JiraとConfluence における適切な公開範囲設定について
Jira や Confluence では、公開範囲を設定することでチームメンバーに適切な情報へのアクセスを許可し、チームや組織でのコラボレーションを促進することができます。しかしこの公開設定を誤ると、意図しないメンバーに情報を公開してしまったり、インターネット上の不特定多数のユーザーに情報の閲覧を許可してしまったりと、重大なセキュリティインシデントにつながる恐れがあります。この記事では、意図しない情報の公開を避けるために、Jira と Confluenceの管理者が確認しておくべき公開設定について説明いたします。
Jira Cloud (Jira Software / Jira Service Management / Jira Work Management)
管理者が確認すべき設定箇所は ① ダッシュボード、② フィルター、③ プロジェクト設定 の3箇所となります。
① ダッシュボード
ダッシュボードのオーナーの変更:
https://<your_domain>.atlassian.net/secure/admin/dashboards/ViewSharedDashboards.jspa設定の変更:
https://<your_domain>.net/jira/dashboards > ダッシュボードの編集と共有アクセス: 意図せず「公開」となっていないかを確認する
「公開」に設定すると、Jira Cloud サイトにログインしていないユーザーとダッシュボードが共有されます。ダッシュボードを公開すると、インターネットで表示および検索できるようになる点にご注意ください。
共有ダッシュボードに関する詳細は以下のドキュメントをご参照ください。
② フィルター
フィルターのオーナーの変更:
https://<your_domain>.atlassian.net/secure/admin/filters/ViewSharedFilters.jspa設定の変更:
https://<your_domain>.net/jira/dashboards > 編集アクセス: 意図せず「公開」となっていないかを確認する
「公開」に設定すると、Jira Cloud サイトにログインしていないユーザーとフィルターが共有されます。フィルターを公開すると、インターネットで表示および検索できるようになる点にご注意ください。
共有フィルターに関する詳細は以下のドキュメントをご参照ください。
③ プロジェクト設定
各プロジェクトの プロジェクト設定 > 権限
許可先: グループ「公開」を指定していないかを確認する
プロジェクトへの匿名アクセスの許可に関する詳細は以下のドキュメントをご参照ください。
なお、Jira Cloudには ①と②でご案内したフィルターとダッシュボードの共有を無効にするグローバル設定があります。新規で作成するフィルターとダッシュボードが「公開」に設定されないようにするために、以下の手順を実行します。
画面右上の 歯車マーク > システム
画面左のサイドメニュー 一般設定 > 設定の編集
オプション > 公開の共有 を オフ に設定
上記手順は、新規で作成されるダッシュボードとフィルターが「公開」に設定されるのを防ぐためのものです。既に「公開」に設定されている既存のダッシュボードやフィルターのアクセスが変更されるものではない点にご注意ください。
ダッシュボードとフィルターのアクセス設定に関する詳細は以下のドキュメントをご参照ください。
Confluence Cloud
管理者が確認すべき設定箇所は ① グローバル権限、② スペース権限 の2箇所となります。
① グローバル権限
画面右上の 歯車マーク > グローバル権限 > 匿名アクセス タブ
https://<your_domain>.atlassian.net/wiki/admin/permissions/global?tab=anonymous匿名ユーザー にチェックが入っていないかを確認する
※1 「匿名」ユーザーは Confluence サイトにログインしていないユーザーを表します。
※2 運用により匿名アクセスを許可している場合、後述する ② スペース権限 の確認が必須となります。
② スペース権限
①にて匿名ユーザーに Confluence を使う 権限を付与している場合、各スペースにて匿名ユーザーに スペースの閲覧 権限を付与しているスペースは匿名アクセスを許可している状態となります。すなわち、意図せず匿名ユーザーに スペースの閲覧 権限を付与している場合、意図しない情報漏洩を引き起こすリスクがあります。確認方法は以下の通りです。
各スペースの スペース設定 > 権限 タブ
匿名アクセス セクションにて匿名ユーザーに対し意図しない権限を付与していないか (チェックが入っていないか) を確認する
匿名ユーザーへのアクセスに関する詳細は以下のドキュメントをご参照ください。
匿名アクセスを許可するような運用 (ナレッジベースとして顧客にドキュメントを公開する など) を行っていない限り、① グローバル権限 にて説明した方法で匿名アクセスを拒否しておくことをお勧めいたします。また、意図しない情報公開を回避するため、別のサイトを作成し、匿名アクセスを許可するサイトと拒否するサイトに分ける運用もご検討ください。
ナレッジベース設定
Jira Service Management と Confluence をご契約されているお客様にて、ナレッジベースをご利用の場合、ナレッジベーススペースのコンテンツがユーザーに公開される場合があります。
ナレッジベースの特性上、コンテンツは公開されることが前提に作成されるケースがほとんどですが、以下のような挙動となる点をあらためてご確認ください。
ナレッジベーススペースへのアクセスが [Confluence ユーザーのみ] に設定され、サービスプロジェクトと紐づいている場合
スペースが存在する Confluence サイトへのライセンスを持ち、かつ当該スペースへのアクセス権限あるユーザーのみ、コンテンツを閲覧できます。
ナレッジベーススペースへのアクセスが [すべてのログイン済みユーザー] に設定され、サービスプロジェクトと紐づいている場合
サービスプロジェクトのカスタマーは、カスタマーポータル上で 当該スペースのコンテンツにアクセスできます。また、サイトアクセスを持っているユーザーは、Confluence上で 当該スペースのコンテンツにアクセスできます。
詳細はドキュメント ナレッジ ベース記事へのアクセスを制限する をご参照ください。
IP許可リスト
Atlassian Cloud Premium と Enterprise では、製品へのアクセス元IPを制限する IP許可リスト を設定することができます。セキュリティ強化のため、ご利用をご検討ください。
上述した公開範囲の設定につきましては、定期的な見直しを管理者様にて実施いただきますよう、お願いいたします。公開範囲についてのご不明点がございましたらサポートまでお問い合わせください。