• 関連ドキュメント

We’re renaming ‘products’ to ‘apps’

Atlassian 'products’ are now ‘apps’. You may see both terms used across our documentation as we roll out this terminology change. Here’s why we’re making this change

アトラシアン ガバメント組織を維持する

このページには、FedRAMP Moderate 要件の影響を受けるお客様の追加の責務が反映されています。これらのタスクを、Atlassian Government 製品の定期的なメンテナンスの一部にしてください。

データが環境外に出る仕組みを評価する

別のシステムやサービスとデータを共有するたびに、データがどこに移動し、どのように使用されるかを必ず確認します。これを次の各項目で実施してください。

  1. Marketplace アプリ

    Marketplace アプリは FedRAMP コンプライアンス基準を満たしていない場合があります。つまり、Atlassian Government 環境外でデータを送受信する可能性があります。どのアプリが組織に必要かを評価するときは、アプリ ベンダーのパートナーに連絡して、組織のセキュリティ要件に基づいた評価を行ってください。Atlassian Marketplace でアプリを調べるときは、[サポート] タブを選択してベンダーの連絡先の詳細を確認してください。

  2. 製品の統合

    製品は統合を使用して、組織で使われている他のアプリや製品に接続します。統合を追加する前に、アトラシアンが統合の FedRAMP コンプライアンス ステータスとセキュリティ体制を評価する必要があります。アトラシアンは、ビジネス ユース ケースに基づいて評価を行います。特定の統合をリクエストするには、Carahsoft またはアトラシアンの営業担当者にお問い合わせください。

  3. Webhook URL

    Webhook を使用すると、特定のアクティビティによってトリガーされたときに製品がデータを送信できます。Webhook を設定するときは、データを送信する URL を指定します。つまり、組織外に URL を設定すると、Atlassian Government 環境外でデータを共有することになります。Webhook を設定するときは、URL のセキュリティを評価するようにしてください。

  4. データ セキュリティ ポリシー

    データ セキュリティ ポリシーは、ユーザー、アプリ、組織外の人々が Confluence ページや Jira の課題などのコンテンツをどのように操作できるかを管理できるようにすることで、組織のデータを安全に保つために役立ちます。データが製品から流出するリスクを減らすため、データ セキュリティ ポリシーを作成してください

監査ログを監視する

監査ログは、Atlassian 組織内で発生する主要なアクティビティを追跡します。

  1. 通常と異なるイベントに注意する

    監査ログを定期的に監視して問題を診断し、セキュリティ上重要なイベントに注意してください。ユーザーの詳細、製品へのアクセス、管理対象アカウント、組織の設定に関連するイベントに注意してください。監査ログを見つける方法をご確認ください。

  2. 非アクティブなユーザー アカウントを無効にする

    監査ログは、アトラシアン製品内でユーザーが作成したアクティビティも追跡します。ユーザーが作成したアクティビティとは、Confluence ページの表示や作成など、ユーザーが実行するアクションを指します。ユーザーが作成したアクティビティを追跡して、ユーザーが製品にアクセスする必要がなくなったかどうかを判断します。

ユーザー アクティビティに基づいて、ID プロバイダーから製品へのアクセスを削除します

  • ある製品で 90 日間を超えて非アクティブなユーザーがいる場合、その製品へのアクセス権を削除します。これを行うには、ID プロバイダーの製品グループからユーザーを削除します。

  • すべての製品で 90 日間非アクティブなユーザーがいる場合、そのアカウントを無効にします。これを行うには、ID プロバイダーでアトラシアンへの接続を無効にするか、割り当てを解除します。

Atlassian API の使用を監視する

Atlassian API を使用すると、アトラシアンの製品やサービスにリモートでアクセスできます。API を使用したりアクセスできる人を制限すると良いでしょう。

  1. 管理者 API キーの使用を監査する

    組織の API キーを使用して、管理者 API との独自の統合を構築します。統合によって、タスクを自動化したり、他の警告システムや監視システムと統合したりすることができます。これらの統合を構築するときは、安全なシステムとのみデータを共有するようにしてください。API キーを定期的に監視し、以前の管理者がアクセスできたキーはすべて取り消してください

  2. ユーザーの API トークンを取り消す

    ユーザーの API トークンはユーザーの Atlassian アカウントに関連付けられており、スクリプト認証などの製品機能を実行できます。ユーザーは Atlassian アカウントからトークンを生成し、実行中のスクリプトにコピーします。組織管理者は、これらの API トークンを取り消して、ユーザーがこの方法でデータを共有できないようにすることができます。

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容データが環境外に出る仕組みを評価する監査ログを監視するAtlassian API の使用を監視する
コミュニティ質問、ディスカッション、記事