kintone（キントーン）のセキュリティ

こんにちは。kintone（キントーン）導入支援のギャンです。
今回は「kintone（キントーン）のセキュリティ」ということで、kintoneのセキュリティに関するお話しをさせていただきます。

最近、ランサムウェアなどによる不正アクセスなどのニュースが世間を騒がせていますが、kintoneのセキュリティはどうなっているのか？というところを見ていきます。

kintoneのセキュリティ

kintoneは情報漏えいやサイバー攻撃を防ぐため、以下のようなセキュリティ対策を講じています。

IPアドレス制限で想定外のアクセスを遮断

kintoneはクラウドのサービスになりますが、想定外の接続をシャットアウトできるようにIPアドレス制限をかけることができます。IPアドレス制限を設定すると、事業所などの許可された拠点からのみ接続可能とし、それ以外の許可されていない外部からは接続できないようになります。なお、リモートワークの場合など、接続元のIPアドレスが動的に変更される場合は、IPアドレスに加え、Basic認証を組み合わせることもできます。

2要素認証に対応し安全に利用できる

またユーザー認証については、2要素認証に対応していますので、設定すれば、ログイン名とパスワードによる認証に加えて認証アプリ（Google Authenticatorなど）に表示される認証コードの入力が必要になり、よりセキュアにkintoneを利用することができます。

パスワードポリシーとアカウントロック

もちろんパスワードポリシーの設定でパスワードを強化したり、連続してパスワードを間違えた場合に、アカウントロックをかけることも可能です。kintoneへのログインで使用するパスワードの長さや複雑さなどのポリシーは、管理者が細かく設定できます。 例えば、パスワードの文字数は、管理者の判断で3文字〜15文字の範囲で長さを決定できます。また、パスワードの有効期限も、30日間・60日間・90日間・180日間・1年間・無期限から選択できます。アカウントロックについてはロックする回数と解除までの時間の設定が可能です。ログインに関するセキュリティについては「kintone（キントーン）のログイン画面」に詳しく記載していますので参照下さい。 さらにkintoneの環境について、スペース、アプリ、レコード、フィールドに対して、閲覧、更新、削除など細かいアクセス権を設定することができます。

セキュアアクセス（クライアント証明書）で接続できる端末を制限

また、有償になりますが、セキュアアクセスを利用できます。セキュアアクセスは、クライアント証明書によって接続端末を認証できますので、特定の端末からのみ接続できるように設定することができるようになります。さらにIPアドレス制限と組み合わせることにより、基本的には事業所など拠点からの接続のみ許可したうえで、リモートワークや外出時など外部からはクライアント証明書をインストールした端末からのみ接続可能とするといった運用が可能になります。詳しくは「kintone（キントーン）のクライアント認証」を参照下さい。

ログイン履歴と監査ログで履歴を管理

それから当然ですがログイン履歴や監査ログの機能もありますので、いつ、誰が、何の操作をしたのかを確認することが可能です。詳しくは「kintone（キントーン）の監査ログ」を参照下さい。

クラウド基盤の冗長化とバックアップ

kintoneのクラウド基盤についてですが、国内の高度な基準を満たした安全なデータセンターで運用されており、冗長化はもちろんバックアップも万全です。さらに万が一の大規模災害に備えて、東日本と西日本のデータセンターでバックアップをとっているそうです。

外部機関の評価

kintoneは外部機関による評価も受けており、政府情報システムのためのセキュリティ評価制度(ISMAP)のクラウドサービスリストに掲載されています。さらにISMS認証についてもISO/IEC 27001(情報セキュリティ)、ISO/IEC 27017(クラウドサービスセキュリティ)の認証を受けています。また病院やクリニックなどにおいて医療情報システムを構築・利用する場合を想定して、3省4ガイドラインの各項目に対する対応状況について、三菱総合研究所による評価が公開されています。

kintoneのセキュリティのまとめ

kintoneは東証プライム上場企業の3社に1社が導入している（2022年3月時点）とのことで、そういう点からもセキュリティはかなり評価できるものと考えています。kintoneは安心して利用することができるクラウドサービスですので、導入を検討されてはいかがでしょうか？お気軽にご相談下さい。