「kintone(キントーン)」は、クラウドベースの業務改善プラットフォームです。kintoneは独自のシステムや機能をドラッグ&ドロップで簡単に作成できますが、一方でセキュリティも気になるところ。そこで本記事では、kintoneのセキュリティ面に焦点を当てて、セキュリティレベルや機能を解説します。
そもそもkintoneとは
グループウェアを販売するサイボウズ株式会社は、「kintone(キントーン)」というクラウドサービスを提供しています。
kintoneは、情報の蓄積・進捗管理・コミュニケーションという、グループワークで欠かせない3つの機能を柱としたサービスです。
- 情報の蓄積:グループ内のあらゆるデータに加え、メンバー間のやりとりの内容もクラウド上で集約するデータベース機能です。
- 進捗管理:ワークフローなどのプロセス管理をする機能です。外出先からモバイル機器で進捗の確認や状況報告もできます。
- コミュニケーション:ワークスペースは、プロジェクトやチームごとに作成可能です。チームを横断したコミュニケーションを効率化します。
グループウェアにはさまざまな種類がありますが、kintoneの大きな特徴は、自社の業務に合わせたシステムを自社内で作成できる点です。
開発の知識がなくてもドラッグ&ドロップで、オリジナルのアプリや機能を作成できます。
このような特徴からkintoneは、"ビジネスアプリ作成クラウドサービス"や"業務アプリ構築クラウドサービス"などとも呼ばれています。
kintoneのセキュリティレベル
自社独自の機能を次々に追加できる拡張性の高さが特徴のkintoneですが、そのセキュリティレベルはどれほどなのでしょうか。kintoneを含め、サイボウズの製品では、7つのセキュリティ方針にのっとって安全性を確保しています。
不正アクセス防止は対策済み
kintoneは、複数の手法でkintoneへの不正アクセスを防止します。
まず、kintoneへアクセスできるIPアドレスを限定する"IPアドレス制限"で、通常ではありえない接続元からのアクセス要求をブロックします。
加えて、有料オプションに申し込めば、クライアント証明書で接続元の認証ができます。例えば、外出中に社外のIPアドレスからkintoneへアクセスしたいときに、クライアント証明書を端末にインポートすると、認証済み端末としてkintoneへ接続できるようになります。
独自サブドメインの発行も無料です。独自のログインURLが作成できるため、従業員やチームメンバーだけにkintoneへのログインURLを共有することができます。
さらに、IPアドレス制限を突破したユーザーに対する、もう一段階のセキュリティチェックとして、ログイン画面にアクセス制限を加えるBasic認証の機能が無料で使用できます。
データ保護の体制も充実
kintoneに限らずあらゆるクラウドサービスは、クラウドを構成するデータセンターが何らかの理由でシャットダウンしてしまった場合、保存していたデータはすべて消失します。天災や災害は誰にも予想できず、クラウド自体が崩壊してデータを失ってしまう可能性はゼロではありません。
kintoneでは、このような万が一の事態に備え、次のような4重のバックアップ体制でサービス利用者のデータを守っています。
RAID 6を採用したハードディスクの冗長化
kintoneのストレージサーバー1台は、12台のハードディスクで構成されていますが、このうち2台ハードディスクが故障してしまったとしても、データが消失することがありません。
14日分の差分バックアップ
kintoneでは、1日1回データをバックアップし過去14日分のバックアップデータを保管するバックアップ専用サーバーが整備されています。
ミラーリング(RAID1)
ストレージサーバーにデータが書き込まれた瞬間に、別のストレージサーバーにデータをリアルタイムに同期します。
遠隔バックアップ
東日本にあるデータセンターのバックアップデータは、西日本に設置しているデータセンターへ自動的に転送されます。これにより、万が一、東日本で大きな災害があった場合でも、データは守られます。
詳細な不正ログイン対策も特徴的
仮に、第三者がIPアドレス制限やBasic認証も突破してkintoneのログイン画面にアクセスできてしまった場合に備え、kintoneは不正なログインを阻止するさまざまな設定ができます。
kintoneへのログインで使用するパスワードの長さや複雑さなどのポリシーは、管理者が細かく設定できます。
例えば、パスワードの文字数は、管理者の判断で3文字〜15文字の範囲で長さを決定できるなどです。また、パスワードの有効期限も、30日間・60日間・90日間・180日間・1年間・無期限から選択できます。
そのほか、一定回数ログインに失敗したらアカウントをロックする"ロックアウトまでの失敗回数設定"や、最後のログインから1日間は自動ログインを許可するなど"自動ログインの設定"も可能です。
ヒューマンエラーについても対策できる
kintoneに限らず、クラウドサービスでは頻繁にアップデートが行われます。ただ、アップデート作業や新機能の開発は人間が判断し作り込む部分も多いため、ヒューマンエラーが生じる可能性もあります。
kintoneでは、サービスの追加や解約など定型化した手続きは自動化し、手動でのオペレーションを排除する取り組みが行われています。
また、手動オペレーションをするときでも、手順書に従って実施することを徹底しています。
障害発生などの緊急時は手順書に沿ったオペレーションが難しいため、技術者の判断で障害対応を行いますが、緊急時においても2人以上の技術者が相互に確認しながら対処する仕組みが採用されています。
kintoneのセキュリティチェックシートの中身とは
kintoneのセキュリティ対策は、経済産業省および総務省が公開しているガイドラインや指針をベースとした、サイボウズ独自のセキュリティチェックシートに基づいて行われています。
cybozu.com セキュリティチェックシートについて
サイボウズはkintoneを含む、すべてのサービスを開発・運用する際に指針とする2つのセキュリティチェックシートを公開しています。
1つは、「経済産業省 ガイドライン版 cybozu.com セキュリティチェックシート」です。これは、経済産業省が公開した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン2013年版」をもとに、サイボウズが独自に編集を加えたチェックシートで、情報セキュリティに関する経営陣の責任から、データセンターの落雷・水害対策やファイアウォールの導入などの具体的な内容も含まれています。
2つ目は、「総務省 情報開示指針版 cybozu.com セキュリティチェックシート」です。
これは、総務省が公開した「クラウドサービスの安全・信頼性に係る情報開示指針」を元に、サイボウズが独自に編集を加えたチェックシートです。1つ目の経済産業省ガイドライン版とは違った切り口で、サービスのセキュリティ面をチェックする内容になっています。
いずれのチェックシートも、チェック項目に対するサイボウズの対応状況が羅列されており、サイボウズがセキュリティ対策に誠実な姿勢で取り組んでいる事実をユーザーに示す役割を担っています。
kintone以外にも使う場合は、セキュリティを一元管理できるサービスがおすすめ
kintoneはセキュリティ面で強みがあるクラウドサービスですが、実際にはkintoneのほかにも、複数のクラウドサービスを併用して業務を行う企業が大半です。
このような企業におすすめしたいのが、オンラインサービスのログインを一元管理し、まとめて防御するクラウド型のセキュリティサービスです。
このようなセキュリティサービスの1つが「HENNGE One」で、kintoneのほか、Microsoft 365・G Suiteといった主要サービスのユーザー認証を代行します。
「HENNGE One」では、各クラウドサービスの、シングルサインオン(SSO)・ユーザーアカウント管理・パスワードポリシー設定・アクセス状況監視を、1つの管理画面からコントロールできます。また、SAML2.0やAzure AD連携などにも対応しており、高機能なセキュリティサービスとして定評があります。
kintoneは容易に自社独自のUIやアプリを設計できることから、他の基幹システムやソフトウェアと連携し、連携したシステムのフロント部分をkintoneで作り込むということが頻繁に行われています。連携したシステムへ安全にシングルサインオンする方法として、「HENNGE One」の導入を検討する企業も増えています。
「HENNGE One」の詳細については、まず詳細ページをご覧ください。
まとめ
自社独自のシステムや機能を簡単に作成でき、グループワークを効率化するkintoneは、テレワーク・在宅勤務の増加によりますます注目を集めています。
自由度が高いサービスだからこそ、セキュリティ面には力を入れており、何重もの不正アクセス・ログイン対策に加え、災害対策やヒューマンエラー対策なども強化されたサービスです。
