kintoneとクラウドセキュリティ

こんにちは！

先日、「kintoneってセキュリティは大丈夫なの？」という話をお聞きしました。クラウドは信用できない。データをアップロードしたくない。という人をどうやって説得したらいい？　というお悩みでした。

クラウドにデータを預けることに関して、やっぱり不安を感じられる方はいらっしゃるのではないでしょうか？

今日は、kintoneとクラウドセキュリティについて考えてみます。

問題となっているのは何か

「クラウドのセキュリティは大丈夫か？」という問い。これは全く具体的ではありません。だって、「大丈夫です！」と言えばいいわけですからね。でもそういうことを聞いているわけではないでしょう。

具体的に情報セキュリティ上のリスクとは何かを考えてみましょう。

以上の４点が考えられるのではないでしょうか？

そして、前提条件として、cybozu.comは情報セキュリティマネジメントシステムについて、第三者機関から認証を受けています。そして「政府情報システムのためのセキュリティ評価制度(ISMAP)」のクラウドサービスリストに掲載されています。

ですから、「kintoneは高水準のセキュリティが保たれた空間である」と言えます。

こういった前提条件のもとに、４つのリスクについて考えていきましょう。

kintoneはWebサービスなので、モバイル端末やPCと常時接続されてはいません。また社内ネットワークに対して、kintone側から接続するといったことをしません。

なので、kintoneを攻撃されるか、社内システムを攻撃されるか、別々のリスク対策となります。

kintoneは常にアップデートが実施され、セキュリティも高い水準で担保されています。また、サーバーのような特定の攻撃点を持たないので、ランサムウエアのような攻撃も通りません。

社内システムへの攻撃と比較してリスクはかなり低いでしょう。

保存されるデータについて、サイボウズ社のデータセンターでは通信路も含めて暗号化されており、情報が万が一盗まれても、復号されて読み解かれない限り、情報が漏洩することはありません。

なので、人的なミス以外で情報の漏洩は起きないと考えてもよいです。サイボウズ社はデータのマネジメントに関して、ISMS認証を受けています。

kintoneを運用するのはユーザーです。

アクセス制御のために、クライアント証明書を用いたセキュアアクセスや、モバイルアプリでの２段階認証といった、ユーザーに求められる機能を、kintoneも備えています。

kintoneの稼働実績は下記サイトから閲覧することができます。

99.99%以上の数値を保っていることが分かると思います。

kintoneは信頼性の高いインフラ基盤で運用されており、複数のデータセンターによって冗長化されています。

自社システムで同等の基盤を構築することは難しいのではないでしょうか。

ただし、kintoneは定期メンテナンスのために、月に１度、主に深夜時間帯で計画停止します。必ずメール等で連絡が来るので、その時間帯での利用ができない点は考慮に入れておく必要があります。

kintoneが基盤にしているcybozu.comは複数のデータセンターにまたがって運用されているということをお話しました。

このデータセンターは、東日本と西日本の２拠点に分散されています。

なので、日本全体が見舞われるような超巨大な災害が起こらない限り、システム基盤は保たれます。そこまでの大災害は歴史上起こっていないですし、発生したら業務どころではないので、思い煩う必要はないでしょう。

「社内や今自分が使っているPCより、kintoneにデータを置いておく方が安全」という企業のほうが大多数なのではないでしょうか？

cybozu社と同等のセキュリティ体制を敷くことは大変難しいことと思います。

もちろん、kintoneが完璧ということはありませんが、ランサム対策もネットワーク攻撃も考えなくてもいいkintoneは、かなり優秀な保管庫です。

ただし、運用するのは人間です。kintoneを利用する社内の人間が、データを持ち出したり、不正な端末で使ったりといったことを防ぐために、セキュアアクセスや２段階認証など、必要な機能を組み合わせて対処しましょう。

いかがでしたでしょうか。

kintoneを「社内より安全な場所」と考えるようにすれば、クラウドサービスは危険という漠然とした課題から解き放たれることができるのではないでしょうか？

しかし、利用するのは人間です。誤った利用を防ぐために、kintoneのセキュリティ機能を賢く活用しましょう。

今回の記事は以下を参考にしています。