[Trust & Security] 監査ログの範囲をJira/Confluenceの権限とBitbucketに拡大します

※本記事は、Jonathon Yuが2022年12月9日に公開した英語記事「Expanding audit log coverage to Jira/Confluence permissions and Bitbucket」を翻訳したものです。内容に相違が見受けられる場合、英文ページの内容を正とします。

こんにちは。

当社ではAtlassian Cloudで組織の監査ログをローンチして以来、ログ機能や、組織の管理操作およびユーザーアクティビティを横断した網羅範囲の拡大に反復的に取り組んで参りました。

これまで、アトラシアンのクラウド監査ログでは次のようなイベントを網羅してきました (これは網羅的な一覧ではありません)。

• 組織管理

• 組織のセキュリティ機能や認証ポリシー

• ユーザーおよびグループ管理

• 課題でのJiraユーザーアクティビティ

• ページでのConfluenceユーザーアクティビティ

当社では新しい監査機能やアクティビティタイプのローンチや検討を引き続き行っていますが、多くのお客様とのやり取りで共有していただいた内容も常に念頭に置いています。お客様におけるセキュリティやコンプライアンス要件の実現をお手伝いするにあたり、監査ログの範囲や機能についてのお客様の要件を理解することは非常に重要です。

このたび、監査ログの範囲を3つのクラウド製品にわたる100以上のイベントタイプに拡大しました。これらの新しいアクティビティログは、Atlassian AccessとCloud Enterpriseエディションで利用していただけます。

組織の監査ログに今年追加される内容は次のとおりです。

• Jira Software Cloudでの権限変更のイベント

• Confluence Cloudでの権限変更のイベント

• Bitbucket Cloudでの管理およびセキュリティイベント

JiraとConfluenceでの権限変更を監視

機密データへのアクセスを管理するうえで権限制御は必須ツールであり、JiraやConfluenceのきめ細やかかつカスタマイズ性に優れた権限群は、この目標を実現するための優れた機能を提供します。しかしながら、権限設定の変更や権限の設定ミスは、データ漏えいや意図せぬ開示の大きな要因になっています。このため、権限変更を記録して監査ログの範囲に含めるのは非常に重要なセキュリティ要件であり、多くのお客様に同意いただけることと思います。

本日より、JiraとConfluence Cloudの両方で権限変更が完全に監査ログの範囲に含まれるようになります。「完全に」とは言葉だけのものではありません。権限の監査ログのための新しい記録範囲には、ロールの更新、グローバル権限、ユーザーによる個々のConfluenceページのプライバシー設定の変更などの、あらゆる種類の権限変更が含まれます。

管理者がJiraボードやConfluenceのスペースの権限を誤って構成してインターネットに公開してしまう恐ろしい話を聞いたことのある方は多いかと思います。新しい権限ログでは、発生した出来事を把握し、問題を遡って追跡することができます。

これらのイベントはまずはCloud Enterpriseのお客様、次はAtlassian Accessのお客様にロールアウトされます。ユーザーが行ったアクティビティは引き続きCloud Enterpriseエディションでのみ提供されます。

監査ログで追跡される権限イベントの詳細を当社のドキュメントでご確認ください。

Jira Cloudの権限変更のログ

権限変更そのものや、Jira内での権限変更につながるアクションを完全に網羅するため、次のイベントカテゴリを追加しています。

• Jiraのグローバル権限 (例: エンジニアリンググループからJira管理権限を削除)

• Jiraのプロジェクト権限 (例: 権限スキームの作成)

• Jiraの課題セキュリティ権限 (例: Jiraプロジェクトに課題セキュリティスキームを割り当て)

• Jiraのプロジェクトロール (例: プロジェクトロールの追加)

Confluence Cloudの権限変更のログ

権限変更そのものや、Confluence内での権限変更につながるアクションを完全に網羅するため、次のイベントカテゴリを追加しています。

• Confluenceのグローバル権限 (例: デフォルトグループからスペース作成権限を削除)

• Confluenceのスペース権限 (例: 特定のスペースを財務グループにのみ開示)

• Confluenceのページ制限 (例: 制限つきページにユーザーを追加)

Bitbucket Cloudの管理およびセキュリティイベントを確認

管理者はBitbucketワークスペースをアトラシアン組織に連携し、Bitbucket Cloudの中央での監査ログを実現できます。

組織の監査ログでは、Bitbucketのワークスペース設定やユーザーセキュリティについての多くのアクティビティが網羅されます。管理者はBitbucket内での不審な挙動を見つけやすくなります。

Atlassian Accessで提供される新しいBitbucketの監査ログの詳細をご確認ください。

監査ログの確認場所

これまでと同様、新しい監査イベントはアトラシアンの管理ユーザーインターフェイス (admin.atlassian.com) やREST API経由で取得できるため、セキュリティ監視を自動化し、イベントを外部のツールやコールドストレージに転送できます。

今後について

前回、アトラシアンのクラウド製品の監査ログへの継続的な投資をお約束しました。今年の改善内容の量が、お客様のセキュリティやコンプライアンス要件に向けた当社のコミットメントを表すものになっておりましたら幸いです。2022年は昨年と比較すると、7倍以上の新しい監査イベントタイプを提供することになります。

2023年には引き続き網羅範囲の拡大に取り組みますが、幅広いイベントをを提供できるようになったことを受け、私たちが作っている膨大な量の監査イベントとみなさまとのインタラクションの手段を改善することにも目を向けます。

監査ログの操作は藁山から針を見つけるような作業になることがあり、今回の更新を受け、藁山が非常に大きくなる可能性ができました。これを解決するため、ストリーミングや監査ログへのリアルタイムのAPIアクセス、UIの検索および絞り込みエクスペリエンスの完全な再構築を予定しています。

当社の取り組みはお客様のニーズに基づいています。フィードバックやご質問をお持ちでしたら以下でお知らせください。他のコミュニティメンバーによりコメントや質問もぜひご確認いただき、興味をお持ちのものがあればそれに投票してください。