Data Center のセキュリティ チェックリストとベスト プラクティス
準備と計画
製品リリースとアップデート
セキュリティ機能と構成
お客様の役割
製品を安全に設定
アクセス制御の管理
ポリシーに従った暗号化の実装
オペレーション システムとソフトウェアのセキュリティ
アトラシアンが行うこと
安全にサポートされているモダンなオペレーティング システムとの互換性を強調し、そのソフトウェア ソリューションがベンダーが提供するセキュリティ アップデートと一致することを保証
- サポート対象プラットフォームを確認する
Confluence | Jira | Bitbucket | Bamboo | Crowd
お客様の役割
最新のセキュリティ アップデートを実装
ご利用のオペレーション システムのセキュリティを強化
最新かつ安全なソフトウェア依存関係を管理
導入と初期設定
インフラストラクチャ セキュリティ
物理サーバーおよび仮想サーバーのセキュリティ、ネットワーク セキュリティ (ファイアウォール、VPN)、およびストレージ セキュリティ (暗号化、制限つきアクセス) の確保。Confluence のドキュメントをご確認ください。
アトラシアンはセルフマネージドのハードウェア インフラストラクチャの責任を負いません。このドキュメントに含まれる推奨事項やベスト プラクティスをご利用ください。
インストール
安全なソフトウェアの導入、セットアップ、およびメンテナンスは共同での取り組みです。要件に合った適切なインフラストラクチャを選定し、推奨事項に従って安全な初回セットアップを行ってください。
アトラシアンが行うこと
- 安全なデフォルト設定を提供することで、脆弱性のリスクの最小化に取り組む
- 安全なセットアップ プロセスのための詳細なガイドを提供
- データ暗号化、ユーザー認証、アクセス制御のための一連のツールを提供。
設定オプション
お客様の役割
個々のデプロイ環境に応じてセキュリティ設定を調整 (クラウド、オンプレミス、ハイブリッド)
安全な初回セットアップ
インストール環境が安全で公開ネットワークから隔離されていることを確認
最小権限の原則の適用
セットアップ中にシステム アクセス権を設定し、各ユーザーとサービス アカウントに必要な権限を厳密に制限
設定アクセス用に Websudo と IP 許可リストを有効化
すべての管理アクセス用に "websudo" を有効化し、インストールや構成設定にアクセス可能な IP アドレスを IP 許可リストを通じて制御することで、アクションが認証され安全であることを確認
安全かつ複雑なパスワードを利用
管理アカウントを含め、セットアップ時に作成したすべてのアカウントに強力かつ一意のパスワードを設定
ネットワーク セキュリティ対策の導入
可能であれば、セキュリティを強化するために、プライベート ネットワークまたは VPN 内で動作するようにインストール環境を設定
機密の設定データを暗号化
認証メカニズムのセットアップ
多要素認証 (MFA) の準備をして、アトラシアンから提供されたら導入
ファイアウォール設定
受信接続を DC 製品の運用と管理に必要な接続のみに制限するようにファイアウォールを設定
Jira | Confluence | Bamboo
最新のセキュリティ修正のインストール
オペレーション システムや依存関係を含む、インストールに含まれるすべてのソフトウェアが、最新のセキュリティ アップデートが適用された最新状態であることを確認
設定の文書化
今後の参照や監査のために、インストールと構成設定の詳細な記録を保管
Jira
デフォルト設定の確認
デフォルトの構成設定を注意深く確認して調整し、セキュリティ要件を満たしていることを確認
運用時のセキュリティ ベスト プラクティス
アトラシアンは、お客様のオペレーションの堅固なセキュリティ基盤を築くためのガイドラインとツールを提供しています。お客様のデータを安全に保ち、ビジネスを保護するためには、お客様の役割が不可欠です。
アトラシアンはセルフマネージドのハードウェア インフラストラクチャの責任を負いません。このドキュメントに含まれる推奨事項やベスト プラクティスをご利用ください。
ユーザー アカウントとディレクトリのアクセス制御
- 専用の非 root のユーザー アカウントで製品を実行。不正なアクセスからディレクトリを保護。
次を実行することを強くお勧めします。
専用の非 root のユーザー アカウントで製品を実行。
任意のディレクトリにアクセスできるユーザー アカウントを制御。
この方法については、DC 製品での例をご確認ください
Jira | Confluence | Bitbucket | Crowd
- バイナリを監視。攻撃者がシステムのあるアカウントに不正アクセスする場合は、通常、他のアカウントにもアクセスしようとするものです。これは通常、悪意のあるコードの追加や、システム上のファイルの変更によって行われます。悪意のある変更が行われていないことを定期的に確認できる方法をご検討ください。
セッションと認証のセキュリティ
DC 製品をアイデンティティ プロバイダーと連携してシングル サインオンや他要素認証を行います。次の例をご確認ください。
Confluence
- 統合には個人用アクセス トークンを使用します。
これによって、API リクエストの認証で基本認証 (ユーザー名とパスワードのみを利用) よりも安全な方法がユーザーに提供されます。
個人用アクセス トークンの管理方法を確認
- 基本認証の無効化。シングル サインオンを設定している場合は、ログインと REST の各リクエストの基本認証を無効にできます。基本認証は、シングル サインオンや個人用アクセス トークンよりも安全性が低くなります。
基本認証を無効にする方法をご確認ください。 - ユーザーが組織を離れた際に、ユーザー アカウントを無効化。また必要に応じて、ユーザー アカウントを削除して、そのアカウントの名前を匿名化された ID に置き換えられます。
ユーザーの削除と無効化 - 強力なロールまたはグループ メンバーシップを持つユーザーの数を制限。特に機密性の高いデータへのアクセス権を 1 部門だけに持たせる必要がある場合は、情報へのアクセスをその部門のユーザーのみに制限します。セキュリティよりも利便性を優先してはいけません。不要なのに、機密データへのアクセス権をすべてのスタッフに与えてはいけません。
管理者アクセス権
- 管理者の数は最小限にし、共有アカウントの利用を避けます。管理アカウントやユーザー アカウントの共有や、"admin" などの簡単に推測できるユーザー名を避けます。
- 管理グループの人数を制限。この "スーパー グループ" のメンバーは、システム管理者のグローバル権限を持つ新しいグループを作成する代わりに、すべての管理者機能にアクセスでき、制限されたページを含むすべてのコンテンツにアクセスできます。
Bitbucket での方法を確認
- 安全な管理セッションを利用し、管理者が管理機能にアクセスする際にパスワードの再入力を要求
- 管理セッションに短いタイムアウトを設定。
例をご確認ください。
Jira | Confluence - Apache を使用して、管理インターフェイスを特定の IP アドレスに制限。これは、利用するリバース プロキシのテンプレートとして使用できます。
Apache を使用して Confluence 管理インターフェイスへのアクセスを制限する
アクティビティのモニタリング
- Fail2Banでブルート フォース攻撃のリスクを軽減
例をご確認ください。
Jira | Confluence
パスワードのブルート フォースを防ぐために、ログイン時のキャプチャを有効化
レート制限を使用して、許可する理由がない匿名ユーザーからの REST API リクエストをブロック、または DoS 攻撃のリスクを軽減するためにリクエストの数を制限します。
例をご確認ください。
Jira | Confluence監査ログの設定をレビューして、管理者とエンド ユーザーの重要なアクションを記録していることを確認します。
ログが外部ネットワークにアクセスできないことを確認します。例をご確認ください。
Jira | Confluenceアクセス ログを利用して異常なアクティビティを特定。ログはインストール ディレクトリに書き込まれます。お好みの監視ツールでこれらのログを監視することをお勧めします。ログは一定時間が経過するとローテーションされることに注意してください。長期的にログを確認する必要がある場合は、履歴データを保存し、将来の分析や調査に役立てるために、ログを別のディスクに保存およびバックアップしてください。
例をご確認ください。
Jira | Confluence | Crowd
高度なセキュリティ対策
Web アプリ ファイアウォール (WAF) の連携。これらのソリューションは、ルールを動的にリアルタイムで更新して脆弱性や攻撃から保護すると同時に、遅延や誤検出を最小限に抑えるように構成を最適化します。WAFは 、インジェクション攻撃、予測可能なリソース ロケーション攻撃、 HTTP DDoS、HTTP リクエスト スマグリング、ファイル パス トラバーサル、サーバーサイド リクエスト フォージェリ (SSRF)、クリックジャックなどの一般的な脅威から製品を保護します。
メンテナンス、バックアップ、アップグレード
バックアップとリストア
- 定期的かつテスト可能なバックアップ戦略には、アトラシアン ツールまたはネイティブのデータベース バックアップ (可能な場合) を利用してください。
例をご確認ください。
DC 製品 | Jira | Confluence
アドバイザリー アラートを購読する
セキュリティ勧告アラート、月次速報、その他の重要な技術アップデートを受け取ることができるように、連絡先の詳細とメール購読設定が最新であることを確認してください。メール購読設定を更新するには、アトラシアンのメールとプライバシー設定をご覧ください。
定期的なセキュリティ監査
- 自社のセキュリティ インシデント管理プロセスを把握。セキュリティ インシデントが発生した場合に頼るべき人や、エスカレーション パスを確認しておきます。
- 定期的なセキュリティ監査を実行。定期的なセキュリティ監査は潜在的な脅威の特定に役立つだけではなく、セキュリティ ポリシーと手順を見直す機会でもあります。
- "もしもの場合" を想定した計画演習を実行します。"休暇中に特権ユーザーのパスワードが盗まれた場合に起こり得る最悪のことは何ですか?" などの質問を検討します。
- セキュリティ対策を文書化して、すべての対策が引き続き実施されいることを定期的に監視。たとえば、アップグレードや移行後に、誰かが新しいシステムやバージョンにルールを適用し忘れる場合があります。
- メジャー アップグレードの準備では、セキュリティの確認を実施。今こそ、現在の設定を現在の推奨事項と照らし合わせて確認する良いタイミングです。
最新の LTS へのアップグレード
- 最新のサポート対象の LTS または機能バージョンへのアップグレード。最新のインストール ファイルを取得するには、次のリンクをご利用ください。
インスタンスが侵害を受けたあとの復旧のベスト プラクティス
ステップ 1: 侵害を受けたあと即座に実行するアクション
システムの分離。侵害を受けたインスタンスをネットワークまたはインターネットから切断します。
証拠の保存。インシデントの分析に役立つ可能性のあるログやデータを保護します。
パスワードの変更。すべての管理用パスワードを即座に変更します。
ユーザー アカウントの確認。不正な変更や新しい変更がないかどうかを確認します。
インシデントの報告。SECREP または GSAC サービス デスクを利用してアトラシアンに連絡し、侵害や行った措置に関する詳細情報を共有します。
ステップ 2: 復旧と共有
即座の分離。脅威のさらなる拡大を防ぐために、侵害されたシステムをすぐに隔離します。
初期評価。インシデントの範囲を迅速に評価して、影響を受けたサービスやデータを理解します。
アトラシアン サービスへのアクセスを確認
攻撃者がアクセスした Confluence ページを確認します。
アクセス ログを確認して、アクセスされた Bitbucket リポジトリを把握します。
攻撃者が Jira チケットにアクセスしたかどうかを特定します。
悪意のあるアクティビティの調査
ご利用のアトラシアン サービスに悪意のあるプラグインがインストールされたかどうかを確認します。
顧客データが侵害を受けたかどうかを判断します。
Bitbucket Server が侵害された場合は、リポジトリにコミットされた認証情報がないか確認し、見つかった場合はそれらの認証情報をローテーションします。
復旧を計画。バックアップからデータの復元を開始し、侵害を受けたシステムの再構築を検討します。
セキュリティ対策の実施。最初の調査結果に基づいて、同様のインシデントを防ぐためにセキュリティ体制を強化します。これには、ファイアウォール ルールの強化、パスワードの更新、他要素認証の導入などが含まれます。
周知。
社内コミュニケーション: インシデントの状況、復旧計画、各々で必要な対応について、社内のステークホルダーに継続的に伝えます。
社外コミュニケーション: 顧客データが侵害された場合、影響を受けた顧客に、データ損失、データを保護するために行われた措置、顧客側で行うべきアクションについて伝えます。
アトラシアンの指示に従う。アトラシアンからインサイト情報や推奨事項の提供があったら、それらを復旧やセキュリティ強化の取り組みに含めます。
根本原因分析。アトラシアンとコラボレーションを行い、徹底的な根本原因分析を行います。侵害がどのように発生したかを理解し、再発防止策を講じます。
インシデント対応計画の見直しと更新。インシデント対応プロセスを振り返り、必要に応じて計画を更新して、将来の対応を改善します。
ステップ 3: 復旧後の分析と改善
インシデントのレビュー。原因と対応の有効性を分析し、改善点を特定します。
ポリシーの更新。インシデント レビューに基づいて、セキュリティ ポリシーとインシデント対応計画を見直します。
脆弱性を発見して修正するために、定期的なセキュリティ チェックをスケジュールします。
アトラシアンとのつながりを保つ。アトラシアンのリソースを継続的なセキュリティ ベスト プラクティスに活用します。
チームの教育。インシデント、根本原因、将来の侵害を防ぐために行われた措置を全員が理解するようにします。