キントーンのセキュリティは安心！理由や具体的な7つの対策を解説

キントーンは様々な管理アプリを一括でまとめ、既存の管理アプリよりさらに見やすく・わかりやすく管理することが可能なサービスです。最近では、キントーンは大手企業にも導入されており、実際に「業務時間の短縮につなげることが出来た」といった評判も多くあります。

このようなサービスを導入する上で気になることの一つとしてセキュリティ面は安全か、ということが挙げられます。結論、キントーンは「セキュリティの高さ」でも非常に高評価を得ているサービスであり、安心して利用できます。

この記事ではキントーンの「セキュリティ」について「具体的な対策」や「起こりうるリスク」を解説させていただきます。導入を検討している方は是非参考にしてみて下さい。

🔳この記事でわかること
　・kintoneのセキュリティレベルについて
　・kintoneの具体的なセキュリティ対策
　・セキュリティリスクを高めない具体的な方法

🔳こんな人におすすめの記事です
　・DX化に悩む経営者やIT部門の担当者
　・セキュリティの強固なITツールを検討中の方
　・kintoneのセキュリティレベルを確認したい方

キントーンとはどんなサービス？

キントーンは「サイボウズ」が運営している業務管理サービスです。利点として、一目でわかるスケジュールの見やすさ、そして数々の業務アプリを一括で管理することが出来ることがあげられます。

このような機能を活用することで、業務上のやり取りにおいての時短や伝達ミスの軽減が期待されます。また、100以上のテンプレートを感覚的にドラッグ＆ドロップするだけでプログラミングの知識が無くても使用できるため、多くの企業に導入されている人気のノーコードツールです。

運営元のサイボウズは「堅牢な基盤」を構築・運用している企業であり、セキュリティ面においても強固な仕組みを導入しています。kintoneを含むサイボウズのクラウドサービスは「政府情報システムのためのセキュリティ評価制度（ISMAP）」に認定されるほどのセキュリティを誇っているのです。

参考：サイボウズのクラウドサービスが「政府情報システムのためのセキュリティ評価制度（ISMAP）」に登録　

キントーンのセキュリティ対策が強固といえる理由3選

キントーンが業務改善に有効であり、多くの企業や政府にも認められているツールだと理解いただけたかと思います。次にこの章ではキントーンのセキュリティ対策が強固といえる理由について、下記の具体的な3つの理由を解説していきます。

• セキュリティチェックシートの存在
• セキュリティ対策専門チーム「Cy-SIRT」の設置
• 外部機関による評価もバッチリ

理由①｜セキュリティチェックシートの存在

kintoneのセキュリティ対策は、サイボウズが独自で設定したセキュリティチェックシートに基づいて行われています。このチェックシートは経済産業省が発行した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン2013年版」に基づき、よくある質問などを追記したものです。

参考：cybozu.com セキュリティチェックシート　

内容としては、情報セキュリティに関する方針や組織に加え、物理的・環境的な側面や具体的な運用について全8ページに詳細に書かれています。

このセキュリティチェックシートを公開することで、サイボウズがセキュリティ対策に誠実に取り組む姿勢をユーザーに伝える役割を担っています。

理由②｜セキュリティ対策専門チーム「Cy-SIRT」の設置

キントーンではもしもの時のために、専門のセキュリティインシデント対応チームを配備しています。名前を「Cy-SIRT」といい、具体的には以下のようなトラブルが起きないように対策を行ってくれています。

• インシデント発生の予防
• 早期検知
• その他様々な被害

またトラブルが発生してしまった際にも「早期解決」のために動いてくれます。数々のセキュリティシステムに加えて専門チームまで組織しているため、キントーンのセキュリティレベルは非常に高いといえるでしょう。トラブルが起きた際にもこれなら安心です。

理由③｜外部機関による評価もバッチリ

キントーンは非常に強固なセキュリティ構築を誇るサイボウズが運営しているサービスです。傍目から見てもその強固さはよくわかりますが、実は「外部機関による評価」でも非常に高い評価を得ています。

先ほどお話しした通り、サイボウズは「日本データセンター協会が制定している『データセンターファシリティスタンダード』でほぼ全ての項目を最高ランクのティア4で通過している」点も非常に優秀な会社です。またこれ以外に「政府情報システムのためのセキュリティ評価制度(ISMAP)のクラウドサービスリスト」に登録・掲載されているという実績もあります。

また「ISMS」に関しては第三者機関から下記のような認証を取得しています。

引用：https://kintone.cybozu.co.jp/security/

このように、キントーンを運営しているサイボウズは、第三者の外部機関・政府からもそのセキュリティの強固さが評価されている企業です。

キントーンの具体的なセキュリティ対策7つ

この章ではキントーンの具体的なセキュリティ対策を以下の7つをご紹介します。

• 想定外の接続をシャットアウト 
• 接続できる端末を制限
• 認証アプリによる2要素認証
• 作成や閲覧の権限を細かく管理
• パスワードポリシーやアカウントロックの設定
• データは信頼性の高いサイボウズのデータセンターで管理
• キントーンの運営元の行動ポリシー設定

キントーンでは高レベルなセキュリティ対策が多く施されていることを知っていただき、導入を検討する場合の参考にしていただけると幸いです。

想定外の接続をシャットアウト 

キントーンは「IPアドレス制限」を導入しているサービスです。アクセスできるIPアドレスを限定することで想定外の接続をシャットアウトし、悪質な第三者のアクセスを阻止します。一般的なセキュリティ対策ではありますが非常に心強い仕組みであり、安心して利用できます。また万が一IPアドレスが漏れた場合でも、固定のIPアドレスが振り分けられていない端末のアクセスを遮断しておくことで、アクセスを制限できます。

接続できる端末を制限

キントーンは「セキュアアクセス」を導入しています。セキュアアクセスとは「クライアント証明書」を使用し、接続元となる端末を認証することが出来るサービスです。自宅の端末もクライアント証明書を発行して認証することで、社外からでもキントーンにアクセスすることが可能です。ただし、こちらの「セキュアアクセス」サービスは「有料」のオプションとなっていますので、利用する場合は別途費用が掛かります。

認証アプリによる2要素認証

キントーンは「認証アプリによる2要素認証」を導入しています。スマートフォンやパソコンを利用している際に、パスワードと電話番号宛のショートメッセージに送信されたコードの入力を求められた経験はありませんか？このように、2つの方法で認証を行うことを「2要素認証」といいます。

キントーンではログイン時に「ログイン名」「パスワード」を入力し、その後に「確認コード」の入力をすることでアクセス完了となります。ログイン時のパス入力を毎度求められるため都度入力する必要はありますが、セキュリティ対策を万全に行いたい方にとっては最適な仕組みとなっています。

作成や閲覧の権限を細かく管理

キントーンでは「アクセス権」のセキュリティ機能を導入しています。アプリ管理やデータの閲覧等の「操作権限」を細かく指定することが可能です。1ユーザーから組織単位まで選択出来るセキュリティ設定となっています。

この機能により、社内の重要な情報を一部の関係者にのみ受け渡すことができるようになるなど、キントーン内でユーザーを制限してやり取りを行えます。社員一人一人がキントーンにアクセスできる端末を所持しているような会社でも、適切なアクセス制限をかけることで、安心して利用できます。また、わざわざ必要人数を集めて会議をしたり、特別なグループチャットを作成する必要も無くなるため、時間の短縮にも貢献します。

パスワードポリシーやアカウントロックの設定

キントーンは「パスワードポリシー」や「アカウントロック」の設定も可能です。パスワードポリシーでは以下の設定を構築することが出来ます。

• ユーザーパスワードの最小文字数
• 管理者パスワードの最小文字数
• 複雑さ
• ログイン名と同じパスワードの使用をユーザーに許可する
• 過去に使用したパスワードの禁止

これを事前に決めておくことで、より強固で破られにくいセキュリティ対策を講じることが可能です。アカウントロックは一定回数パスワードの入力に失敗した場合、一時的にログインが出来ないようにする機能です。この「失敗回数」はこちらで設定することが出来ます。第三者による悪質な総当たりのセキュリティ解除リスクが減りますので安心ですね。

データは信頼性の高いサイボウズのデータセンターで管理

キントーンのあらゆるデータは運営元の「サイボウズ」のデータセンターにて管理されています。サイボウズのデータセンターは金融機関向けの「FISC安全対策設備基準」を満たしており、非常に強固なセキュリティシステムを構築・運営しています。

日本データセンター協会が制定している「データセンターファシリティスタンダード」ではほぼ全ての項目を“最も複雑なインフラストラクチャ”とされる、最高ランクの「ティア4」で通過している点においても安心できます。これらの点からキントーンのセキュリティは非常に強固であるといえます。

またサイボウズは、その他にも以下のリスクに対して対策を施しています。

• 障害検知・復旧
• DoS攻撃・DDoS攻撃の防止
• データや通信の暗号化
• 契約終了後のデータの消去

日夜、最新のセキュリティ対策を行っている企業「サイボウズ」が運営しているサービスが、キントーンです。安心してご利用ください。

キントーンの運営元の行動ポリシー設定

キントーンの運営元であるサイボウズは「行動ポリシー設定」を掲げています。別名で「ISMS基本方針」と呼び、情報セキュリティ構築について非常に細かく規定がなされています。お客様が安心してリスクなく業務サービスを利用できるよう、細かい部分まで徹底的に配慮されているのがよくわかります。技術面だけではなく、会社としてのこういった心構え、気概も安心できる要素の一つといえるでしょう。

セキュリティリスクを高めないための3つの注意点

キントーンは、セキュリティシステムが非常に強固なサービスとなっています。ただし、社内での情報管理方法や社外での業務方法によってはセキュリティの高さを台無しにしてしまうリスクもあるのです。

ここからは、自分たちでセキュリティリスクを高めないようにするために気を付けるべき3つの注意点をお話ししていきます。

1. 公共の場ではアクセスしない
2. 機密情報へのアクセス許可は限定された人だけに
3. 定期的なログのモニタリング

高いセキュリティを維持するためにも非常に重要な項目ですので、しっかり確認しておくことをおすすめします。

公共の場ではアクセスしない

意外と見落としがちな問題なのですが「公共の場ではアクセスしない」というのがセキュリティリスクを高めない行動の一つとなります。これは単純に画面を見られるリスクがあり、パスワードを打ち込んでいる所を悪意ある第三者に見られてしまうリスクが考えられるのです。また公共の「Wi-Fi」を利用するのもリスクがあり、悪意ある第三者が情報を抜き取るために公共Wi-Fiに似た名前で電波を飛ばしている可能性も考えられます。

キントーンは社外でも使用出来ますが、セキュリティリスクがあることも十分に理解しておくようにしましょう。セキュリティ対策が講じられていない公共のWi-Fiからはアクセスしない、もしくはトンネリングソフトを利用して社内のネットワーク経由でアクセスするなどの方法を検討してください。

機密情報へのアクセス許可は限定された人だけに

キントーンのセキュリティリスクを高める上で機密情報へのアクセスは「限定された人」だけにしておくことをおすすめ致します。特に機密情報が必要ない社員については連絡を除外しておく方がセキュリティリスクを高めないうえで、賢明です。情報を送信する人数が多ければ多いほどリスクも高まります。

思わぬところからの情報が漏洩するリスクも考えられるため、そのようなことが発生する可能性があることも懸念しておかなければなりません。機密情報は「必要最低限」の人にだけ通達することをおすすめ致します。

定期的なログのモニタリング

キントーンでは誰がいつどんな操作をしていたのかを「監査ログ」として確認する事が出来ます。この監査ログを定期的にモニタリングすることによって、トラブルに発展しそうな点をいち早く発見し阻止することが可能です。

また作業上の連絡ミスが発覚した場合、どこで滞っていたかなども発見できるため今後のミスの防止に繋げることも出来ます。監査ログは「キントーンの設定メニューを表示する」から「cybozu.com共通管理」を選ぶことで確認することが出来ますので、定期的に確認してセキュリティリスクを軽減させましょう。

キントーンのセキュリティは万全！安心して利用できる

本記事では

• キントーンのセキュリティが強固と言える理由
• キントーンの具体的なセキュリティ対策7つ
• セキュリティリスクを高めない3つの方法

について紹介してきました。

本文記載の通り「キントーン」のセキュリティ構築は非常にレベルが高く、安心して利用が出来るサービスです。また、運営元のサイボウズは「政府」「第三者機関」からセキュリティに関して非常に高い評価を得ている会社でした。

もしもの時の為に専門チームを組んでいるなど、セキュリティ以上に対策を徹底しています。業務管理サービスを選ぶなら是非様々な観点からセキュリティのレベルが高い「キントーン」を選んでみて下さいね。

kintoneのアプリケーションを安全に作成したいとお悩みの方は、ぜひ一度、伴走ナビへお問い合わせください。伴走ナビではこれまでの様々な知見を生かして、セキュアなアプリケーションを構築するお手伝いをしています。