テレワークでもBacklogを安心して使おう！セキュリティについてよくあるご質問に回答します！

by Nulab

2020年4月24日

チュートリアル

コロナウイルスの影響でテレワークを実施する企業が増えたことで、自宅にオフィス同様の環境を整備している方も多いでしょう。特に、Backlogなど業務で使うツールのセキュリティ対策は急ぎ取り組まなければならない課題です。

そこで、Backlogをテレワークで安心・安全に使用するために、セキュリティについてよくいただくご質問をQ＆Aでお届けします！

質問：IPアドレスによるアクセス制限を解除してセキュリティが不安です。

回答：そもそも、Backlogはお客様毎に独自のURLを提供しており、これによりそのURLを知らない限りは、第三者がお客様のBacklogの環境にアクセスすることはできません。

BacklogはIP制限を実施せずに利用される場合を前提に、セキュリティ対策を実施しておりますが、IP制限を実施しつつテレワークに対応する場合は、VPNを通しての接続等をご検討いただければと思います。

IP制限を実施しない場合は、ネットワークを制限してセキュリティを高める方法がとれないため、Backlogでは「ユーザーがアクセスするときの「認証」を強化して、正規のユーザー以外が利用しづらくする」という方法でセキュリティーを強化できる機能を提供しております。

質問：認証の強度を高める機能はありますか？

回答：ヌーラボアカウントでは2段階認証と（SMS・認証アプリ・セキュリティキー）と生体認証（パスワードレス認証）を提供しています。

さらに、Backlogにはスペースにアクセスできるアカウントの2段階認証を必須化する設定が可能です。こちらを併用いただくと、2段階認証を設定してないアカウントはBacklogのスペースにアクセスできなくなるため、より安全が確保されます。

質問：2段階認証を設定すれば、IPアドレスのアクセス制限の代わりになりますか？

回答：2段階認証とIP制限は実施する目的が異なるため、2段階認証はIP制限の代わりとはなりません。

IP制限は、Backlogへの接続を信頼できるネットワークのみとすることで、外部ネットワークからの侵入を防ぐ目的です。2段階認証は、ログイン時の認証を強化することでアカウントの不正利用を防ぐことが目的です。

例えば、2段階認証を設定していてもIP制限をしていない場合、リスクがあるネットワークからのアクセスを許可するため、情報の漏洩や不正アクセスにつながる危険性が否定できません。

この2つは共存できるセキュリティ対策であり、どの対策を採用するかは、お客様が実施されている他のセキュリティ対策と合わせて、考えていただければと思います。

選択肢として、接続環境を厳密に制限したいということであれば、VPNを通しての接続などがございますので、こちらもぜひご検討いただければと思います。

質問：クラシックプランを利用している場合どうすればよいですか？

回答：誠に申し訳ございませんが、クラシックプランでBacklogをお使いの場合、スペースにアクセスできるアカウントの2段階認証を必須化する設定ができません。

スペース全体のセキュリティを高めるために、移行のメリットについての記事を参照いただき、いま一度新プランへの移行をご検討くださいませ。

📝コラム：Backlogのアクセス履歴を確認する方法「アクセスログ」

先述したとおり、IPアドレス制限や2段階認証はセキュリティ周りの問題が起きるのを未然に防ぐための対策です。
セキュリティ対策は、セキュリティの脅威となるリスクは回避をすることが最も安全ですが、場合によってはリスクを認識しながらもあえて受容することを選択する場合もあるでしょう。その場合、万が一に備えて取得しておきたいのが「アクセスログ」や「ログイン履歴」です。アクセスログでは記録から不審なアクセスが無いかチェックできます。
もちろん、IPアドレスによるアクセス制限・2段階認証・生体認証に加えてアクセスログを併用することで、より強固なセキュリティ対策とリスク管理が実現できます。（※なお、Backlogではプラチナプランがアクセスログを提供しています）