティを向上させるには、企業で使用している製品と、それらの製品に保存されている情報のリスク プロファイルを把握する必要があります。 Jira、Confluence、および Bitbucket Cloud のインスタンスを個別に実行している複数のチームが社内に存在する可能性が考えられるため、Atlassian Cloud 製品の使用について各チームとの話し合いを持つことをおすすめします。そうすることで、これらのツールが適切なセキュリティ ポリシーに従っていることを確認できます。

組織を作成して一元的な視認性および管理性を実現する

Atlassian Cloud 製品にアクセスする社内ユーザーについての完全な視認性および制御性を提供するため、アトラシアンでは組織を作成しました。組織は新しいグローバル管理レイヤーであり、社内の Atlassian アカウントに対して適切な制御やセキュリティ対策を適用する方法を企業の管理者に提供します。組織は、Jira Software、Jira Core、Jira Service Desk、Confluence、および Bitbucket それぞれの Cloud 版にわたって、すべてのユーザー アカウントを網羅します。

組織管理者は、企業ドメインの検証、admin.atlassian.com からのすべての Atlassian アカウントおよび製品の管理、社内のユーザー全体への SSO や自動ユーザー プロビジョニング (Atlassian Access の機能) を含むセキュリティ コントロールの適用を行えます。組織について、詳細をご確認ください。

企業の情報のリスクレベルを反映するようにアトラシアン製品をセットアップする

組織を作成してセキュリティ ポリシーを適用する計画がない場合、特定のクラウド サイト、製品、またはリポジトリのみに機密情報を含めるよう、ご利用のアトラシアン インフラストラクチャをセットアップできます。さらに、そのような指定されたサイト、製品、またはリポジトリへのアクセス権を、限定されたユーザーのサブセットにのみ提供できます。

アイデンティティ プロバイダの活用

次のいずれか、または両方の方法でアイデンティティ プロバイダを活用できます。

アイデンティティ プロバイダを使用してシングル サインオンを設定する

シングル サインオン (SSO) はアカウント アクセスを管理するための優れたソリューションです。複数の SaaS アプリケーションにわたる一貫したログイン エクスペリエンスをユーザーに提供し、企業が使用するクラウド アプリケーション数およびログイン数の増加に伴うセキュリティ リスクを軽減します。ご利用の SSO プロバイダとアトラシアン製品とを連携することで、ジャストインタイム プロビジョニング、認証ポリシーの一元管理、およびユーザーが SSO プロバイダで非アクティブ化されたときの自動ロックアウトを実現できます。SSO にはいくつかのオプションがあります。

自動ユーザー プロビジョニングおよびプロビジョニング解除をセットアップする

自動ユーザー プロビジョニングによって、アイデンティティ プロバイダと Atlassian Cloud 製品間の直接同期を実現できます。つまり、社員の入社時や、新しい部門への異動時などに、手動でユーザー アカウントを作成する必要がなくなります。最も重要なこととして、自動化されたプロビジョニング解除により、離職したユーザーのアクセス権を削除して、情報漏洩のリスクを軽減できます。ユーザーが企業や部門を離れたときにユーザー アカウントが自動的に削除されるため、請求情報をより管理できます。ユーザー プロビジョニングのオプションを以下に示します。

  • SCIM によるプロビジョニング - Atlassian Access をサブスクライブすると、Atlassian Cloud 製品をアイデンティティ プロバイダと直接同期し、ユーザーやグループの自動プロビジョニングおよびプロビジョニング解除を有効化できます。

  • G Suite によるプロビジョニング - プロビジョニングのために Atlassian Cloud ツールと G Suite を同期できます。ただし、グループの分類はサイトに反映されません。

セキュリティ プロトコルの実装

優れたセキュリティ プロトコルを保持するには、定期的なメンテナンスが必要です。

組織のセキュリティ ポリシーを設定してログイン セキュリティを強化する

シングル サインオンを使用しない場合、適切なユーザーが企業のツールにアクセスできるようにするためにはいくつかの方法を使用できます。

  • 個別の 2 段階認証 - 特に上位の権限を持つアカウントの場合、各ユーザーで自身の Atlassian アカウントに対して 2 段階認証を設定することをおすすめします。

  • 強制 2 段階認証 - Atlassian Access をサブスクライブすると、組織全体に 2 段階認証を強制できます。

  • パスワード ポリシー - Atlassian Access をサブスクライブすると、パスワード強度の要件と有効期限を設定し、パスワードに関連する不正アクセスのリスクを軽減できます。

アクティビティ ログの定期的な監査

製品の監査ログを確認し、不審なアクティビティを検出したり、問題のトラブルシューティングを行ったりします。監査ログの記録の利用開始に役立つリソースを示します。

  • Confluence 監査ログ - Confluence で記録されるイベントおよびアクションと、設定オプションについて確認します。

  • Jira 監査ログ - Jira で記録されるイベントおよびアクションと、設定オプションについて確認します。

引き続き、ユーザー セキュリティ、製品アクセス、管理者権限などのイベントを含む、監査イベントの追加を予定しています。アトラシアンでは監査ログ機能の改善を常に検討しています。こちらのアンケートからぜひフィードバックをお寄せください。

アカウントの定期的な監査と管理者アクセスの制限

シングル サインオン、2 段階認証、パスワード ポリシーなどのセキュリティ強化手法を活用している場合も、データへのアクセス権を持つユーザーの一覧の定期的な監査や、アクセス権が不要なユーザーからのアクセス権の削除は重要です。

Atlassian Cloud 製品の管理者は、情報の表示や共有、アクセス権の付与のための特別な権限を持っています。管理者権限を必要とするユーザーにのみ管理者権限を付与するようにします。

チームとのセキュリティ ベスト プラクティスの共有

企業の情報の安全性を保つ責任は管理者のみが負うわけではありません。リスクや、シンプルなベスト プラクティスでそれを軽減する方法について、ユーザーと共有することをおすすめします。次のようなことをユーザーと共有することをおすすめします。

  • チケット、ページなどにクレジット カード番号を含めないようにユーザーに伝えます。

  • 顧客情報や他の機密情報を含むページやチケットへのアクセスを制限するようにユーザーに伝えます。

  • SSO やパスワード ポリシーを強制する計画がない場合、強固なパスワード (パスフレーズを含む) を使用し、それらは繰り返し使用せずに定期的に変更することを従業員に推奨します。

  • Atlassian アカウントで個別に 2 段階認証を有効化することをユーザーに推奨します。

  • Jira および Congluence の REST API のベーシック認証で API トークンを使用することをユーザーに伝えます。現在ベーシック認証にアカウント パスワードを使用しているユーザーは、今後 API トークンへの切り替えが必要となります。

アトラシアンによるお客様データの保護について

セキュリティは当社にとって最優先の要素であり、アトラシアンの製品およびインフラストラクチャの基盤に組み込まれています。アトラシアンでは、サービスやデータを確実に保護するため、製品開発や内部の運用プロセスを継続的に改善しています。Cloud プラットフォーム内ではすべてのお客様のデータを平等に機密情報として扱い、企業データを管理する厳格な管理策を実装しています。

弊社の製品の使用にあたってセキュリティ上の懸念がある場合、サイバーセキュリティやプライバシーに対するアトラシアンのアプローチについて、Trust サイトをご確認ください。

最終更新日 2019 年 1 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.