[Jira] 監査ログのアクティビティログでデータアクセスを追跡して、コンプライアンスを満たす

※ 本記事は、Jonathon Yu による英語記事 「Track access to your data and meet compliance needs with user activity logging in audit logs」 を翻訳したものです。内容に相違が見受けられる場合、英文ページの内容を正とします。

皆さんこんにちは、クラウドセキュリティのプロダクトマネージャーのジョナサンです。このたび、Cloud Enterprise の提供に伴い、ユーザーアクティビティログの提供を開始することになりましたのでお知らせします。

ユーザーアクティビティログとは、監査ログイベントタイプの新しいカテゴリーで、既存の組織管理イベントに加えて、アトラシアンのクラウド製品内でのユーザーのアクティビティを追跡します。ユーザーのアクティビティには、ユーザーが Confluence ページを閲覧したり、Jira の課題を削除したりした場合などのイベントが含まれます。

コンプライアンスのニーズを満たすため、セキュリティ調査を実施するため、または単にアトラシアンのクラウド製品の問題をトラブルシューティングするために監査ログが必要な際に、新しいユーザーアクティビティログがどのように役立つのかをご紹介します。

誰が機密データにアクセスしているかを確認する

これまで、セキュリティインシデントにおけるデータの損失や漏洩を評価するには、アトラシアンのサポートまでお問い合わせいただく必要がありましたが、数ヶ月に及ぶ調査プロセスが必要となることが多く、また、必ずしも答えが得られるとは限りませんでした。

ユーザーのアクティビティログがあれば、影響の評価は、アトラシアンの管理インターフェイスの監査ログにアクセスし、不正に利用されたユーザーアカウントの行動や、特定のコンテンツを閲覧した全員の行動を調べるだけで可能となります。毎日使うものではないですが、必要な時に絶対に求められる重要なセキュリティニーズだと考えています。

監査ログ API を使用することで、これらのログをコールドストレージ用に取得したり、独自のセキュリティインテリジェンスソリューションで処理したりすることもできます。監査ログ API の詳細については、こちらをご覧ください。

https://developer.atlassian.com/cloud/admin/organization/rest/api-group-orgs/#api-orgs-orgid-events-get

コンプライアンスのニーズに対応

この1年間、お客様との会話を通じて、企業のコンプライアンスには、当社製品におけるユーザーの活動を包括的に記録することが必要であることを認識しています。組織によって作成されるアクティビティの種類は様々であり、同様に記録したいと考えるアクティビティも様々ですが、まずは最も一般的で重要なイベントから着手しています。コンプライアンスのチェックリストにおいて、Jira や Confluence のデータのユーザー閲覧を追跡する必要があった場合に対応可能となっています。

お客様のデータレジデンシー要件に合わせて UGC ストレージをカスタマイズ

お客様の中には、他のお客様とは異なるデータレジデンシーの必要性に迫られている場合もあるかと思います。そのため、UGC (ユーザー生成コンテンツ) を監査ログに保存するかどうかを柔軟に選択できるようにしたいと考えました。現時点では、場所を特定してユーザーアクティビティログを保存することにはまだ対応していませんので、課題 ID やページタイトルなどがお客様のデータレジデンシーの要件に含まれている場合には、これらを保存しないようにすることができます。データレジデンシーとその微妙な意味合いはかなり複雑なため、特にこの機能セットについて詳しく知りたい方は、こちらをご覧ください。

監査ログに関するドキュメント

データレジデンシーの要件は複雑になっているため、お客様の独自のニーズに合わせて調整できるよう、できる限りの柔軟性とカスタマイズ可能な制御を提供することを目的としています。

監査ログやユーザーアクティビティログの次の展開は？

アトラシアンにとって、クラウドへの道のりは例えるならばマラソンであり、スプリントではありません。また、セキュリティの可視化と監査ログへの継続的な投資も含まれています。過去数年間と同様に、監査ログに新しいイベントを追加していくことを計画しています。また、ユーザーアクティビティのログについても、将来的にはより多くのユーザーイベントタイプや追加の製品などをカバーする予定です。ページよりもスペースのインタラクションの方が重要であったり、Jira よりも Bitbucket の方がより厳しいログのニーズがあったりするのであれば、迅速にお客様のニーズを満たし、それを超えることを目指します。今後も、すべてのクラウド版で監査ログの改善を進めていく予定です。 

アイデアや提案がございましたら、ぜひコメントで教えてください。皆様からのご意見をお待ちしております。