JiraとConfluenceの監査ログのユーザー作成のアクティビティ保管期間は180日間...自動で保存できませんか？

2024年02月13日（2025年10月21日更新）

堀田実希

堀田実希 hotta

りっくま

りっくまの会社はEnterpriseプランのJiraとConfluenceを導入しているクマ。

ユーザアクティビティ関連のログ（ページ・課題の閲覧削除など）の保存期間は180日らしいクマけど、りっくまの会社では、監査ログの保管期間は5年と決められているクマ。

アトラシアンクラウドでも標準機能の監査ログのCSVでのエクスポート機能があるクマけど、本文であるdata部分がJSON形式だからこのままだと読みづらいと思ってるっクマね～～。。あの作業を定期的にやるって結構面倒クマ....なんかいい方法ないっクマね？

＜監査ログの"ユーザー作成のアクティビティ"とは＞

Enterprise プランは Premium の機能に加えて、監査ログから Jira/Confluence での実際のアクティビティ（作成・編集・表示・削除）のログを確認できます。

<おさらい>監査ログとは？なぜ保持する必要がある？

そもそもなぜ監査ログを保持する必要があるのでしょうか。

企業・組織体の情報システムを運用するにあたり、情報セキュリティ（情報資産の完全性・可用性・機密性）に関するさまざまなリスクが潜んでいます。企業はそれに対応しているということを証明しておくと、顧客からの信頼度向上・説明責任を果たすことができます。

情報セキュリティマネジメントシステム(ISMS: Information Security Management System）を活用すると、第三者機関による審査を経てISMS認証を取することで、情報セキュリティを適切に管理できていることの客観的な証ができます。りっくまさんの会社も、リックソフトも、ISMSも取得していますね。

そのISMSが定めている具体的な管理策において、ログの取得、保護、レビューが求められています。

■ISMS取得してないならログの取得は不要？

では、ISMSを取得していないからと言ってログの取得・保管は不要なのか、というとそういうわけではありません。

トラブル発生時は、原因特定等のために監査証跡（システムの事象発生から最終結果にいたるまでの一連の流れを、時系列に沿った形で追跡できる記録）を確認します。その時にやっぱり必要になるのが、監査ログというわけです。トラブル時のあらゆるステークホルダーへの説明責任のために、監査ログの保管は必要になります。

どのツールやシステムのログをどの程度保管するかは企業によって企業にとって異なります。社内の監査において、JiraやConfluenceに関しては、誰かが不正にユーザーのアクセス権を変えて、本来閲覧制限をしている情報が見えていないか・公開範囲が適切かどうか・Confluence上にある機密情報を流出させていないかなども確認しています。