Jira/Confluence CloudのIPアドレス制限設定: 固定IPで実現するアクセスコントロール

Jira・Confluenceを安全に使うためのアクセス制御とは？

企業やチームでJiraやConfluence Cloudを利用する際、認証だけでなく「どこからアクセスできるか」を制御することがセキュリティ強化の鍵となります。

クラウド上の業務データに誰でも（またはどこからでも）アクセス可能では、万一パスワードが漏洩した場合に不正侵入を許してしまう恐れがあります。

そこで有効なのがIPアドレス制限、いわゆるIP許可リスト（IPホワイトリスト）の活用です。

例えばAtlassianはPremiumプランにおいてIP allowlisting（IP許可リスト）機能を提供しており、「信頼できるIPレンジにサイトアクセスを限定することでセキュリティを強化できる」と説明しています。

この機能を使えば、指定したIPアドレスからのみJira/Confluenceにアクセス可能とすることが可能です。

つまり社内ネットワークやVPN経由の接続に限定し、それ以外のIPからのアクセスを遮断することで、安全な利用環境を実現できます。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

Atlassian Accessで実現するIPアドレス制限の仕組み（SAML SSO前提）

Atlassian製品のクラウド版ではAtlassian Accessと呼ばれる統合セキュリティ管理サービスを通じて高度なアクセス制御を行えます。

Atlassian Accessを契約すると、組織全体でシングルサインオン（SAML SSO）の導入やユーザー管理の一元化、多要素認証の強制などが可能になり、セキュリティポリシーを細かく設定できます。

その中で重要な機能の一つがIPアドレス制限（IP allowlist）です。IP allowlistを適用すると、管理者が登録した特定のIPアドレスからしかJiraやConfluenceのコンテンツにアクセスできなくなります。

許可リストにないIPからこれらのクラウド製品にアクセスしようとするとどうなるでしょうか？　その場合、アクセスしたユーザーには「自分にアクセス権限がない（IPが許可されていない）」旨のメッセージが表示され、またAPI経由でのアクセスも拒否されます。

この仕組みにより、万が一ユーザー資格情報が漏えいした場合でも、攻撃者が許可されていないネットワークからではシステムに入れないため、不正アクセスのリスクを大幅に低減できます。

なお、Atlassian Accessで組織のSSO認証を構成している場合、IdP（Identity Provider）側でIPアドレス条件付きのアクセスポリシーを設定することも可能です。

多くの企業では社内ユーザーにVPN経由での接続を義務付けたり、IdP側で「特定IP範囲外からのログイン禁止」といったポリシーを組み合わせています。

AtlassianのIP許可リスト機能とこうしたSSOポリシーを併用することで、ユーザーの身元確認（アイデンティティ）＋接続元ネットワーク確認（IP制限）の二重で堅牢なセキュリティを実現できるのです。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

制限設定の流れ（Atlassian組織管理画面・SSOポリシー）

実際にJira/Confluence CloudでIPアドレス制限を設定する手順を見てみましょう。 ※あらかじめ組織管理者権限が必要です。またJira/Confluenceが対応プランであることを確認してください（後述）。

Atlassian組織の管理画面にアクセス管理者はまず admin.atlassian.com の組織管理コンソールにアクセスし、自身のOrganizationを選択します。
セキュリティ設定に移動左側メニューの「Security (セキュリティ)」から「IP allowlists (IP許可リスト)」の項目を開きます。
新しい許可リストの作成画面上部の「Create allowlist」（許可リストを作成）ボタンをクリックします。名前（任意のラベル）を入力し、制限を適用する対象アプリケーション（Jira SoftwareやConfluenceなど該当のクラウド製品）を選択します。複数の製品にまとめて同じ許可リストを適用することも可能です。
許可するIPアドレスの登録続いて、アクセスを許可したいIPアドレスまたはネットワーク範囲を入力します。最大500個のIPアドレスもしくはネットワークブロックを登録でき、範囲指定にはCIDR表記が利用可能です。たとえば単一IPなら203.0.113.5、IPレンジなら203.0.113.0/24のように記述します。会社のグローバルIPやVPNサーバーのIPをここに登録するとよいでしょう。
有効化タイミングの指定設定を保存する前に、すぐにこの許可リストを有効化するか、あるいは後で有効化するかを選択できます（「後で」を選んだ場合、許可リストは作成されますがまだ制限は働きません）。準備ができたらCreate（作成）を実行し、リストを保存します。
IP制限の確認と適用許可リストをオンにすると、対象アプリへのアクセスは指定IPからのみに制限されます。自組織のユーザーが社外の許可外IPからアクセスした場合、前述のようにブロックされることを確認してください。万一自分自身がロックアウトしてしまった場合でも、Atlassian組織の管理サイト（admin.atlassian.com）自体はIP制限の対象外なので、そちらには入れる点は安心です（管理者はそこで許可リストの編集や一時無効化が可能です）。

以上が基本的な流れです。

設定後は、必要に応じて許可リストにIPを追加したり削除したりして運用します。

また、組織でSAML SSOを利用している場合、Atlassian Accessの「Authentication Policies（認証ポリシー）」で全ユーザーに対しSSO経由ログインを強制しておくと、従業員は必ず組織ポリシー下で認証されるようになります。

これにより、Atlassian Cloudへのアクセスは常に社内規定のネットワーク経由＋社内認証経由となり、よりセキュアな運用が可能です。

制限に必要な条件とライセンス（Atlassian Access契約など）

IPアドレス制限（IP allowlisting）を利用するには、いくつか満たすべき条件があります。

まず前提として対象のAtlassianクラウド製品がPremiumプラン以上であることが必要です。

この機能はJira Software / ConfluenceなどのPremiumまたはEnterpriseプランで提供されており、StandardやFreeプランでは利用できません。

また、組織全体のセキュリティ管理にはAtlassian Accessの契約が推奨されます。

Atlassian Accessは組織単位で提供されるアドオンサービスで、ユーザーごとの追加課金によりSAML SSOやセキュリティポリシー管理を可能にします。

IP制限自体は上記Premiumプランに紐づく機能ですが、組織管理コンソールやSSO連携を使うためにはAtlassian Access契約とドメインの確認（ドメイン検証によるOrganizationの所有権確立）が必要となります。

まとめると、「Jira/Confluence Cloud Premiumプラン + Atlassian Access契約（組織管理権限）」がIPアドレス制限を実現するためのライセンス構成になります。

例えば、従業員50名でJiraとConfluenceを利用している組織の場合、全ユーザー分のPremiumライセンスへのアップグレードと、同人数分のAtlassian Access契約が必要です（Atlassian Accessは月額約$3/ユーザー程度の追加コストです）。

導入にはコスト増となりますが、クラウドサービス上で企業データを扱うリスクを考えれば、セキュリティ投資として検討する価値があります。

なおAtlassianはPremiumプランやAccessのトライアルも提供しているため、まずは試験的に有効化して効果や運用方法を確認することも可能です。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

なぜ固定IPが必要なのか？IP制限と動的IPの相性問題

IPアドレス制限を導入する際によく直面する課題が、利用者側のIPアドレスが固定ではない場合どうするかという点です。

自宅やモバイル回線からアクセスするユーザーの多くは、ISPから動的に割り当てられるIPアドレスを使用しています。

動的IP環境では接続のたびにIPが変わる可能性があるため、せっかく許可リストを設定してもIPが変わるたびに都度管理者がリストを更新する必要が出てきます。

これは現実的ではありませんし、更新漏れが起こればユーザーが業務ツールに入れなくなるトラブルにも繋がりかねません。

また、動的IPに対応しようとして許可リストに広範なIPレンジ（例：プロバイダが使用する/16全体など）を登録してしまっては、本来の「限られた範囲だけ許可する」という趣旨が薄れセキュリティ強度が下がってしまいます。

つまり、IP制限機能を真に活かすにはアクセス元IPをできるだけ固定化することが望ましいのです。

社内ネットワークであれば、従来プロバイダーの固定IPサービスを契約して社外からのアクセスをそのIPに限定するといった運用が行われてきました。

しかしリモートワークが普及した現在、各自が社外（自宅や出先）からクラウドサービスにアクセスするケースが増え、個々の利用者のアクセス元を特定のIPにまとめることが課題となっています。

そこで有効なのがVPN経由で固定IPアドレスを付与する方法です。社員やチームメンバーが自宅・カフェなどどこから接続する場合でも、一旦VPNで固定IPを割り当ててからアクセスさせれば、システム側から見れば常に決まったIPからリクエストが来ることになります。

この固定IPをIP許可リストに登録しておけば、それ以外からの接続は全て遮断できます。

実際、固定IPアドレスを用いてアクセス元を制限し、許可していないIPからの接続をブロックすることで不正アクセスを防止しセキュリティ対策を強化できることが期待されています。

つまり「誰がログインできるか」を制御するだけでなく、「どこからログインできるか」を固定化することで、二重の防御壁を築けるわけです。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

ロリポップ！固定IPアクセスで手軽にIPホワイトリスト運用

では、固定IPによるアクセス集約をどのように実現すればよいでしょうか？自社でVPNサーバーを構築したり、各拠点に専用回線を敷設する方法もありますが、コストや手間がかかります。

そこで活用したいのが「ロリポップ！固定IPアクセス」というサービスです。

これはGMOペパボが2025年に提供開始した固定IPアドレス付与型のVPNサービスで、個人でも法人でも手軽に利用できます。

ユーザーのデバイスにVPN接続用アプリ（WireGuard）を入れ、このサービスから発行される設定ファイルを読み込むだけで、どこからでも指定の固定IPアドレス経由でインターネットにアクセス可能になります。

接続後は全ての通信がその固定IPアドレスから発信されるため、Jira/ConfluenceのIP許可リストにはこのIPを登録しておけば万全です。

動的IPに悩まされることなく、常に許可されたIPからのみアクセスできる環境を構築できます。

ロリポップ！固定IPアクセスの主な特徴

低コストで導入可能 1固定IPあたり月額539円（税込）から利用でき、国内でも最安級の価格設定です。さらに初回最大2ヶ月間は無料お試し期間もあるため、実際の使用感を確かめてから本格導入できます。
設定が簡単申し込みはオンラインで完結し、申込当日からすぐに利用開始できます。煩雑な事業者登録等も不要です。必要事項を入力して申込後、案内に従いVPNクライアントアプリ（WireGuard）に提供された設定ファイルを追加するだけで、固定IPでの接続が確立できます。専門知識がなくとも直感的な手順で設定可能です（WireGuardは動作が軽く高速な新世代VPNプロトコルで、モバイル環境でも快適に利用できます）。
チームで同時利用できる基本は1ライセンスにつき1接続ですが、追加ライセンスを購入することで複数人が同じ固定IPを同時利用することも可能です。例えば1つの固定IPに対し5ライセンス契約すれば、5名が各自のデバイスから同時にそのIP経由でアクセスできます。チーム全員のアクセス元を一つに集約できるため、Jira/Confluence側ではそのIPアドレスのみをホワイトリスト登録しておけばOKです。ライセンス数の増減も柔軟に行えるので、必要な人数分だけ契約し無駄なコストを抑えられます。
安全かつ高速前述のようにVPNプロトコルにWireGuardを採用しており、従来型VPNより安全性・安定性に優れる上に通信速度も高速です。暗号化処理が効率的なため遅延が少なく、在宅勤務で大容量のデータを扱う場合でもストレスを感じにくいでしょう。セキュリティ対策と業務効率を両立できる点もメリットです。

以上のように、「ロリポップ！固定IPアクセス」を利用すれば専門的な知識がなくても安価かつ迅速に固定IP環境を手に入れることができます。

実際、同サービスの提供開始背景として「リモート環境からでも固定IPで接続し、社内システムへのアクセス制御を可能にするニーズ」が挙げられており、まさに「IP制限している社内の業務ツールに社外からアクセスしたい」ケースに最適なソリューションといえます

JiraやConfluence CloudのIP制限運用においても、このサービスを活用することで自宅や出先からでも常に許可IP経由でアクセスできるようになり、セキュリティと利便性を両立できるでしょう。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！