検出される機密データ
コンテンツ スキャン検出ルールは、Confluence ページと Jira 課題に追加される機密性の高いデータを監視します。次のデータが監視されます。
認証情報
財務データ
アイデンティティ データ
また、 カスタム コンテンツ スキャン検出を作成して 、組織にとって機密性の高いデータを監視することもできます。
Who can do this? |
動作の仕組み
Jira 課題が作成または更新された際、もしくは Confluence ページが公開または更新された際に、更新されたコンテンツのスキャンが行われ、検出基準に一致するテキストが見つかった場合はアラートが生成されます。
アラートには、ページに関する情報、Confluence ページを公開したユーザー、または Jira 課題を更新したユーザー、推奨される調査と修復のステップが含まれます。
どのテキストがスキャンされますか?
スキャン対象:
Confluence ページまたはブログ投稿の本文とタイトル。
Jira 課題の要約、説明、フリー テキストを含むその他のフィールド。
スキャン対象外:
ページ、ブログ投稿、課題へのコメント。
ページ、ブログ投稿、課題の添付ファイル。
事前に入力された Jira フィールド (フィールド設定から値を取得するドロップダウン メニューなど)
ラベル、スペースの説明、テンプレート、スプリント名、プロジェクトの説明、フィールド設定など、その他のフリー テキスト エリア。
一部のサードパーティのアプリまたはマクロを介して入力されたテキスト。
コンテンツは、作成時と更新時にスキャンされます
新しいページ、ブログ投稿、課題の作成時、または既存のページの更新時にコンテンツがスキャンされます。
これは次のことを意味します。
つまり、既存の Confluence ページが更新された時点で機密データがすでに含まれていた場合は、ページの更新時にページ本文の全体がスキャンされるため、アラートが生成されます。
既存の Jira 課題が更新された時点で機密データがすでに含まれていた場合は、機密データを含むフィールドが更新された場合にのみ、アラートが生成されます。変更されていないフィールドに対するスキャンは行われません。
現時点では、(更新時以外に) 既存のコンテンツをすべてスキャンする方法はありません。
コンテンツを表示する権限
コンテンツ スキャンのアラートには、機密性の高いデータを含むページ、ブログ投稿、または課題の名前が含まれます。
ご自身がページ、ブログ投稿、または課題を表示する権限を持っている場合は、コンテンツのプレビューが表示されます。権限がない場合は、タイトルのみが表示されます。
Confluence 製品へのアクセス権を持つ管理者は、組織で必要に応じて管理者キーを使用してコンテンツを閲覧できます。
検出されたデータをアクターに帰属させる
アクターとは、Confluence ページを公開したユーザー、または Jira 課題を更新したユーザーを指します。つまり、Confluence の下書きに取り組んでいるユーザーが 2 名以上いる場合など、アクターが機密データを追加したユーザーではないケースもあります。
組織にどのように役立つか
機密と見なされる内容は、組織によって異なります。アトラシアンの検出機能は、クレジット カード番号、パスワード、米国の社会保障番号などの一般的な検出対象に幅広く対応しています。
スキャン対象コンテンツの包括的なリストを確認するには、[Detections (検出)] > [Content scanning (コンテンツ スキャン)] に移動します。
認証情報
認証情報には、認証と暗号化に使用される API トークンや秘密鍵などのデータが含まれます。 たとえば、Jira を継続的インテグレーション ツールに連携したい場合は、API トークンを使用できます。 API トークンや秘密鍵が侵害された場合、重要なセキュリティ対策を迂回してデータにアクセスしたり盗み出したりされる可能性があります。
例: あるソフトウェア チームのチーム リーダーが今月、複数の新しいチーム メンバーの研修を行います。 新しいチーム メンバーに短期間で戦力になってもらうために、チーム リーダーは CI/CD ツールの API キーをチームのプライベート スペースにある Confluence ページに追加します。 API キー形式のデータがページに追加された直後に、チームにアラートが届きます。 チームではアラートを調査してから、データの削除、ページ履歴の完全削除、API キーの取り消しをチーム リーダーに依頼できます。 |
財務データ
財務情報は組織で保持するデータのなかでも最も機密性が高いものの 1 つです。 このデータの取り扱いは法律で規制されている場合があり、データ インシデントに対する罰則は厳しい場合があります。 データが侵害された人物が個人情報の盗難の危険にさらされたり、盗まれた認証情報を使って行われた金銭的義務を負ったりする可能性もあります。
例: 大規模な顧客会議が間近に迫っており、総出で準備に取り掛かっています。 準備をスムーズに進めるために、イベント チームのマネージャーは自社のクレジット カードの情報を Confluence ページに追加しました。そのため、イベントに携わるスタッフは、予約やデポジットの支払いの際にクレジット カード情報を尋ねる必要がありません。 クレジット カードと思われる番号がページに追加された直後に、チームにアラートが届きます。 チームではアラートを調査し、カード番号を削除してページ履歴を完全に削除するようマネージャーに依頼できます。 |
アイデンティティ データ
個人データが含まれる場合がある身元データは、組織で保有する最も重要なデータの一部です。 その紛失は、情報が漏洩した個人に深刻な損害を与える可能性があります。
例: 自社の人事システムがアップグレード中であるため、数時間使用できません。 正式なシステムに入力できるようになるまで、チームのリクルーターは Confluence ページに新入社員の詳細を記録することにしました。 ページを自分たちのチームだけに制限していたので、データは安全だと確信しており、システムがオンラインに戻ったらすぐに削除する予定です。 社会保障番号 (SSN) と思われる番号がページに追加された直後に、チームにアラートが届きます。 チームではアラートを調査し、ページを削除してゴミ箱を空にするようリクルーターに依頼できます。 |
組織にかかわる機密データ
組織はすべて異なるため、各組織にとって機密であると考えられるデータも異なります。カスタム コンテンツ スキャン検出を作成して、ユーザーがページを公開または更新したときに、組織で機密と見なされる用語や語句を含むテキストが見つかったときにアラートを送信できます。
Example: Your company is working on acquiring another company, Black Bear Inc. The transaction has been given the codename Ursus. At the request of the Mergers and Acquisitions team, your security team creates a custom content scanning detection for variations on the codename and company name, and add a number of exclusions for the restricted pages the team are working in. Ursa と Bear という単語を含むページが公開されると、チームに警告が表示されます。 アラートを調査して、アクターが M&A チームのメンバーであることを確認します。 サイトは、ページが適切に制限されていることをアクターに確認し、予期される動作としてアラートをマークします。 |
既知の課題と制限事項
アクターの詳細を入手できない場合があります
Confluence では、アクターとはページまたはブログ投稿を公開したユーザーを指すため、ページの履歴をチェックして、そのバージョンに取り組んだユーザーが他にいないかを確認するとよいでしょう。
Jira 製品では、アラートにアクターの名前が表示されない場合があります。アクターが必ずしも最新の更新に取り組んだユーザーではないケースもあるため、課題の履歴をチェックして、機密データを含むフィールドを更新したユーザーを確認することをお勧めします。
一部の Jira 課題はスキャンできません
Jira 課題のうち、スキャンできないものがごく稀に存在します。これには次のような場合が含まれます。
リッチ テキスト フィールドに 64 KB を超えるデータが含まれているか、互換性のない形式のデータが含まれている場合
課題のストレージ サイズが 1 MB を超えている場合
課題に含まれるラベル、コメント、作業ログが多すぎる場合
この内容はお役に立ちましたか?