kintoneの情報を守る多層防御セキュリティ体制7選
kintoneは、クラウドサービスとしての安全性だけでなく、日々の運用や外部サービス連携も含めて情報資産を守る仕組みが整備されています。ただ「セキュリティが強い」というイメージだけ先行し、具体的にどこまで・どのように守られているのかを把握している人は多くありません。
この記事では、kintoneの基本を押さえたうえで、アクセス制御・インフラ面・運用体制など、7つのセキュリティ対策を解説します。単なる技術的な仕組みだけでなく、運用面や外部連携の観点まで含めて把握したい方は参考にしてください。
目次
kintoneとは
kintoneは、業務内容に合わせて個別にアプリを作成・運用できるクラウドサービスです。顧客管理・案件管理・経費申請・日報・プロジェクト管理など幅広い業務を、社内のノーコード開発でカバーできます。
アプリはドラッグ&ドロップで直感的に作成でき、既存のExcelをそのまま読み込んでアプリ化することも可能です。レコード画面にはコメント機能も備わっており、業務データを軸にしたリアルタイムな情報共有にも対応しています。
このように、社内のさまざまな業務データがkintone上に集約されるため、「どのように安全に守られているか」 という視点は導入検討時の重要な判断材料になります。
>関連記事:わかりやすいkintone(キントーン)とは?特徴・機能、メリットを解説
kintoneの万全のセキュリティ体制7選
kintoneは、情報漏えいやサイバー攻撃を防ぐため、次の7つのセキュリティ体制を構築しています。
- 想定外の接続をシャットアウト
- 接続可能な端末を制限
- 認証アプリによる2要素認証
- 細かい操作権限の設定
- データセンターを2拠点に設置
- ヒューマンエラー対策
- 外部機関による評価
ここからは、それぞれのセキュリティ体制について、解説します。
1.想定外の接続をシャットアウト
kintoneでは、アクセスを許可するIPアドレスを指定でき、想定外の接続を遮断できます。たとえば社内ネットワークのIPアドレスだけを許可すれば、仮にIDとパスワードが漏えいしても社外からのアクセスは拒否されます。
また、リモートワークなど、接続元IPが固定できない場合は、IPアドレスに加え、Basic認証を組み合わせることが可能です。
Basic認証は、セキュリティチェックとして、ページやファイルにアクセス制限をかける認証方法であり、IPアドレス制限を突破したセキュリティチェックとして機能しています。
なお、IPアドレス制限の設定は、cybozu.com共通管理者またはサイボウズドットコムストア管理者といった管理権限を持つユーザーのみが実施可能です。一般ユーザーが意図せず設定を変更する心配はなく、統制された権限管理のもとで運用できます。
>関連記事:kintoneのIPアドレス制限でセキュリティ強化!フォームに制限をかける手順もご紹介
2.接続可能な端末を制限
kintoneでは、クライアント証明書を利用して「どの端末からアクセスできるか」を制限できます。証明書を端末ごとに発行・インストールすることで、認証済みの端末以外からの接続を防止します。
クライアント証明書はブラウザにインストールされるため、毎回IDやパスワードを入力するよりも負担が少なく、ユーザビリティを保ちながら端末認証を強化できます。
特に、出張やテレワークなど、社外ネットワークからアクセスするケースでは効果が高く、「正しいユーザー × 正しい端末」の双方を満たした時だけ接続を許可できます。万が一認証情報が流出した場合でも、証明書のない端末からはアクセスできないため、情報漏えいリスクを抑えられます。
>関連記事:kintoneのクライアント証明書とは?|インストールから発行、エラーの解決方法を解説
3.認証アプリによる2要素認証
kintoneは、ログイン名とパスワードに加えて、認証アプリで生成される確認コードを用いる2要素認証を利用できます。Google AuthenticatorやMicrosoft Authenticatorなどのアプリで発行される一時コードを使うことで、「正しいユーザー本人であること」をより強固に確認できます。
2要素認証の確認コードは一定時間ごとに更新されるため、第三者に知られても使い回される心配がありません。また、コードを確認するモバイル端末自体をユーザーが所有している必要があるため、万が一ログインIDとパスワードが流出した場合でも、不正アクセスを防止できます。
4.細かい操作権限の設定
kintoneでは、組織単位から個人単位まで、操作権限を細かく管理できます。権限は「アプリ単位」「レコード単位」「フィールド単位」の3段階で設定でき、ユーザーごとに閲覧・編集・削除の範囲を正しくコントロールできます。
たとえば、案件管理アプリを営業部だけに公開したり、社員名簿は自分の情報のみ閲覧可能にしたりすることが可能です。重要なのは、こうした権限設定によって「見えていい情報」と「見えてはいけない情報」を分離できる点です。
外部からの不正アクセスよりも、実際の情報漏えい原因は「誤った権限付与」などの内部要因が多いといわれています。kintoneは権限単位を細かく分けることで、業務上必要な範囲だけ安全に公開できる設計になっています。
>関連記事:kintoneのアクセス権はどのような機能?設定方法や注意点を徹底解説
5.データセンターを2拠点に設置
kintoneのデータは、東日本と西日本の2拠点に設置されたデータセンターで管理されています。バックアップデータは片方の拠点に障害が発生してももう一方で復旧できるよう、自動的に遠隔バックアップされています。この仕組みにより、大規模災害や物理的な障害が発生した場合でも、サービスを継続できる耐障害性が確保されています。
また、データセンターでは「通信中のデータ」「保存されているデータ」の両方を暗号化し、悪意ある第三者による盗聴や改ざんを防止しています。サービス契約終了後は一定期間を経てユーザーデータや監査ログが完全に削除され、不要なデータが残り続けないよう管理されています。
このように kintone は、物理的な災害対策だけでなく、通信・保存・廃棄の全工程においてセキュリティが担保されているため、安心して業務データを預けられます。
6.運用上のリスクを抑えるための対策
6-1.【ヒューマンエラー対策】
kintoneでは、人為的な誤操作や設定ミスなど、ヒューマンエラーによる事故を防ぐための仕組みが整備されています。業務上の定型処理(サービス追加・解約など)はできる限り自動化されており、手作業による判断や操作が介入する余地を減らしています。
手動対応が必要な場面でも、手順書に沿ったオペレーションを求め、実施内容はログとして自動記録されます。誰がいつどのような操作を行ったのかが可視化され、運用ルールが守られているかを後から確認できます。
また、緊急対応が必要な場合でも、複数名による確認体制が義務付けられており、単独での操作は許可されません。こうすることで、誤った判断や設定変更による影響範囲を最小限に抑えます。
6-2.【外部連携時のセキュリティ確保】
kintoneのセキュリティはクラウド基盤として強固に設計されていますが、実運用では「外部サービスやプラグインと連携する場面」で安全性の考慮が必要になります。特に重要なのが「責任境界」で、どこまでがkintone側の保護範囲で、どこから先はユーザー企業側の設定次第になるか という線引きです。
kintoneは、認証やアクセス制御など“入口の安全性”は担保しますが、外部連携時のデータ参照範囲や権限の扱いは、ユーザー側の設定に依存します。たとえば「プラグインで表示させた情報が、権限上は見えてはいけないユーザーに広がっていた」ようなケースは、運用設計上のミスが原因になることが多くあります。
このため、外部連携を安全に活用するためには、kintoneの提供する認証・権限モデルの上に、連携側の権限設計を重ねる ことが不可欠です。トヨクモ製品などkintone連携サービスも、この前提に沿って設計されているため、正しく権限設定を行えば、kintoneのセキュリティを維持したまま外部連携を拡張できます。
>関連記事:【2025年最新】kintoneの無料プラグイン一覧|用途別のおすすめを紹介
7.外部機関による評価
サイボウズ社は複数の国際規格に基づく第三者評価を受けており、kintoneのセキュリティが外部機関によって客観的に証明されています。代表的なものは、情報セキュリティ管理の国際規格「ISO/IEC 27001」と、クラウドサービス特有の管理基準を加えた「ISO/IEC 27017」です。サイボウズは2011年に27001、2019年に27017の認証をそれぞれ取得しています。
そのほか、2021年には、日本政府がクラウドサービスの採用可否を判断する際に用いる「ISMAP(政府情報システムのためのセキュリティ評価制度)」にも登録されました。これは、官公庁向けシステムで求められる厳格な基準を満たしていることを意味します。
このように、運用設計やセキュリティ体制が国際水準で評価されていることで、企業だけでなく公共機関でも安心して利用できるレベルの保護が担保されています。
セキュリティ対応専門チーム「Cy-SIRT」の設置
サイボウズ社は、セキュリティ対応専門チーム「Cy-SIRT(Cyber Security Incident Response Team)」を社内に設置し、社外の専門家、組織と協力しながら、セキュリティ情報の収集やkintone上のセキュリティインシデントの対応を行っています。
Cy-SIRTは、発生した問題への対応だけでなく、日頃からOSやセキュリティ関連情報を収集し、潜在的リスクを事前に把握する役割も担っています。この「常時監視・早期検知」が体制として用意されていることで、クラウドサービスとして安全に運用し続ける基盤が確立されています。
セキュリティ・データの取り扱いに関する方針
kintoneは、セキュリティやデータの取り扱いに関する社内方針に基づいて運営されています。これらは ISMS基本方針や内部統制に関する方針など複数のルールで構成されており、「どのように守るか」を技術面だけでなく運用面からも担保しています。
その中でも特徴的なのが「脆弱性情報ハンドリングポリシー」です。外部機関(IPAの情報セキュリティ早期警戒パートナーシップ制度)や自社の脆弱性報奨金制度などを通じて脆弱性情報を収集し、PSIRT(製品セキュリティインシデント対応チーム)と関係部署が影響範囲や深刻度を評価する手順が標準化されています。
さらに、脆弱性情報は非公開にせず、ユーザー向けに公開する運用が取られている点も特徴です。こうすることで、ユーザー企業自身も状況を確認でき、クラウド運用の透明性と信頼性を確保しています。
複数のセキュリティ対策により情報を徹底防御
kintoneでは、IPアドレス制限やクライアント証明書によるアクセス制御といった入口の防御だけでなく、データセンターや外部評価、運用体制など複数の仕組みを組み合わせることで、安全性を確保しています。単一の仕組みで守るのではなく、「ネットワーク」「端末」「ユーザー」「インフラ」「運用」の複数レイヤーで防御する構造になっています。
また、セキュリティの優位性は技術機能だけでなく、開発元のサイボウズ社が取得している国際認証や、Cy-SIRT を中心とした継続的な監視・改善プロセスにも支えられています。これにより、クラウド利用時に懸念となりがちな“運用レベルの安全性”まで担保されています。
このように、kintoneは「機能 × 体制 × 運用」を組み合わせた多層防御を備えており、実務環境でも安心して業務データを預けられるクラウドサービスです。
トヨクモ株式会社では、kintoneをさらに便利に活用する連携サービスを提供しています。
| FormBridge | kintoneへデータが自動で保存されていくwebフォームを作成できる |
| kViewer | kintoneライセンスがない人に、kintoneアプリのデータを共有できる |
| PrintCreator | kintoneアプリのデータをPDFで出力できる |
| kMailer | kintoneアプリのデータを引用してメール送信できる |
| DataCollect | 複数のkintoneアプリに登録されたデータを集計できる |
| kBackup | kintoneアプリに登録されたデータを安全にバックアップする |
全てのサービスで30日間無料でお試しが可能です。
気になる方は、ぜひ以下からご確認ください。
