kintoneは、顧客の情報資産を守るために、さまざまなセキュリティ対策が施されています。
kintoneの堅牢なセキュリティ対策は、多くの企業に支持される理由になっていますが、セキュリティ対策の具体的な中身まで、知らない人は多いのではないでしょうか。
そこで、本記事では、kintoneの定義を説明した後、IPアドレス制限や認証アプリによる2要素認証など7つのセキュリティ対策について解説します。
kintoneの導入に際し、セキュリティについて理解した上で検討を進めたいと考えている方は、ぜひ本記事を参考にしてみてください。
kintoneとは
kintoneは、業務内容に合わせて個別にアプリを作成・利用できるクラウドサービスです。作成・利用できるアプリは多種多様であり、顧客案件管理から交通費申請、日報、プロジェクト管理まで、あらゆる用途に対応しています。
kintoneでアプリを作成する際は、特別なスキルや知識が必要ありません。ドラッグ&ドロップで直感的に操作できるほか、現在利用中のExcelを読み込むだけでアプリ化が可能です。
アプリ内には、レコードの詳細画面でコメントを書き込み、その場で社内のメンバーとコミュニケーションも取れます。この点、kintoneは情報共有の円滑化に加え、社員間のつながりを活発化する社内SNSとしての機能を備えているといえるでしょう。
kintone(キントーン)は、ビジネスアプリ作成のクラウドツールで、サイボウズ株式会社が運営するサービスです。 業務で生じる多量なデータやそれに伴うコメントなどを一元管理でき、最近はCMでもよく見かけるようになりました。 今回[…]
kintoneの万全のセキュリティ体制7選
kintoneは、情報漏えいやサイバー攻撃を防ぐため、次の7つのセキュリティ体制を構築しています。
- 想定外の接続をシャットアウト
- 接続可能な端末を制限
- 認証アプリによる2要素認証
- 細かい操作権限の設定
- データセンターを2拠点に設置
- ヒューマンエラー対策
- 外部機関による評価
ここからは、それぞれのセキュリティ体制について、解説します。
想定外の接続をシャットアウト
kintoneは、アクセスできるIPアドレスを限定するIPアドレス制限が実装されており、想定外の接続をシャットアウト可能です。
たとえば、kintoneの利用を自社オフィスのIPアドレスだけに許可することで、第三者による不正アクセスを防げます。
また、リモートワークなど、接続元のIPアドレスが動的に変更される場合は、IPアドレスに加え、Basic認証を組み合わせることが可能です。
Basic認証は、セキュリティチェックとして、ページやファイルにアクセス制限をかける認証方法であり、IPアドレス制限を突破したセキュリティチェックとして機能しています。
なお、このようなIPアドレス制限を設定できるユーザーは、cybozu.comの契約やアクセス制限を設定するサイボウズドットコムストア管理者か、アクセス制限を設定する権限を付与された、cybozu.com共通管理者のみとなっています。
接続可能な端末を制限
kintoneは、クライアント証明書によって接続できる端末を制限するセキュアアクセスを設定できます。
クライアント証明書は、接続するユーザーを認証する証明書(SSL証明書)です。Webブラウザにインストールされるため、アクセスのたびにユーザー名とパスワードを入力する認証よりも、簡単にユーザー認証が可能となっています。
クライアント証明書のユースケースとして考えられるのは、外出中に社外のIPアドレスからkintoneにアクセスする場合です。
この時、クライアント証明書をインストールしておくと、ユーザーは、認証済みクライアント端末を所有しているとみなされ、kintoneへスムーズに接続できます。
認証アプリによる2要素認証
kintoneは、ログイン名とパスワードによる認証に加え、Google AuthenticatorやMicrosoft Authencatorなど、認証アプリに表示される確認コードを用いた2要素認証により、安全に利用できます。
2要素認証は、あらゆる面でセキュリティに優れた機能です。第一に確認コードは毎回新しいものに変わるため、パスワードのように覚えておく必要がありません。
さらに、kintoneは、ユーザーだけが所有しているモバイル端末を用いた認証が必要です。このため、「ログイン名とパスワードの組み合わせ」が特定された場合でも、第三者による不正アクセスを防げます。
細かい操作権限の設定
kintoneは、組織単位から1ユーザー単位まで、アプリ管理やデータ管理などの操作(アクセス)権限を細かく設定、管理できます。
アクセス権限は、大きく分けてアプリごと、レコードごと、フィールドごとの3つのレベルで設定可能です。これらのアクセス権を設定すると、ユーザーに応じたデータの閲覧、編集の制限ができます。
たとえば、アプリのアクセス権設定により、案件管理を営業部のメンバーしか使えないようにしたり、レコードのアクセス権設定で、社員名簿を自分の情報しか見られないようにしたりするといった設定が可能です。
kintoneのアクセス権は、メンバーや利用範囲が増え、見せられないデータが増えてきた時に、特定のグループやメンバーに対して利用制限を課す機能のことです。 新規の機能ではなく、以前より存在する機能ですが、その具体的内容について知らない人も[…]
データセンターを2拠点に設置
kintoneの開発元にあたるサイボウズ社は、データを保存するストレージサーバーを設置したデータセンターを東日本と西日本の2カ所に設けています。
データセンターで特筆すべきは、東日本にあるデータセンターのバックアップデータが、西日本に設置されているデータセンターへ自動的に転送される遠隔バックアップシステムを構築している点です。
これにより、自然災害などで、東日本のデータセンターが物理的に破損し機能しなくなった場合でも、バックアップデータを西日本のデータセンターに前もって保存していることから、顧客のデータが守られます。
データセンターの持つ優位性は、地理的な分散だけではありません。データセンターは伝送データと保存データをすべて暗号化しているほか、顧客のサービス契約が終了した場合、終了翌日から30日後に、入力データやユーザー情報、監査ログを消去します。
この点、データセンターは、悪意ある第三者による送受信データの傍受やサイバー攻撃に対するデータ保護の機能で、強みを持っているといえるでしょう。
ヒューマンエラー対策
kintoneは、人間が原因となって起こる失敗や過誤を示すヒューマンエラーへの対策が施されています。
ヒューマンエラー対策は主に、サービスの追加や解約など定型化した手続きを自動化する対策などを含む6施策です。
このうち、手動オペレーションによる操作では、手順書に従ったオペレーションの実施をユーザーに求めているほか、手動操作をログで自動記録していることにより、手順書が守られているかをチェックできる体制を整えています。
このほか、障害発生時などの緊急時には、2人以上の技術者が確認のうえで、手順書を伴わない手動オペレーションを許可する体制を許可することで、緊急時も単独での操作を禁止しています。
外部機関による評価
サイボウズ社は、外部機関によるセキュリティ評価で、高評価を得ています。
その代表例といえるのが、クラウドサービスに関する情報セキュリティ管理の国際規格である「ISO/IEC27001」と「ISO/IEC27017」に基づくISMS(情報セキュリティマネジメントシステム)に関する第三者認証の取得です。
サイボウズ株式会社は2011年11月に「ISO/IEC27001」、2019年12月に「ISO/IEC27017」を取得しました。
そのほか、2021年9月には、kintoneが「政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program:通称、ISMAP)で、政府が求めるセキュリティ要求を満たしているサービスだと認定され、ISMAPクラウドサービスリストに登録されています。
セキュリティ対応専門チーム「Cy-SIRT」の設置
サイボウズ社は、セキュリティ対応専門チーム「Cy-SIRT」を社内に設置し、社外の専門家、組織と協力しながら、セキュリティ情報の収集やkintone上のセキュリティインシデントの対応を行っています。
Cy-SIRTの活動目的は、インシデントの早期発見や早期解決、被害の最小化など5つです。このうち、早期検知を目的とした活動では日々、OS(オペレーティングシステム)やセキュリティ情報の収集に取り組んでいます。
セキュリティ・データの取り扱いに関する方針
サイボウズ社は、セキュリティ・データの取り扱いに関する方針に基づき、kintoneを運営しています。
セキュリティ・データの取り扱いに関する方針は、ISMS基本方針や内部統制の基本方針など6つです。
このうち、脆弱性情報ハンドリングポリシーでは、脆弱性対応フローで、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップ制度」や、自社の脆弱性報奨金制度などを用いて情報収集に努めるほか、PSIRT(製品セキュリティインシデント対応対策チーム)と関係部門が、発見した脆弱性情報の影響範囲と深刻度を確認することを定めています。
脆弱性情報ハンドリングポリシーは、脆弱性対応フローだけではありません。セキュリティ情報全般や脆弱性情報を含むサイボウズ製品の不具合情報を掲載する「脆弱性情報の公開」も実施することになっています。
複数のセキュリティ対策により情報を徹底防御
kintoneは、IPアドレス制限により、想定外の接続をシャットアウトできるほか、クライアント証明書によって接続できる端末を制限するセキュアアクセスを設定できます。
kintoneのセキュリティ面での優位性は、実装された機能だけではありません。開発元のサイボウズ社がデータセンターを東西2拠点に設置したり、外部機関によるセキュリティ評価で、高評価を得たりしている点も、kintoneの情報セキュリティを支える要因となっています。
このように、情報セキュリティでのkintoneの安全性は申し分ありません。ユーザーは安心してkintoneを利用するとよいでしょう。