組織を安全に保つには

業務のもっとも重要な作業を安全に行うため、ベスト プラクティスを活用して強固な基盤を作成しましょう。

Atlassian Cloud のランドスケープについて

Atlassian Cloud 製品全体でセキュリティを向上させるには、企業で使用している製品と、それらの製品に保存されている情報のリスク プロファイルを把握する必要があります。組織には Jira、Confluence、Bitbucket Cloud のインスタンスを個別に実行している複数のチームが存在する可能性があるため、Atlassian Cloud 製品の使用について各チームとの話し合いを持つことをお勧めします。そうすることで、これらのツールが適切なセキュリティ ポリシーに従っていることを確認できます。

組織を作成して一元的な視認性および管理性を実現する

Atlassian Cloud 製品にアクセスする社内ユーザーについての完全な視認性および制御性を提供するため、アトラシアンは組織を作成しました。組織は新しいグローバル管理レイヤーであり、社内の Atlassian アカウントに対して適切な制御やセキュリティ対策を適用する方法を企業の管理者に提供します。組織は、Jira Software、Jira Work Management、Jira Service Management、Confluence、Bitbucket のクラウド バージョンにおけるすべてのユーザー アカウントを網羅します。

組織管理者は、企業ドメインの検証、admin.atlassian.com からのすべての Atlassian アカウントおよび製品の管理、SSO や自動ユーザー・プロビジョニング（Atlassian Access の機能）などのセキュリティ・コントロールの社内ユーザー全体への適用を行えます。組織の詳細をご確認ください。

企業の情報のリスクレベルを反映するようにアトラシアン製品をセットアップする

組織を作成してセキュリティ ポリシーを適用する計画がない場合、特定のクラウド サイト、製品、またはリポジトリのみに機密情報を含めるよう、ご利用のアトラシアン インフラストラクチャをセットアップできます。さらに、そのような指定されたサイト、製品、またはリポジトリへのアクセス権を、限定されたユーザーのサブセットにのみ提供できます。

アイデンティティ プロバイダの活用

次のいずれか、または両方の方法でアイデンティティ プロバイダを活用できます。

• アイデンティティ プロバイダを使用してシングル サインオンを設定する

• 自動ユーザー プロビジョニングおよびプロビジョニング解除をセットアップする

アイデンティティ プロバイダを使用してシングル サインオンを設定する

シングル サインオン (SSO) はアカウント アクセスを管理するための優れたソリューションです。複数の SaaS アプリケーションにわたる一貫したログイン エクスペリエンスをユーザーに提供し、企業が使用するクラウド アプリケーション数およびログイン数の増加に伴うセキュリティ リスクを軽減します。ご利用の SSO プロバイダとアトラシアン製品とを連携することで、ジャストインタイム プロビジョニング、認証ポリシーの一元管理、およびユーザーが SSO プロバイダで非アクティブ化されたときの自動ロックアウトを実現できます。SSO にはいくつかのオプションがあります。

• SAML による SSO - Atlassian Access サブスクリプションがあれば、クラウド製品をお好みの ID プロバイダーと接続できます。

• G Suite による SSO - G Suite との直接連携も提供しています。

自動ユーザー プロビジョニングおよびプロビジョニング解除をセットアップする

自動ユーザー プロビジョニングによって、アイデンティティ プロバイダと Atlassian Cloud 製品間の直接同期を実現できます。つまり、社員の入社時や、新しい部門への異動時などに、手動でユーザー アカウントを作成する必要がなくなります。最も重要なこととして、自動化されたプロビジョニング解除により、離職したユーザーのアクセス権を削除して、情報漏洩のリスクを軽減できます。ユーザーが企業や部門を離れたときにユーザー アカウントが自動的に削除されるため、請求情報をより管理できます。ユーザー プロビジョニングのオプションを以下に示します。

• SCIM によるプロビジョニング - Atlassian Access サブスクリプションを利用して、アトラシアンのクラウド製品を ID プロバイダーと直接同期し、ユーザーやグループのプロビジョニングとプロビジョニング解除を自動化できます。

• G Suite によるプロビジョニング - プロビジョニングのために Atlassian Cloud ツールと G Suite を同期できます。ただし、グループの分類はサイトに反映されません。

認証ポリシーによって、複数のユーザー セットに設定とセキュリティをテストします

組織に対するセキュリティの設定の一環として、以下の要素が必要です。

• さまざまなユーザー セキュリティ ニーズに基づく複数の認証設定における柔軟性

• 企業全体にリリースする前に、リスクを軽減するために機能 (SSO など) をテストする能力

複数の認証ポリシーを使用して、セキュリティ要件のテスト、構築、トラブルシューティングを実施することをお勧めします。

参考として、いくつかの例を示します。

1. ポリシーからボット アカウントを除外する – 組織には、ボットまたはサービス アカウントがある場合があります。ボットとサービス アカウントでは、SSO の使用やパスワードのリセットは不要です。それらのアカウントには、パスワードの有効期限やシングル サインオンがないポリシーを設定することをお勧めします。

2. 特定のユーザーのセットにポリシーを指定する: 組織のユーザーの一部は、機密データにアクセスし、他のユーザーよりもより厳しいセキュリティ ポリシーが必要となる場合があります。特定のユーザーのセットにポリシーを設定することをお勧めします。

3. 認証設定をテストする: ユーザーのより小さいサブセットで SSO または 2 段階認証をテストして、組織間でロールアウトする前に正しく設定されていることを確認します。

4. セキュリティ ポリシーをトラブルシューティングする: 複数の管理アカウント用に複数のポリシーを設定できるため、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。
   
   認証ポリシーの詳細をご確認ください。

セキュリティ プロトコルの実装

優れたセキュリティ プロトコルを保持するには、定期的なメンテナンスが必要です。

• 組織のセキュリティ ポリシーを設定してログイン セキュリティを強化する

• アクティビティ ログの定期的な監査

• アカウントの定期的な監査と管理者アクセスの制限

• チームとのセキュリティ ベスト プラクティスの共有

• クラウド モバイル アプリのモバイル ポリシーを設定する

組織のセキュリティ ポリシーを設定してログイン セキュリティを強化する

シングル サインオンを使用しない場合、適切なユーザーが企業のツールにアクセスできるようにするためにはいくつかの方法を使用できます。

• 個別の 2 段階認証 - 特に上位の権限を持つアカウントの場合、各ユーザーで自身の Atlassian アカウントに対して 2 段階認証を設定することをおすすめします。

• 2 段階認証の強制 - Atlassian Access のサブスクリプションでは、組織全体に 2 段階認証を強制できます。

• サードパーティ アカウントのログインをブロック - Google、Microsoft、Apple、および Slack アカウントからのログインをブロックするための認証ポリシーを設定できます。

• パスワード ポリシー - パスワード強度の要件と有効期限を設定し、パスワードに関連する不正アクセスのリスクを軽減できます。

アクティビティ ログの定期的な監査

製品の監査ログを確認し、不審なアクティビティを検出したり、問題のトラブルシューティングを行ったりします。監査ログの記録の利用開始に役立つリソースを示します。

• Confluence 監査ログ - Confluence で記録されるイベントおよびアクションと、設定オプションについて確認します。

• Jira 監査ログ - Jira で記録されるイベントおよびアクションと、構成オプションについて確認します。

引き続き、ユーザー セキュリティ、製品アクセス、管理者権限などのイベントを含む、監査イベントの追加を予定しています。アトラシアンでは監査ログ機能の改善を常に検討しています。こちらのアンケートからぜひフィードバックをお寄せください。

アカウントの定期的な監査と管理者アクセスの制限

シングル サインオン、2 段階認証、パスワード ポリシーなどのセキュリティ強化手法を活用している場合も、データへのアクセス権を持つユーザーの一覧の定期的な監査や、アクセス権が不要なユーザーからのアクセス権の削除は重要です。

Atlassian Cloud 製品の管理者は、情報の表示や共有、アクセス権の付与のための特別な権限を持っています。管理者権限を必要とするユーザーにのみ管理者権限を付与するようにします。

チームとのセキュリティ ベスト プラクティスの共有

企業の情報の安全性を保つ責任は管理者のみが負うわけではありません。リスクや、シンプルなベスト プラクティスでそれを軽減する方法について、ユーザーと共有することをおすすめします。次のようなことをユーザーと共有することをおすすめします。

• チケット、ページなどにクレジット カード番号を含めないようにユーザーに伝えます。

• 顧客情報や他の機密情報を含むページやチケットへのアクセスを制限するようにユーザーに伝えます。

• SSO やパスワード ポリシーを強制する計画がない場合、強固なパスワード (パスフレーズを含む) を使用し、それらは繰り返し使用せずに定期的に変更することを従業員に推奨します。

• Atlassian アカウントで個別に 2 段階認証を有効化することをユーザーに推奨します。

• Jira および Congluence の REST API のベーシック認証で API トークンを使用することをユーザーに伝えます。現在ベーシック認証にアカウント パスワードを使用しているユーザーは、今後 API トークンへの切り替えが必要となります。

クラウド アプリのモバイル ポリシーを設定する

クラウド モバイル アプリに対して、コピー & ペーストや画面録画の防止など、追加のセキュリティコントロールを設定することで、企業のセキュリティを強化できます。企業のニーズに応じて、次の 2 つの選択肢が用意されています。

• モバイル（MAM）ポリシーの設定 - Atlassian Access サブスクリプションを利用して、Jira および Confluence Cloud モバイル・アプリにセキュリティ・コントロールを適用できます。

• 既存のモバイル デバイス管理 (MDM) ソリューションを設定する - アトラシアンは、Microsoft Intune、VMware、MobileIron、JAMF など、ほとんどの MDM ソリューションでサポートされている AppConfig 標準を使用しています。

セキュリティは当社にとって最優先の要素であり、アトラシアンの製品およびインフラストラクチャの基盤に組み込まれています。アトラシアンでは、サービスやデータを確実に保護するため、製品開発や内部の運用プロセスを継続的に改善しています。クラウド プラットフォーム内ではすべてのお客様のデータを平等に機密情報として扱い、企業データを管理する厳格な管理策を実装しています。

弊社の製品の使用にあたってセキュリティ上の懸念がある場合、サイバーセキュリティやプライバシーに対するアトラシアンのアプローチについて、Trust サイトをご確認ください。