ペーパーレス実現にコミット!

kintone(キントーン)コンサルのペパコミです!

 

先日保険営業マンがkintone使えば見込み管理が超便利に安全に活用出来るの記事を書きましたが、その中でセキュリティについて触れました。

 

保険営業マンが扱う情報は個人情報で厳格に管理する必要があるため、そう簡単にシステムを使えないんですよね。

果たしてkintone(キントーン)は大丈夫なの?と思いますので、kintone(キントーン)のセキュリティ対策を並べていこうかと。

kintone(キントーン)の不正アクセス対策

kintone(キントーン)は不正アクセス対策がある

kintone(キントーン)はサービス利用時にログイン画面に、許可されていない第三者がアクセスできないようにします。

・ID、パスワードによる認証

・該当ユーザーの「接続元」による認証

上記を組み合わせることで「2ファクター認証」を実現

kintone(キントーン)の不正ログイン対策

kintone(キントーン)は不正アクセス対策がある

仮にログイン画面を突破したとしても、ログインできないような設定が可能!

ログインパスワードは、有効期間や長さ、アルファベットと記号の混合による複雑さなどを自由に設定可能!

それぞれ3文字〜15文字の範囲で設定可能!

パスワードの文字数
パスワードの複雑さも選択可能
パスワードの複雑さ
パスワードの再利用や制限・拒否設定も可能
パスワードの再利用
パスワードの有効期間30日間、60日間、90日間、180日間、1年間、無期限から選択可能
パスワードの有効期間

パスワードを連続して間違えた場合、アカウントをロックすることが可能

失敗回数を”3回〜10回”または”ロックアウトしない”から選択可能

ロックアウトまでの失敗回数設定

 

ロックアウトを解除するまでの時間を”3分、15分、30分、60分、解除しない”から指定可能ロックアウト解除までの時間指定

ログイン名の入力の自動化設定も可能

ログイン名の自動補完の有効/無効
自動ログインの設定

監査ログも取れる!

監査ログ

kintone(キントーン)の脆弱性対策

利用しているOSや他社ソフトウェアの脆弱性による被害を防止するための取り組みも多々実施しています。

kintone(キントーン)を提供しているサイボウズ社内では「Cy-SIRT」を設置。

Cy-SIRT(Cybozu - Computer Security Incident Response Team)の活動

サイボウズ製品は、お客様への提供前に品質保証チームにおいて脆弱性検証を実施。

サイボウズ製品の脆弱性への取り組み

OSや他社のソフトウェアなどの脆弱性の情報収集も常に実施し、対策を行っている

コンピュータのOSや他社のソフトウェア等の脆弱性への取り組み
情報セキュリティマネジメントシステム(ISMS)の認証を取得
情報セキュリティマネジメントシステム(ISMS)

kintone(キントーン)のデータ消失対策

データは”Square”と呼ぶ4重のバックアップ体制で保護。

サービス終了後から30日後に、入力データ、ユーザー情報、監査ログを消去。

バックアップデータは各データの消去から2週間程度で完全に消去。

データ管理するストレージサーバーは、1つのサーバーにつき12台のハードディスクで構成。

うち10台はRAID 6と呼ばれる冗長化手法を採用しており、10台中2台のハードディスクが同時に故障してしまってもデータが消失することはありません。

残り2台のハードディスクはホットスペアとして常に待機させており、ハードディスクに故障が発生した際は自動的に置き換えることが可能な運用体制を整えています。

バックアップ専用サーバーによる14日分の差分バックアップもしているため、他ストレージサーバーが消去されても復元可能

データ消失対策

kintone(キントーン)の災害対策

災害や停電などが発生した場合でも、業務を止めることなくサービスを使い続けることが可能。

電源や回線、ネットワークを冗長化することで、災害が発生した場合の影響を最小化しています。

電源、回線、ネットワークを冗長化

kintone(キントーン)の障害検知・復旧対策

自動障害検知・回復システムがあり、異常検知を素早く行うためにサーバー同士が相互監視

万一には合議の上で障害か否かを判断。

障害の場合は、速やかにスペアサーバーに置き換わる自動復旧プロセスが開始され、通常であれば5分以内に回復する仕組みになっております。

また、ネットワーク障害などで短時間に多数のサーバーが異常を起こした際には、連鎖障害を防止するモードに移行します。

自動障害検知・回復システム

また特定のサブドメイン(URL)に対して短時間にアクセスが集中した場合は、自動的に該当するサブドメインを停止し、他の環境へ影響が及ばないように制御する仕組みを採用

そのほか自動死活監視システム、自動侵入検知・防止システムも備えています。

DoS攻撃、DDoS攻撃の防止

kintone(キントーン)のヒューマンエラー対策

サービスアップデート時は複数回のテストを実施

サービスアップデートまでの体制

運用環境と遠隔バックアップ環境を「同時に」操作することができないようシステムを分離。

遠隔バックアップデータの分離

どのような場合も技術者単独の操作

緊急時も単独での操作は禁止

結論

kintoneのセキュリティ対策はスゴイ(小並感

一部上場企業も多く利用されている理由が分かりますねぇ~