• 関連ドキュメント

アトラシアン ガバメント組織を維持する

このページには、FedRAMP Moderate の顧客責任の一部として必要なタスクが含まれています。これらのタスクを、Atlassian Government アプリの定期的なメンテナンスの一部にしてください。

データが環境外に出る仕組みを評価する

別のシステムやサービスとデータを共有するたびに、データがどこに移動し、どのように使用されるかを必ず確認します。これを次の各項目で実施してください。

  1. Marketplace アプリ
    Marketplace アプリは、FedRAMP 認証を受ける必要がなく、お客様のデータを米国内に保存する必要もありません。組織のセキュリティ要件に基づいて、インストールする各 Marketplace アプリに対してセキュリティ評価を実施する必要があります。アプリをインストールするリスクが低いと判断された場合は、アプリはインストールされます。Atlassian Government Cloud における Marketplace アプリの仕組み

  2. Atlassian アプリ統合
    Atlassian アプリは統合を使用して、組織で使用している他のアプリケーションや製品に接続します。統合が利用可能になる前に、アトラシアンは統合の FedRAMP コンプライアンス ステータスとセキュリティ体制を評価します。アトラシアンは、ビジネス ユースケースに基づいて評価を行います。特定の統合をリクエストするには、Carahsoft またはアトラシアンの営業担当者にお問い合わせください。

  3. Webhook URL
    Webhook を使用すると、特定のアクティビティによってトリガーされたときに Atlassian アプリがデータを送信できます。Webhook を設定するときは、データを送信する URL を指定します。つまり、組織外に URL を設定すると、Atlassian Government 環境外でデータを共有することになります。Webhook を設定するときは、URL のセキュリティを評価するようにしてください。

  4. データ セキュリティ ポリシー
    データ セキュリティ ポリシーは、ユーザー、アプリ、組織外の人々が Confluence ページや Jira の課題などのコンテンツをどのように操作できるかを管理できるようにすることで、組織のデータを安全に保つために役立ちます。データがアプリから流出するリスクを軽減するため、データ セキュリティ ポリシーの作成をご検討ください。

組織内のアクティビティを監視する

Atlassian 組織内でユーザーと組織のアクティビティを追跡する方法がいくつかあります。

  1. 通常と異なるイベントに注意する
    監査ログを定期的に監視して問題を診断し、セキュリティ上重要なイベントに注意してください。ユーザーの詳細、アプリへのアクセス、管理対象アカウント、組織の設定に関連するイベントに注意してください。監査ログを見つける方法をご確認ください。

  2. 非アクティブなアカウントを削除または無効化する
    FedRAMP では、アカウントを無効化するまでのユーザーの非アクティブ期間を決定する必要があります。非アクティブなユーザー アカウントのリストを確認するには、管理対象アカウント外部ユーザー、およびアプリへのアクセス権を持っていたすべてのユーザーをエクスポートできます。また、組織 REST API を使用してユーザーの最終アクティブ日を取得することもできます。

    非アクティブなアカウントを削除または無効化するには、次の手順に従います。

    1. ユーザーが 1 つのアプリで非アクティブの場合、そのアプリへのアクセス権を削除します。
      これを行うには、ID プロバイダーの製品グループからユーザーを削除します。

    2. すべてのアプリで 90 日間非アクティブなユーザーがいる場合、そのアカウントを無効にします。
      これを行うには、ID プロバイダーでアトラシアンへの接続を無効にするか、割り当てを解除します。

Atlassian API の使用を監視する

Atlassian API を使用すると、Atlassian アプリやサービスにリモートでアクセスできます。API を使用したりアクセスできる人を制限すると良いでしょう。

  1. 管理者 API キーの使用を監査する
    組織の API キーを使用して、管理者 API との独自の統合を構築します。統合によって、タスクを自動化したり、他の警告システムや監視システムと統合したりすることができます。これらの統合を構築するときは、安全なシステムとのみデータを共有するようにしてください。API キーを定期的に監視し、以前の管理者がアクセスできたキーはすべて取り消してください。

  2. ユーザーの API トークンを取り消す
    ユーザーの API トークンはユーザーの Atlassian アカウントに関連付けられており、スクリプト認証などの Atlassian アプリ機能を実行できます。ユーザーは Atlassian アカウントからトークンを生成し、実行中のスクリプトにコピーします。組織管理者は、これらの API トークンを取り消して、ユーザーがこの方法でデータを共有できないようにすることができます。

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容データが環境外に出る仕組みを評価する組織内のアクティビティを監視するAtlassian API の使用を監視する
コミュニティ質問、ディスカッション、記事