Atlassian製品は定期的にバージョンアップをしましょう – リックソフト公式ブログ（Ricksoft Blog）

HOME

2018/04/23
Atlassian製品は定期的にバージョンアップをしましょう

Author

大崎健吾Kengo Ohsaki

大崎健吾

こんにちは、リックソフトの大崎です。
花粉症もだいぶ落ち着いて、ゴールデンウイークが近づいてきたことを実感する日々ですが皆様いかがお過ごしでしょうか？
ゴールデンウイークは長期休暇という方もおられるかと思いますが、長期休暇前後は社内システムなどのセキュリティ対策が問題ないか再点検するタイミングでもあります。
ということで、今回はAtlassian製品のセキュリティ対策としての定期的な製品バージョンアップについてご紹介いたします。

定期的な製品バージョンアップ

＊参考情報

長期休暇に関する一般的な情報セキュリティ対策については「長期休暇における情報セキュリティ対策：IPA 独立行政法人情報処理推進機構」をご確認ください。

なぜ、セキュリティ対策として定期的な製品バージョンアップを推奨するのか？

まずAtlassian製品には、大きくAtlassian Cloudと自社のサーバーで運用するオンプレ版(Server/DataCenter)の大きく2つのパッケージがあります。
Atlassian Cloudでは毎日午前1時から午前3時のメンテナンス時間が設定されており（正確な時間はタイムゾーンの設定によって異なります）、その時間帯でセキュリティ対策、製品不具合の修正、機能追加などが日々対応されています。
そのためセキュリティ対策としてのバージョンアップに関して、利用者としては特に意識する必要性はありません。

一方、自社のサーバーで運用するオンプレ版については自動的にバージョンアップする仕組みなどはありませんので、基本的にシステム管理者がバージョンアップ作業をする必要があります。

＊RickCloudではオンプレ版を使用しており、基本的にはお客様からのバージョンアップのご依頼を受けてからの作業開始となります。

製品のEOL、製品不具合の修正、機能追加でバージョンアップするということはあると思いますが、セキュリティ対策でバージョンアップを意識されることは少ないかもしれません。

なぜ、セキュリティ対策として定期的なバージョンアップを推奨するかというとAtlassian製品のSecurity Bug Fix Policyが関係しています。

Atlassian製品には製品サポートのEOLポリシーである Atlassian Support End of Life Policy（製品EOLは基本的にfeature versionsのリリースから2年間）とは別にセキュリティバグに関するポリシーを定めている Security Bug Fix Policy があります。
Security Bug Fix Policy については、Atlassian社が管理するドキュメントのため詳しい説明はこのブログの中ではいたしませんが一部をかいつまんで説明すると…

何らかのセキュリティバグが見つかった場合（または第3者から報告があった場合）、まずAtlassian社でその重要度を判定し、その重要度が Critical（重大）と判定されたものはできる限り迅速に対応バージョンをリリースします。
Critical（重大）のセキュリティバグとして、リリースされる対応バージョンには決まりがあります。
- Jira、Confluence の Enterprise release version（Jira 7.6、Confluence 6.6）を利用している場合は、EOLまでバックポートしたバージョンがリリース（Jira 7.6.x、Confluence 6.6.x）される。
  - それ以外の feature versions（7.1、7.2 などの2桁目が変わる、新機能や大きな変更を含むバージョン）を利用している場合は、製品リリース日から6か月までバックポートしたバージョンがリリースされる。
- Bitbucket については feature versions（5.1、5.2 などの2桁目が変わる、新機能や大きな変更を含むバージョン）を利用している場合は、製品リリース日から6か月までバックポートしたバージョンがリリースされる。
- それ以外の製品（Bamboo、Fisheyeなど）については、最新バージョンと最新と一つ前feature versionsまでバックポートしたバージョンがリリースされる。

＊詳しい内容が知りたい場合はSecurity Bug Fix Policyを確認するか、サポートに確認をお願い致します。

＊リリースに関する用語の定義について

Atlassian製品リリースの用語定義、Enterprise release については以下参考ドキュメントをご確認ください。

Atlassian Bug Fixing Policy

Jira Software 及び Confluence 向け Enterprise release の提供開始について
- Introducing Enterprise releases for Jira Software and Confluence（原文）

Critical（重大）のセキュリティバグとしてパッチが提供されるわけではなく、対応されたバージョンが新しくリリースされるため、基本的にはCritical（重大）のセキュリティバグを対応するには製品バージョンアップを実施することが必要となります。

＊セキュリティバグによっては一部機能の無効化など回避策的な対応方法が紹介される場合があります。しかしながら、セキュリティバグの対応には基本的にバージョンアップが必要であるとの認識をしておいてください。

末尾が変わるバージョンアップであれば（例: Jira 7.6.3 → 7.6.4）基本的に新機能追加や機能変更がないため、バージョンアップを実施したとしても利用に大きな影響はないのですが
バージョンアップを定期的に実施していない場合、セキュリティバグ対応のためにfeature versionsが変わるバージョンアップ (例:Jira 7.2 → 7.6) が必要となり、新機能や大きな変更を含むため利用に多少の影響が出る場合があります。
影響が軽微な場合もあれば、大きな影響がある場合もありケースバイケースですが、Critical（重大）のセキュリティバグ対応は迅速な対応が必要となりますので、影響を詳しく調査、考慮するような猶予期間が取れない可能性もあります。
例えばバージョンアップしたらインタフェースが大きく変わり使用感が変わった、アドオンが有償になって利用できなくなった、ある機能が利用できなくなった…などの苦情をユーザーからは受ける可能性もあります。
予めバージョンアップの影響調査、検証を実施しておけば、ユーザーには事前に大まかな変換点をアナウンスできるので、そうした声を減らすこともできます。
そのため、セキュリティ対策を含めて安定した運用のためには定期的なバージョンアップを推奨しております。

どのくらいの間隔でバージョンアップすれば良いかというと、最低でも 1年毎のバージョンアップを推奨します。
もちろん、常に最新バージョンがリリースされるのを定期的に追いかけることができればよいのですが、Atlassian製品を利用している規模によってはそんな気軽にバージョンアップできないケースも多々あるかと思います。
そうした場合、Jira、Confluence については今年よりEnterprise release versionが提供開始されましたので（Jira Software 及び Confluence 向け Enterprise release の提供開始について）
安定した運用に重きを置く場合は、まずはこのバージョンへを利用（2018年はJira 7.6、Confluence 6.6）するのがよいかと思います。
Enterprise release versionはEOLまでバックポートされますのでセキュリティ対策としても安心できます。
またEnterprise release versionについては、最低でも1年に1つフィーチャーリリースから指定されるため、そのAtlassianの宣言に合わせて
バージョンアップ検証を実施して（検証期間としてはおよそ1ヵ月～3ヵ月）、定期的にバージョンアップをするといったスケジュールが組みやすくなります。

それ以外の Bitbucket、Bamboo、Fisheye については、Enterprise release versionの指定がないため、残念ながら定期的なバージョンアップしかありません。
Jira、Confluenceよりはサービス利用者は技術者に限定されるため、製品バージョンアップに関する理解など影響については寛容かもしれませんが
アプリケーションの特性上運用システムと直結している可能性もありますので、十分に検証のうえ実施をお願い致します。

最後にオンプレ環境の場合セキュリティ対策として、社内からしかシステムにアクセスできないなど接続を制限している環境も多いかと思いますが
社内に悪意を持ったユーザが存在しないとは限りませんので、定期的なバージョンアップは実施しておいて損はないかと思います
バージョンアップに関する注意点についてはまた別の機会で紹介できればと思います。

＊Critical（重大）なセキュリティバグの通知について

Critical（重大）なセキュリティバグが見つかった場合Security Advisory Publishing Policyに従って、利用者に対してメールでセキュリティバグに関する通知が届きます。
是非とも https://my.atlassian.com/email Alertsメールの設定をチェックしておいてください。
Critical（重大）なセキュリティバグについてはSecurity Advisoriesからも確認することができます。

バージョンアップ作業に不安を感じる時は…

弊社では数多くのバージョンアップ作業を手掛けてきておりますので、バージョンアップ時に起きる不具合やその対応方法のノウハウを持っております。
リックソフトに在籍する経験豊富なAtlassian製品の専任技術者がお客様に代わってバージョンアップ作業をすることもできますので、お気軽にご相談いただければと思います。

まるごと移行サービス

またご不明な点がございましたら、お気軽に弊社にお問合せください。

お問い合わせ

３０日の無料評価ライセンスもございますので、ぜひお試しください。

評価ライセンスのご依頼