Confluence のセキュリティ設定のベスト プラクティス

このページでは、Confluence サイトを可能な限り安全にするために利用できるいくつかのアプローチを概説します。基本となるオペレーティング システム、アプリケーション サーバー、データベース サーバー、ネットワーク、ファイアウォール、ルーターの設定など、検討する数多くの項目があります。もちろん、ここではすべてを概説できる訳ではありません。

On this page:

べスト プラクティス

このガイドのすべてがお客様の環境に当てはまるわけではありませんが、説明されている原則はほとんどの環境に適用できます。

これらのプラクティスに従っても、100% のセキュリティを提供できるわけではない点にご注意ください。システムが危険にさらされた場合に、影響を軽減して侵入者の動きを抑制する措置になります。

アドバイザリー アラートを購読する

アドバイザリー アラートを購読して技術担当者の詳細情報を最新に保ち、セキュリティ アドバイザリー アラートとその他の重要な技術的な最新情報を確実に受け取ってください。 

アトラシアンのメールおよびプライバシー設定 

インストール ディレクトリとデータ ディレクトリの保護

Confluence インストール ディレクトリ、ホーム ディレクトリ、および添付ファイル、スペースのエクスポート、またはデータ パイプラインのエクスポート用に定義できるストレージの場所の安全性を確認することが重要です。 

We strongly recommend you to:

  • 専用の非 root ユーザー アカウントで、Confluence を実行する。
  • limit the user accounts that can access any Confluence directories. 

実行する方法については、「オペレーティング システム上に Confluence 実行専用のユーザー アカウントを作成する」をご確認ください。 

バイナリも監視する必要があります。攻撃者がシステムのあるアカウントに不正アクセスする場合は、通常、他のアカウントにもアクセスしようとするものです。これを目的に、攻撃者はシステムのファイルを変更するなど、悪意のあるコードを追加する場合があります。悪意のある変更が行われていないことを定期的に確認できる方法をご検討ください。

データベースを保護する

Confluence データベースのユーザー (およびすべてのデータソースのデータベース ユーザー) が、本当に必要な範囲のデータベース権限しか持たないようにします。

データベース アクセスを Confluence ホストのみに制限します (iptables または組み込みのデータベース セキュリティ ツールを使用)。これを行う方法については、ご利用のデータベースのドキュメントをご確認ください。

管理者機能へのアクセスを制限する

原則として、Confluence 管理者の数をできるだけ少なくして、これらのユーザー アカウントを一つひとつ頻繁に確認することで、アクセス レベルを適切な状態に維持してください。

  • Avoid shared administrator or user accounts, and easily guessed usernames like “admin”.
      
  • Provide administrators with two separate accounts to allow them to separate day-to-day work, such as creating pages, from administration tasks.

  • Limit the number of people in the confluence-administrators group. Members of this “super group” can access all admin functions and access all content, including restricted pages. Consider limiting the members of this group and instead create a new group with system administrator global permissions. 
    Learn about the confluence-administrators super group
     
  • セキュア管理者セッションを使用して、管理機能にアクセスする際のパスワードを再入力するように管理者に要求して、管理者セッションのタイムアウトを短い値に設定します。
    セキュア管理者セッションを有効化する方法をご確認ください。
     
  • Use Apache to lock down the administration interface to specific IP addresses. This can be used as a template for your reverse proxy of choice.
    Using Apache to limit access to the Confluence administration interface

受送信接続を制限する

ファイアウォールやプロキシ サーバーなど、受送信接続を制限する方法はいくつかあります。 

  • Use the allowlist to limit incoming and outgoing connections to avoid Server-Side Request Forgery (SSRF) attacks. Confluence relies on the allowlist for things like macros that may be displaying content from external sites. 
    Learn how to turn on the allowlist

ユーザー アカウントを管理する

Good user management practices can help prevent user accounts from being compromised. 

  • Consider integrating Confluence with an identity provider for single sign-on and two-factor authentication.
    Learn about the various SSO options available

  • Enable two-step verification for users. This second login step, requiring a code from a registered authenticator app, ensures that the login is secure even if the password is compromised.
    Learn how to enable two-step verification


  • Configure a strong password requirement.
    Learn how to manage password strength

  • Use personal access tokens (PAT) for integrations. This provides your users with a more secure way to authenticate API requests than basic authentication (username and password)
    Learn how to manage personal access tokens
     
  • 基本認証を無効にします。シングル サインオンを設定している場合は、ログインと REST の各リクエストの基本認証を無効にできます。基本認証は、シングル サインオンや個人用アクセス トークンよりも安全性が低くなります。基本認証を無効にする方法をご確認ください。
     
  • Disable user accounts when people leave your organization. If required, you can also delete user accounts which will replace their name with an anonymized ID.  
    Delete and disable users
     
  • Restrict the number of users with powerful roles or group memberships. If only one department should have access to particularly sensitive data, then restrict access to the data to only those users. Do not let convenience overrule security. Do not give all staff access to sensitive data when there is no need.

ログイン試行を制限して、アクセスとアクティビティを監視する

There are several things you can do to reduce the risk of brute force or denial of service (DoS) attacks: 

定期的なセキュリティ監査を実行

定期的なセキュリティ監査は潜在的な脅威の特定に役立つだけではなく、セキュリティ ポリシーと手順を見直す機会でもあります。 

  • セキュリティ侵害が発生した場合にサポートできる人を把握しましょう。潜在的な脅威が特定された場合のプロセスは何ですか?
     
  • Perform “what if” planning exercises. Consider questions like “What is the worst thing that could happen if a privileged user's password were stolen while on vacation? What can we do to minimize damage?”.
     
  • Document your security measures, and regularly monitor that all measures are still in place, and are adequate. For example, after upgrading or migrating, someone may forget to apply the rule to the new system or version. 
     
  • Perform a security check-up when preparing for a major upgrade. It's a good time to compare your current configuration against our current recommendations. 
最終更新日: 2024 年 12 月 10 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.