組織を安全に保つには

業務のもっとも重要な作業を安全に行うため、ベスト プラクティスを活用して強固な基盤を作成しましょう。

Atlassian Cloud のランドスケープについて

Atlassian Cloud 製品全体でセキュリティを向上させるには、企業で使用している製品と、それらの製品に保存されている情報のリスク プロファイルを把握する必要があります。組織には Jira、Confluence、Bitbucket Cloud のインスタンスを個別に実行している複数のチームが存在する可能性があるため、Atlassian Cloud 製品の使用について各チームとの話し合いを持つことをお勧めします。そうすることで、これらのツールが適切なセキュリティ ポリシーに従っていることを確認できます。

組織を作成して一元的な視認性および管理性を実現する

アトラシアンのクラウド製品にアクセスする社内ユーザーを完全に可視化して管理できるように、アトラシアンは組織を作成しました。組織は新しいグローバル管理レイヤーであり、社内の Atlassian アカウントに対して適切な制御やセキュリティ対策を適用する方法を企業の管理者に提供するものです。組織は、Jira、Jira Service Management、Confluence、Bitbucket のクラウド バージョンにおけるすべてのユーザー アカウントを網羅します。

組織管理者は、企業ドメインを検証したり、admin.atlassian.com 内からすべての Atlassian アカウントおよび製品を管理したり、SSO や自動ユーザー プロビジョニング (Atlassian Access (まもなく Atlassian Guard Standard に名称変更) の機能) などのセキュリティ コントロールを社内ユーザー全体に適用したりできます。組織の詳細をご確認ください。

企業の情報のリスクレベルを反映するようにアトラシアン製品をセットアップする

組織を作成してセキュリティ ポリシーを適用する計画がない場合、特定のクラウド サイト、製品、またはリポジトリのみに機密情報を含めるよう、ご利用のアトラシアン インフラストラクチャをセットアップできます。さらに、そのような指定されたサイト、製品、またはリポジトリへのアクセス権を、限定されたユーザーのサブセットにのみ提供できます。

アイデンティティ プロバイダの活用

次のいずれか、または両方の方法でアイデンティティ プロバイダを活用できます。

アイデンティティ プロバイダを使用してシングル サインオンを設定する

シングル サインオン (SSO) はアカウント アクセスを管理するための優れたソリューションです。複数の SaaS アプリケーションにわたる一貫したログイン エクスペリエンスをユーザーに提供し、企業が使用するクラウド アプリケーション数およびログイン数の増加に伴うセキュリティ リスクを軽減します。ご利用の SSO プロバイダとアトラシアン製品とを連携することで、ジャストインタイム プロビジョニング、認証ポリシーの一元管理、およびユーザーが SSO プロバイダで非アクティブ化されたときの自動ロックアウトを実現できます。SSO にはいくつかのオプションがあります。

  • SAML による SSO - Atlassian Access (まもなく Atlassian Guard Standard に名称変更) サブスクリプションを利用すると、クラウド製品をお好みの ID プロバイダーと接続できます。

  • G Suite による SSO - G Suite との直接連携も提供しています。

自動ユーザー プロビジョニングおよびプロビジョニング解除をセットアップする

自動ユーザー プロビジョニングによって、アイデンティティ プロバイダと Atlassian Cloud 製品間の直接同期を実現できます。つまり、社員の入社時や、新しい部門への異動時などに、手動でユーザー アカウントを作成する必要がなくなります。最も重要なこととして、自動化されたプロビジョニング解除により、離職したユーザーのアクセス権を削除して、情報漏洩のリスクを軽減できます。ユーザーが企業や部門を離れたときにユーザー アカウントが自動的に削除されるため、請求情報をより管理できます。ユーザー プロビジョニングのオプションを以下に示します。

  • SCIM によるプロビジョニング - Atlassian Access (まもなく Atlassian Guard Standard に名称変更) サブスクリプションを利用すると、アトラシアンのクラウド ツールを ID プロバイダーと直接同期し、ユーザーやグループのプロビジョニングとプロビジョニング解除を自動化できます。

  • G Suite によるプロビジョニング - プロビジョニングのために Atlassian Cloud ツールと G Suite を同期できます。ただし、グループの分類はサイトに反映されません。

認証ポリシーによって、複数のユーザー セットに設定とセキュリティをテストします

組織に対するセキュリティの設定の一環として、以下の要素が必要です。

  • さまざまなユーザー セキュリティ ニーズに基づく複数の認証設定における柔軟性

  • 企業全体にリリースする前に、リスクを軽減するために機能 (SSO など) をテストする能力

複数の認証ポリシーを使用して、セキュリティ要件のテスト、構築、トラブルシューティングを実施することをお勧めします。

参考として、いくつかの例を示します。

  1. ポリシーからボット アカウントを除外する – 組織には、ボットまたはサービス アカウントがある場合があります。ボットとサービス アカウントでは、SSO の使用やパスワードのリセットは不要です。それらのアカウントには、パスワードの有効期限やシングル サインオンがないポリシーを設定することをお勧めします。

  2. 特定のユーザーのセットにポリシーを指定する: 組織のユーザーの一部は、機密データにアクセスし、他のユーザーよりもより厳しいセキュリティ ポリシーが必要となる場合があります。特定のユーザーのセットにポリシーを設定することをお勧めします。

  3. 認証設定をテストする: ユーザーのより小さいサブセットで SSO または 2 段階認証をテストして、組織間でロールアウトする前に正しく設定されていることを確認します。

  4. セキュリティ ポリシーをトラブルシューティングする: 複数の管理アカウント用に複数のポリシーを設定できるため、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。

    認証ポリシーの詳細をご確認ください。

優れたユーザー セキュリティ プロトコルを実装する

優れたセキュリティ プロトコルを保持するには、定期的なメンテナンスが必要です。

  • 組織のセキュリティ ポリシーを設定してログイン セキュリティを強化する

  • アクティビティ ログの定期的な監査

  • アカウントの定期的な監査と管理者アクセスの制限

  • チームとのセキュリティ ベスト プラクティスの共有

  • クラウド モバイル アプリのモバイル ポリシーを設定する

組織のセキュリティ ポリシーを設定してログイン セキュリティを強化する

シングル サインオンを使用しない場合、適切なユーザーが企業のツールにアクセスできるようにするためにはいくつかの方法を使用できます。

  • 個別の 2 段階認証 - 特に上位の権限を持つアカウントの場合、各ユーザーで自身の Atlassian アカウントに対して 2 段階認証を設定することをおすすめします。

  • 2 段階認証の強制 - Atlassian Access (まもなく Atlassian Guard Standard に名称変更) サブスクリプションを利用すると、組織全体に 2 段階認証を強制できます。

  • サードパーティ アカウントのログインをブロック - Google、Microsoft、Apple、および Slack アカウントからのログインをブロックするための認証ポリシーを設定できます。

  • パスワード ポリシー - パスワード強度の要件と有効期限を設定し、パスワードに関連する不正アクセスのリスクを軽減できます。

アクティビティ ログの定期的な監査

製品の監査ログを確認し、不審なアクティビティを検出したり、問題のトラブルシューティングを行ったりします。監査ログの記録の利用開始に役立つリソースを示します。

  • Confluence 監査ログ - Confluence で記録されるイベントおよびアクションと、設定オプションについて確認します。

  • Jira 監査ログ - Jira で記録されるイベントおよびアクションと、構成オプションについて確認します。

引き続き、ユーザー セキュリティ、製品アクセス、管理者権限などのイベントを含む、監査イベントの追加を予定しています。アトラシアンでは監査ログ機能の改善を常に検討しています。こちらのアンケートからぜひフィードバックをお寄せください。

アカウントの定期的な監査と管理者アクセスの制限

シングル サインオン、2 段階認証、パスワード ポリシーなどのセキュリティ強化手法を活用している場合も、データへのアクセス権を持つユーザーの一覧の定期的な監査や、アクセス権が不要なユーザーからのアクセス権の削除は重要です。

Atlassian Cloud 製品の管理者は、情報の表示や共有、アクセス権の付与のための特別な権限を持っています。管理者権限を必要とするユーザーにのみ管理者権限を付与するようにします。

チームとのセキュリティ ベスト プラクティスの共有

企業の情報の安全性を保つ責任は管理者のみが負うわけではありません。リスクや、シンプルなベスト プラクティスでそれを軽減する方法について、ユーザーと共有することをおすすめします。次のようなことをユーザーと共有することをおすすめします。

  • チケット、ページなどにクレジット カード番号を含めないようにユーザーに伝えます。

  • 顧客情報や他の機密情報を含むページやチケットへのアクセスを制限するようにユーザーに伝えます。

  • SSO やパスワード ポリシーを強制する計画がない場合、強固なパスワード (パスフレーズを含む) を使用し、それらは繰り返し使用せずに定期的に変更することを従業員に推奨します。

  • Atlassian アカウントで個別に 2 段階認証を有効化することをユーザーに推奨します。

  • Jira および Congluence の REST API のベーシック認証で API トークンを使用することをユーザーに伝えます。現在ベーシック認証にアカウント パスワードを使用しているユーザーは、今後 API トークンへの切り替えが必要となります。

優れたデータ保護プロトコルを実装する

優れたデータ保護プロトコルは、チームのミッション クリティカルな作業を保護するのに役立ちます。

クラウド アプリのモバイル ポリシーを設定する

クラウド モバイル アプリに対して、コピー & ペーストや画面録画の防止など、追加のセキュリティコントロールを設定することで、企業のセキュリティを強化できます。企業のニーズに応じて、次の 2 つの選択肢が用意されています。

データを分類する

データ分類は、組織内の情報を識別して分類するプロセスです。これは、多くの組織、特に政府やその他の規制規則を遵守する必要がある組織において、データ ガバナンス戦略の基盤となっています。

データ分類は、組織内外でデータを作成、保存、管理、移動、削除する方法に関するルールや想定を管理するのに役立ちます。

Atlassian Guard Premium が必要です。

組織のデータを保護する

データ セキュリティ ポリシーは、ユーザー、アプリ、組織外の人々が Confluence ページや Jira の課題などのコンテンツをどのように操作できるかを管理できるようにすることで、組織のデータを安全に保つために役立ちます。

データ セキュリティ ポリシーは、アトラシアン製品内のデータをどのように使用できるかを管理するためのコンテンツベースのアプローチを採用しています。これは、ユーザーやアプリに特定のアクションの実行を許可する特定の権限を付与または取り消すユーザーベースのアプローチとは異なります。

すべての製品ですべてのルールとカバレッジ タイプを利用できるわけではありません。一部のルールとカバレッジ タイプには Atlassian Access (まもなく Atlassian Guard Standard に名称変更) または Atlassian Guard Premium が必要です。

脅威の検出、調査、対応

アトラシアン組織内の不審なユーザー アクティビティや機密性が高いと思われるデータに関するアラートを受け取ります。 皆様と皆様のセキュリティ チームが調査し、その行動が本当に疑わしいかどうかを判断し、必要な是正措置をできるだけ早く講じるのを支援することがこれらのアラートの目的です。

Atlassian Guard Premium が必要です。

サイバーセキュリティとプライバシーに対するアトラシアンのアプローチ

セキュリティは当社にとって最優先の要素であり、アトラシアンの製品およびインフラストラクチャの基盤に組み込まれています。アトラシアンでは、サービスやデータを確実に保護するため、製品開発や内部の運用プロセスを継続的に改善しています。クラウド プラットフォーム内ではすべてのお客様のデータを平等に機密情報として扱い、企業データを管理する厳格な管理策を実装しています。

弊社の製品の使用にあたってセキュリティ上の懸念がある場合、サイバーセキュリティやプライバシーに対するアトラシアンのアプローチについて、Trust サイトをご確認ください。

その他のヘルプ