セキュリティ設定を包括的に可視化 | Atlassian Cloud「セキュリティガイド」

2024年07月24日
セキュリティ設定を包括的に可視化 | Atlassian Cloud「セキュリティガイド」

Author

武田啓子 keiko.takeda

武田啓子</mt:Var>

--本ブログは、Jira CloudやConfluence Cloudの管理者向けの新機能情報です--

Jira Cloud, Confluence Cloudの管理者の方、自社環境に出入りするユーザーについて「会社のドメインを利用しているユーザーはしっかり管理したい」「それ以外のユーザーに対しても、適切なセキュリティ設定をしたいけど設定箇所がいまいち分からない」といったお困り事はありませんか。

手順書を検索したりサポートに問い合わせたりして設定を進めていくのは時間がかかり、結局後回しにしている方もいらっしゃるかもしれません。

Atlassian 管理には「セキュリティガイド」と呼ばれるページがあり、ガイドに沿ってセキュリティ設定を進めていく事ができるようになっています。
このたび Atlassian Cloud のセキュリティガイドがアップデートされましたので、この機会にブログでご紹介したいと思います。

本記事では

Atlassian Cloudのセキュリティガイドの概要
リリース時期

を紹介していきます！

Atlassian Cloudのセキュリティガイドの概要

Atlassian 管理の「セキュリティガイド」では、組織管理やユーザーとデータの保護に役立つ推奨事項を一つずつ説明しています。順番に確認しながら設定していく事ができるので、設定漏れを防止できます。
誰がどのように製品にアクセスし、どのようにログインしているかをきちんと把握することで、組織を包括的に可視化できます。

■Atlassian Cloudのセキュリティ関する推奨事項

ここでは、組織・ユーザーを管理する際に設定可能なセキュリティ項目が推奨事項として表示されます。

組織を管理する

別の管理者を追加する

組織管理者が1名しか設定されていないと、その人が不在時に誰も代わりに対応できません。組織管理者は最低2名の登録を推奨します。
設定すると、鉛筆アイコンが緑色のチェックアイコンに変更します。視覚的にも設定有無が確認しやすいのも特徴です。

ドメインを認証する / ユーザーアカウントの所有権を取得する

「ドメイン認証」と「アカウントの所有権取得」の2つの処理を実施することで、ユーザーアカウントの所有権を個々のユーザーから組織の管理者に移すことができます。組織管理者は、会社ドメインのアカウントを管理対象アカウントとして適切に管理する事ができるようになります。

組織管理者は、管理対象アカウントに対して以下のような変更を加えることができます。
- アカウント情報（表示名やメールアドレスなど）の閲覧と編集
- パスワードポリシーの設定
- アカウントの有効化、無効化、削除
- セッション期間の設定
所有権を譲渡したユーザーは、アカウントの削除やメールアドレスの変更ができなくなります。

こちらも併せて読みたい！

▶ Atlassianのクラウド環境のユーザ管理とは？〜アカウント要求とAtlassian Accessの利用について〜リックソフトブログ

認証ポリシーを更新する

Atlassian 製品利用時のセキュリティ条件を設定できます。会社のセキュリティルールとしてパスワード要件やセッションタイムアウトが決められている場合に利用します。
組織で利用可能な認証ポリシー設定

認証ポリシーを有効にするには、ドメイン認証が必要です。
組織に対して1つのポリシーを設定できます。複数の認証ポリシーを作成するには、Atlassian Guard の契約が必要です。
管理者による二段階認証の強制もAtlassian Guard の契約が必要です。未契約の場合、個々のユーザー側で設定が可能です。
Atlassian アカウントの 2 段階認証を管理する

組織のユーザーとデータを保護する（要・Atlassian Guard)

ここで設定する項目は、Atlassian Guard の契約が必要になります。

Atlassian Guard を契約することで、以下の設定ができます。

AzureADやOktaなどのIdP製品との統合
- SSO（SAML2.0）
- プロビジョニング（SCIM）
Atlassianが提供する２要素認証の強制

SSOやプロビジョニングで連携しておくと、新たにAtlassian アカウントを作成することなくシームレスにログインできるようになります。新入社員が入社したり社員が退職したりと、人の入れ替わりが頻繁に発生する場合は、プロビジョニング連携しておくことで、アカウント追加や削除などの手動作業やユーザーのアカウント管理が不要になり、管理者の作業負担を削減できます。

▶ 参考記事：【Atlassian CloudのID管理】新生Atlassian Guardをサマリーでご紹介－リックソフトブログー

これでセキュリティ設定は完了です。

実際にユーザーの利用が開始した後は、以下のページを参照して利用状況やログの追跡ができます。

インサイト

製品のアクセスや利用状況をグラフ表示します。各製品またはすべての製品の期間ごとの利用状況を追跡することができます。

これらのインサイトを確認することで、身に覚えのない外部ユーザーの洗い出しや、2段階認証の設定ができていないユーザーが多い場合は、2段階認証を必須とするポリシー設定に変更することもできるでしょう。
また、製品の利用状況ではアクティブユーザー数に応じた契約アカウント数の見直しの検討ができそうですね。

監査ログ

組織およびサイトで発生したアクティビティを追跡することができます。
ログは CSV ファイルでダウンロードが可能です。

ポリシーの有効化・無効化や API リクエストの実行も記録されます。

Jira / Confluence Cloud には標準で監査ログが搭載されており、以下のアクティビティが確認できます。

Jira のプロジェクト設定の変更
Confluence のスペース権限の変更
スプリント関連アクションの変更

監査ログの保管を必須としている会社は多いと思いますが、ユーザーの製品・サイトアクセスの変更やユーザーアクティビティ（作成、編集、表示、削除など）までログに記録する必要がある場合は、Enterprise プラン、またはAtlassian Guard の契約が必要になります。

参考記事：監査ログから組織アクティビティを追跡するーAtlassian Support Document-

監査ログを180日以上保管する必要がある場合は、無制限で保管できる「D-accel」もご検討ください。

▶ JiraとConfluenceの監査ログのユーザー作成のアクティビティ保管期間は180日間...自動で保存できませんか？ -リックソフトブログ -

ユーザーAPIトークン

他のシステムとも連携していて、APIトークンを利用して他システムから Jira 課題を作成・参照されている場合、APIトークンの名前、作成者、作成日、最終使用日などのアクティビティを追跡できます。長期間利用されていないトークンの取り消しや、身に覚えのないトークンが作成されていないかの確認もできます。

▶ 参考記事：【クラウド版でも！】JiraのREST API を使ってみよう -リックソフトブログ-

ヘルプを利用する

Atlassian Community では、世界中のAtlassian ユーザーからの質問・回答を見ることができます。私自身、Atlassian 製品を利用している中で設定手順が分からない、こんな設定はできるのだろうか、など少しでも疑問に思ったときは、まずはGoogle 検索（英語）をしています。検索すると、必ずと言っていいほどAtlassian Community がヒットして、毎回解決できる回答が含まれています。皆さんもぜひ見に行ってみてください。