COLUMお役立ちコラム
kintoneは危険?ネガティブな評判の真相とセキュリティ対策を徹底解説
kintoneを検討している企業の中には、「クラウドだから情報漏えいが心配」「不正アクセスされやすいのでは?」といったネガティブな印象を持つ方も少なくありません。特に、紙やExcelでの管理から移行する場合、セキュリティ面への不安が導入の壁になりがちです。
しかし、結論から言うと、kintoneはISMS認証やISMAP(政府情報システムのためのセキュリティ評価制度)にも対応した高い水準のセキュリティ基盤を備えたクラウドサービスです。「危険」というネガティブな評価が生まれる原因の多くは、kintone自体の問題ではなく、初期設定のまま運用していることや、セキュリティ機能を使い切れていないことにあります。
本記事では、kintoneがネガティブに見られがちな理由を整理しながら、セキュリティ対策の実態と正しい運用のポイントをわかりやすく解説します。
【この記事で分かること】
- kintoneが「ネガティブ」「危険」と言われる理由
- kintoneが取得しているセキュリティ認証(ISMS・ISMAP等)
- kintoneが提供する主なセキュリティ機能の一覧
- バックアップ体制の実態と注意点
- 安全に運用するために最低限やるべき設定
kintoneが「ネガティブ」「危険」と言われる理由
kintoneに対するネガティブな声は、主に以下の3つのパターンに集約されます。
- 「クラウド=危険」というイメージ:オンプレミス(自社サーバー)と比べて、クラウドサービスは外部にデータを預けることになるため、漠然とした不安を感じるケース。しかし実際には、サイボウズのようなクラウドベンダーは自社サーバーよりもはるかに厳格なセキュリティ基準で運用しています
- 「誰でも簡単に使える=セキュリティが弱い」という誤解:kintoneはノーコードで業務アプリを作成できる手軽さが特長ですが、「簡単=セキュリティが甘い」わけではありません。使いやすさとセキュリティは別の設計レイヤーです
- 初期設定のまま運用していることによるリスク:kintoneは柔軟なセキュリティ機能を備えていますが、デフォルトでは多くの制限が「オフ」になっています。2要素認証やIPアドレス制限を設定せずに運用していると、セキュリティが不十分な状態になり、結果として「kintoneは危険」というネガティブな印象につながります
つまり、「kintoneが危険」なのではなく、「kintoneのセキュリティ機能を正しく設定していない状態が危険」なのです。
kintoneのセキュリティレベル——客観的な評価
kintoneを支えるクラウド基盤(cybozu.com)は、以下のセキュリティ認証・第三者評価を取得しています。
| 認証・評価 | 内容 |
|---|---|
| ISMS認証(ISO/IEC 27001) | 情報セキュリティマネジメントシステムの国際規格。サイボウズが取得済み |
| ISMSクラウドセキュリティ認証(ISO/IEC 27017) | クラウドサービスプロバイダとしてのセキュリティ管理体制の認証 |
| ISMAP | 政府情報システムのためのセキュリティ評価制度。kintoneはクラウドサービスリストに掲載されており、官公庁・自治体でも採用実績がある |
| 第三者セキュリティ監査 | 2013年から継続的に外部機関によるセキュリティ監査を実施し、結果を公開 |
ISMAPに掲載されているということは、政府が定めるセキュリティ基準を満たしていることを意味します。「クラウドだから危険」というイメージとは正反対に、kintoneは政府レベルのセキュリティ要件を満たしたサービスです。
kintoneの不正アクセス対策——主なセキュリティ機能一覧
kintone(および基盤となるcybozu.com共通管理)では、複数のセキュリティ機能が用意されています。これらを組み合わせて多層防御を構築することが、安全な運用の鍵です。
| 機能 | 概要 | 設定の推奨度 |
|---|---|---|
| 2要素認証 | ログイン名・パスワードに加えて、認証アプリ(Google Authenticator等)による確認コードの入力を求める | ◎(全ユーザーに設定推奨) |
| IPアドレス制限 | 指定したIPアドレスからのみアクセスを許可。社内ネットワーク以外からのアクセスを遮断できる | ◎(オフィス利用中心の企業に特に推奨) |
| セキュアアクセス(クライアント証明書) | 特定の端末にのみアクセスを許可する仕組み。IPアドレス制限と併用することで、リモートワーク環境でも安全にアクセス可能 | ○(リモートワーク環境がある企業に推奨) |
| Basic認証 | IPアドレス制限を有効にした場合に追加設定できる認証機能。通常のログインに加えて別途ID・パスワードを要求 | ○(追加の認証レイヤーが必要な場合) |
| ユーザー・権限管理 | ユーザー単位で閲覧権限・編集権限など操作権限を細かく制御 | ◎(必須) |
| SAML認証 | Azure AD等の外部ID管理基盤と連携し、シングルサインオン(SSO)を実現 | ○(既存のID管理基盤がある企業に推奨) |
| 監査ログ | cybozu.com共通管理から操作履歴を確認・ダウンロード可能 | ◎(定期的な確認を推奨) |
ネガティブな印象を持たれるケースの多くは、これらの機能のうち2要素認証とIPアドレス制限が未設定のまま運用されていることが原因です。この2つだけでも設定すれば、不正アクセスのリスクは大幅に低減できます。
kintoneのデータ保護・バックアップ体制
「クラウドだとデータが消えたら終わりでは?」という声もよく聞かれます。kintoneのバックアップ体制について、正確に理解しておきましょう。
サイボウズ側のバックアップ
cybozu.comでは障害時に備えたバックアップを毎日取得しています。ただし、このバックアップはシステム障害時の復旧を目的としたものであり、ユーザーが誤ってデータを削除した場合には利用できません。
ユーザー側で対応すべきバックアップ
kintoneには一括でデータをバックアップする標準機能はありません。ただし、以下の復旧手段が用意されています。
- アプリ・スペースの復旧:誤って削除した場合でも、cybozu.com共通管理者であれば14日以内であれば復旧可能です。ただし、14日を過ぎると復旧できなくなるため、早急な対応が必要です
- レコードのCSV書き出し:個々のアプリからレコードデータをCSV形式で書き出し、手動でバックアップを取得できます。ただし、添付ファイルはCSV書き出しの対象外です
- テンプレート機能:アプリの設定内容をテンプレートとして保存しておくことで、設定を誤って変更してしまった場合に再作成が可能です
これらの標準機能だけでは、「誤操作によるレコード削除」「退職者による意図的な削除」「添付ファイルのバックアップ」といったリスクに十分対応できないため、バックアップ専用の連携サービス(kBackup等)の併用や、定期的なCSV書き出しの運用ルール策定が推奨されます。
セキュリティ設定ガイド・監査資料の活用
kintone(cybozu.com)では、セキュリティ設計を支援する公式資料が提供されています。
- セキュリティチェックシート:自社のセキュリティ要件を満たしているかを確認できる、情シス提出・監査用のシート
- セキュリティ設定ガイド:安全な運用手順をまとめたガイドライン
これらを活用することで、自社に合ったアクセス制限の設定、設定漏れやリスクの洗い出し、経営陣や情シスへの安全性の説明がスムーズに行えます。「なんとなく不安」というネガティブな感情を、具体的な対策に落とし込めるのが大きなメリットです。
他サービスと併用する際のセキュリティ対策
kintoneは、他のSaaSや外部サービスと連携して使われるケースが増えています。kintone単体では安全でも、併用サービス側の設定不備がセキュリティ事故につながることがあるため、以下の点に注意しましょう。
- 連携先サービスの権限管理:kintone側で権限を適切に設定していても、連携先のサービスで過剰なアクセス権限が付与されていると、データが意図しない範囲に共有されるリスクがあります
- APIトークンの取り扱い:外部サービスとのAPI連携時に発行するAPIトークンは、必要最小限の権限のみを付与し、不要になったトークンは速やかに無効化しましょう。トークンの定期的なローテーション(3〜6ヶ月ごとの再発行)も推奨されます
- 不要になった連携の放置:過去に設定した連携が使われなくなったまま残っていると、セキュリティホールになります。定期的に連携設定を棚卸しし、不要なものは削除してください
まとめ——ネガティブを防ぐ鍵は「設定」と「運用」
kintoneが「危険」「不安」と言われる理由の多くは、kintone自体のセキュリティの問題ではなく、セキュリティ機能を正しく設定・運用できていないことにあります。
kintoneはISMS認証・ISMAP掲載・第三者セキュリティ監査を継続的に受けており、政府レベルのセキュリティ要件を満たしたクラウドサービスです。以下の設定を行うだけでも、セキュリティレベルは大幅に向上します。
- 2要素認証の有効化(全ユーザー)
- IPアドレス制限の設定(社内ネットワークからのアクセスに限定)
- ユーザー権限の適切な設定(最小権限の原則)
- バックアップ運用ルールの策定(定期的なCSV書き出し or バックアップサービスの導入)
- 外部連携の定期棚卸し
トムスでは、kintone導入・運用においてセキュリティ設計から運用ルール策定まで一貫した支援を行っています。
- 管理者設定の見直し(2要素認証・IPアドレス制限・権限設計)
- セキュリティチェックシート・設定ガイドの活用支援
- 他サービス連携時のリスク整理
- バックアップ運用の設計
「ネガティブな不安を解消した上でkintoneを活用したい」という方は、ぜひご相談ください。
監修者
中川 豊章
株式会社トムス 代表取締役
