JIRA: Security of processing

はじめに

GDPR では、対象の個人データに適した安全性を確保する方法で、個人データを処理する必要があります。これには、未認証または非合法な処理や不慮の損失の防止、破壊または破損の防止が含まれます。個人データの保護に使用する方法は、処理する個人データのタイプや、個人および関連する業界標準のプラクティスに対するリスクに応じて異なります。実装されるセキュリティ対策は場合によって異なるため、弁護士に相談して選択することをおすすめします。特定のアトラシアン製品で利用可能なセキュリティ ツールおよび設定の概要と実装方法を、以下に示します。

アトラシアンではお客様に対し、アトラシアン アプリケーションをホストしているインフラストラクチャでは、ユーザーのデータを保護するために安全で信頼性の高いネットワークを実装することをおすすめしています。

Securing Your Infrastructure

Atlassian strongly recommends that customers implement SSL to secure the TCP communication between JIRA and its users or any other system interacting with it. This includes the database and LDAP (for external user directory). Depending on your organization's needs, the following documentation may be helpful:

Running JIRA Server in the Cloud

If you are hosting your JIRA instance on any cloud service (AWS or Microsoft Azure), work with your cloud service provider in order to come up with a suitable plan for securing your environment.

Jira Data Center

ノードの通信

By default, communication between nodes in your cluster is done through unencrypted ehcache RMI. Not restricting access to the ehcache RMI port (by default this is 40001) could result in the compromise of your JIRA Data Center instance.

Loadbalancer

In JIRA Data Center, you are required to have a load balancer in place for the load to be spread across the cluster nodes. For increased security, we recommend that you secure the communication between the load balancer and the JIRA nodes.

Jira Server と Data Center

Security best practices

Atlassian offers some best practices for securing both your network as well as your JIRA application. Please review the documentation:

Upgrades and Updates

You should keep JIRA up to date is to stay protected from security threats. We recommend upgrading JIRA to the latest available version regularly, however if your organization's process means you upgrade on a regular cadence, we suggest upgrading to an Enterprise Release. An Enterprise release provides continued access to critical security, stability, data integrity and performance issues until this version reaches end of life.

The current JIRA enterprise releases are:

There are several ways to upgrade JIRA, and the method you choose to use depends on which version of JIRA you use, and the type of environment you use it in.

For more in depth information about our enterprise releases please check through the following announcement:

ヘルス チェック

A health checks will check your application for known issues. Our Premier Support team can help you run health checks on a quarterly basis on your installed products in production, QA, and staging environments to help prevent outages and ensure best practices are followed. During a health check, our team will look for known issues with configurations, compatibility, driver versions, performance conditions, memory settings, and other improvements. Health checks can be very helpful as a preventive tool for production outages and slowdowns as well as during system upgrades to ensure success. This information is collected to generate a system health baseline report and prescriptive roadmap that recommends how you can improve performance, scalability and productivity of your JIRA instance.

詳細情報:

監視

Atlassian provides a best practice guide for system administrators who would like a clearer view of what's happening in their instances, and get the most out of Atlassian Support. The guide describes what we consider the best tools for monitoring and analyzing diagnostic data produced by Atlassian products, and show you the best way of getting this information to the Atlassian Support team when required. More details are available here: Best practices for performance troubleshooting tools.

For large instances of JIRA Server or JIRA Data Center, enabling JMX allows you to more easily monitor the consumption of application resources. This enables you to make better decisions about how to maintain and optimize machine resources. More details are available here: Live monitoring using the JMX interface.

オペレーティング システム

JIRA は純粋に Java ベースのアプリケーションであり、JDK / JRE の要件が満たされている限りサポート対象のすべてのオペレーティングシステム上で動作します。

Virtual Machine (VM) environments have become a common way for system administrators to manage and deploy their IT systems. Many customers are successfully running their instances on VMware already. However, setting up an Enterprise Java application in a virtual environment requires proper configuration and tuning to maintain high performance. This document summarizes the most important practices on configuring and tuning VMware to work with a Java application like Jira:  Run Jira server in a virtualized environment.

ネットワーク

The following guide describes the specific network and connectivity errors that can be diagnosed automatically by application links and the actions you can take to correct those errors. It also provides a general troubleshooting guide to help you identify and correct network and connectivity errors that may occur when using JIRA application links: Network and Connectivity Troubleshooting Guide.

データベース

JIRA uses a database connection pool, based on Apache Commons DBCP (DataBase Connection Pool), to manage JIRA's access to its underlying database. The information on this page can help you tweak JIRA's database connection pool settings. You can do this by using the JIRA configuration tool. The Advanced tab of the JIRA Configuration tool makes it easier to both configure and control JIRA's database connection pool. The Database monitoring page (accessible to JIRA system administrators) provides a visual tool for monitoring JIRA's database connection usage. You can also review this article on Tuning database connections for more information on maintaining a high performing database connection.

変更管理

Effective service desks plan and control changes, and they understand their impact on their business. An Information Technology Infrastructure Library (ITIL) change management workflow aims to make your change efforts successful. The JIRA Service Desk IT Service Desk template comes with a change management workflow. This workflow ensures you record, assess, approve, and implement change requests. We recommend you start with our default workflow and adapt it to your business needs.

うまくいくと、変更管理プロセスによって、以下が実現されます。 

  • IT サービスの安定化
  • IT サービスの信頼性と予測可能性の向上
  • 進化するビジネス ニーズへの IT サービスの対応
  • lessens risk, outages and defects

For more information on change management, please review Managing changes with your IT service desk.

Authentication and Authorization

Implementing security is an essential part of integrating with JIRA. It lets Atlassian applications protect customer data from unauthorized access and from malicious or accidental changes. It also allows administrators to install add-ons with confidence, letting users enjoy the benefits of add-ons in a secure manner.

There are two parts to securing your JIRA add-on or integration: authentication and authorization. Authentication tells JIRA the identity of your add-on or integration, authorization determines what actions it can take within JIRA. More information: Security overview.

Authentication is the process of identifying your add-on or integration to JIRA and is the basis for all other security. The JIRA platform, JIRA Software, and JIRA Service Desk REST APIs can use one of the following two methods to authenticate clients directly.

ユーザー管理

管理者は、JIRA で直接ユーザーを管理したり、ユーザーが自分のアカウントを作成できるようにパブリック サインアップを有効にしたりできます。複数のプロジェクトやアプリケーション間でユーザーを管理する方法については、以下のページを参照してください。

アプリケーション アクセス

To grant users log in access to a JIRA application, the application must first be licensed, and secondly, the application must have at least one default group assigned to it. Any users added to this group will be able to log in to the application. This is called application access. Your JIRA application may have more than one group assigned to it, and a user may be a member of more than one group assigned to the application, but they will only count as one licensed user for that application.

権限

権限とは、JIRA アプリケーション内でユーザーが何を参照したり実施することができるかの設定です。すべてのJIRAのアプリケーションでは、ユーザーが新しいプロジェクトを作成できるかどうか、ユーザーが特定のタイプの課題コメントを参照できるかどうか、といった様々な権限を設定できます。これらの権限は、アプリケーション間で異なるものを設定することができます。

Backup and Restore

JIRA supports generating backups, automated backups Automating Jira application backups and restoring them.

Advanced Configuration

JIRA has a number of configuration options that allow your JIRA applications to be customized for use within your organization. These options can be accessed and edited on JIRA's 'General Configuration' page.

アトラシアンのセキュリティおよびバグ報奨金プログラム

Atlassian releases regular security advisory reports to inform our customers about security vulnerabilities. These can be viewed and tracked in the Security Advisories

Atlassian offers the community a way to contribute in enhancing the security of our products through the Vulnerability Bug Bounty Program.

その他の注意事項

お使いの製品バージョンに応じた制約がある可能性があります

上記に関連する GDPR 回避策は、本製品の最新バージョン用に最適化されていることにご注意ください。製品のレガシー バージョンを実行している場合、回避策の効果は限定的である可能性があります。この記事で案内されている回避策を最適化するには、最新の製品バージョンにアップグレードすることを検討してください。

サードパーティ製アドオンは、独自のデータベース テーブルまたはファイルシステム内に個人データを保存する可能性があります。

GDPR コンプライアンスへの取り組みに関する上記の記事は、アトラシアンのサーバーおよびデータセンター製品内に保存されている個人データのみを対象としています。サーバーまたはデータセンター環境にサードパーティ製アドオンをインストールしている場合、お客様のサーバーまたはデータセンター環境でアクセス、転送、または処理する可能性がある個人データと GDPR コンプライアンスへの取り組みについて、サードパーティのアドオン プロバイダにお問い合わせください。

サーバーまたはデータ センターのお客様の場合、アトラシアンはお客様が製品内で保存するように選択した個人データへのアクセス、保管、または処理は行いません。アトラシアンが処理する個人データの詳細については、プライバシー ポリシーを参照してください。


最終更新日 2018 年 11 月 19 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.