top of page
検索

kintoneのセキュリティは安全?4万社が選ぶ「鉄壁の守り」とその安さの秘密を徹底解説

更新日:1月11日

企業のDX(デジタルトランスフォーメーション)が進む中で、業務改善プラットフォームとして圧倒的なシェアを誇る「kintone(キントーン)」。しかし、顧客情報や社外秘のデータをクラウド上に預けるにあたり、「kintoneのセキュリティは本当に安全なのか?」という疑問や不安を抱く担当者の方は少なくありません。


結論から申し上げますと、kintoneは「大企業や官公庁が採用するレベルのセキュリティを、月額約1,800円(スタンダードコース)で手に入れられる」という、極めてコストパフォーマンスの高いセキュリティ基盤を持っています。

本記事では、10年以上の運用実績と4万社以上の導入実績を誇るkintoneが、具体的にどのような技術と体制でデータを守っているのか、物理的なデータセンターの堅牢性から、ユーザーが利用できる認証機能まで、その全貌を徹底的に解説します。


1. 10年以上の実績と4万社の信頼が証明する「kintone」の安全性


クラウドサービスを選定する際、最も信頼できる指標の一つが「運用期間」と「導入社数」です。できたばかりのサービスと、長期間にわたり攻撃や障害を乗り越えてきたサービスとでは、蓄積されたノウハウに雲泥の差があるからです。


大企業も認める10年以上の運用実績

kintoneは、2011年のサービス開始から10年以上にわたり運営されています。この間、IT業界では様々なサイバー攻撃の流行や技術革新がありましたが、kintoneはその都度セキュリティ対策をアップデートし続けてきました。

現在では、東証プライム上場企業からスタートアップ、さらには高いセキュリティ要件が求められる自治体や官公庁まで、40,000社以上(2025年時点)の組織に導入されています。これだけの数の組織が、自社の重要データをkintoneに預けているという事実こそが、その信頼性を裏付ける何よりの証拠と言えるでしょう。


月額約1,800円で手に入る「大企業レベル」の安心

特筆すべきは、そのコストパフォーマンスです。kintoneのスタンダードコースは1ユーザーあたり月額1,800円(税抜・記事執筆時点)程度ですが、この金額で大企業が自社構築(オンプレミス)で実装しようとすれば数億円規模の投資が必要になるレベルのセキュリティ基盤を利用できます。

中小企業や部門単位の導入であっても、予算をかけることなく、世界最高水準のセキュリティ恩恵を受けられる点は、kintone最大のメリットの一つです。


2. 第三者機関が保証する信頼:ISMS認証と各種セキュリティ認定

「安全です」と自称するだけでは、セキュリティの証明にはなりません。kintoneを運営するサイボウズ社は、客観的な第三者機関による厳格な審査を受け、複数の認証を取得しています。


国際規格 ISO/IEC 27001(ISMS)の取得

サイボウズは、情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO/IEC 27001」の認証を取得しています。これは、情報の機密性、完全性、可用性を維持するための組織的な枠組みが適切に構築・運用されていることを証明するものです。


クラウドセキュリティ特有の認証も網羅

さらに、クラウドサービス固有の管理策を規定した「ISO/IEC 27017」の認証も取得しています。これにより、クラウドサービスプロバイダとしてのセキュリティ対策が、国際的なベストプラクティスに適合していることが認められています。

これらの認証は一度取得して終わりではなく、定期的な維持審査(サーベイランス)や更新審査が行われるため、常に最新のセキュリティレベルが維持されていることの証明となります。監査対応が必要な上場企業にとっても、これらの認証取得済みサービスであることは、導入障壁を大きく下げる要因となります。


3. 金融機関レベルの堅牢性:物理的侵入を許さないデータセンター

クラウドサービスといっても、データは物理的なサーバーの中に存在します。kintoneのデータが保管されているデータセンターは、どのような環境にあるのでしょうか。サイボウズが公開しているインフラ情報によると、そのスペックは金融機関が求めるレベルに達しています。

堅牢なセキュリティ
堅牢なセキュリティ

「ティア4」相当の最高レベルファシリティ

kintoneのデータセンターは、日本データセンター協会が定める基準において、ほぼ全ての項目で「ティア4(Tier 4)」を満たしています。これはデータセンターの品質基準において最高ランクに位置し、極めて高い耐災害性と信頼性を持っていることの客観的な証明です。


金融機関向けの安全基準「FISC」に準拠

さらに特筆すべきは、「FISC安全対策設備基準」を満たしている点です。これは公益財団法人金融情報システムセンター(FISC)が定める非常に厳しい基準で、銀行などの金融機関がシステムを構築する際の指針となるものです。 kintoneは、この厳しい基準をクリアした環境で運用されており、物理的な侵入対策から電源の多重化まで、徹底した管理が行われています。

  • 最高レベルの耐震性: 大規模地震にも耐えうる免震・制震構造。

  • 物理セキュリティ: 生体認証、共連れ防止ゲート、24時間365日の有人監視などにより、物理的な不正侵入をシャットアウトします。

「自社のサーバー室よりも、kintoneに預けたほうが安全」と言われるのは、これほど高度なファシリティ(ティア4、FISC基準)を自社単独で維持することが、コスト面でも運用面でも極めて困難だからです。


4. データ消失リスクへの備え:東西での「完全冗長化」とバックアップ

セキュリティとは「外部からの攻撃を防ぐ」ことだけではありません。「災害や障害からデータを守る(可用性の確保)」ことも極めて重要です。kintoneは、BCP(事業継続計画)の観点からも強力な構成をとっています。

複数のデータセンターに14日間のバックアップを保管
複数のデータセンターに14日間のバックアップを保管

データの4重管理と14日間のバックアップ

kintone上のデータは、単一のハードウェアに保存されるのではなく、複数のサーバーに分散して冗長化(コピー)されています。さらに、システム側で自動的に毎日バックアップが取得され、直近14日間分が常に保持されています。これにより、機器の故障リスクとデータ破損リスクの両方に備えています。


西日本データセンターへの「冗長化」

さらに安心なのが、大規模災害への対策です。kintoneのデータは、東日本のメインデータセンターだけでなく、西日本のデータセンターにも冗長化(複製・保管)されています。


もし仮に、東日本を襲う未曾有の大災害が発生し、メインデータセンターが機能不全に陥ったとしても、データは西日本のデータセンターで安全に守られています。この地理的に離れた場所でのデータ保全(ディザスタリカバリ)が、追加費用なしで標準装備されている点は、企業のBCP対策として非常に強力なメリットです。


5. 24時間365日の監視体制:専門チームと自動化による運用

システムは「作って終わり」ではありません。日々の運用こそが安定性の鍵を握ります。


自動化された障害検知と復旧プロセス

kintoneのインフラ基盤では、サーバーやネットワークの状態を24時間体制で常時監視(死活監視)しています。特徴的なのは、ハードウェア障害などを検知した場合に、自動で復旧する仕組みが構築されていることです。多くのトラブルはユーザーが気づかないうちに自動的に処理され、安定稼働が維持されます。


専門チーム「CSIRT」などによる対応

自動化できない事象やセキュリティインシデントに対しては、社内の専門チームであるCSIRT(Computer Security Incident Response Team)や運用メンバーが対応にあたります。 また、外部からのDoS攻撃/DDoS攻撃に対しても、自動的にアクセスを制御して影響を最小限に抑える仕組みを採用しており、サイバー攻撃への備えも万全です。

「何かあってもサイボウズの専門家が裏で動いている」という安心感は、情シス担当者が不在の中小企業にとっては特に心強い支えとなります。


6. 不正アクセスを防ぐ「玄関」の守り:多彩なログイン認証機能

ここまでは「サーバー側(サイボウズ側)」の守りについて解説してきましたが、ここからは「ユーザー側」で設定できるアクセス制御について解説します。 クラウドサービスのセキュリティ事故の多くは、実はサーバーへのハッキングではなく、ID・パスワードの流出や使い回しによる「なりすましログイン」が原因です。kintoneは、この「玄関の鍵」を何重にも強化する機能を標準で備えています。


独自のサブドメインによる入り口の制限

kintoneを契約すると、https://(任意の文字列).cybozu.com という独自のサブドメインが発行されます。全ユーザーが同じログイン画面を使う一般的なWebサービスとは異なり、まず「自社の入り口」を知らないとログイン画面にすら辿り着けません。これだけで、無差別な攻撃のリスクを一定数減らすことができます。


標準で利用できる強力なアクセス制限

kintone(cybozu.com共通管理)では、以下の機能を標準(無料)で組み合わせることができます。

  1. IPアドレス制限: 「会社オフィスのIPアドレスからしかアクセスできない」ように設定できます。これにより、第三者がIDとパスワードを盗んだとしても、社外のネットワークからはアクセスできないため、不正ログインをシャットアウトできます。

  2. Basic認証: ログイン画面が表示される前に、もう一つの共通パスワード(Basic認証)を要求することができます。二重の壁を設けることで、総当たり攻撃などのリスクを低減します。

  3. 多要素認証(2要素認証): IDとパスワードに加え、確認コード(メールやアプリで通知)の入力を必須にすることができます。「知っているもの(パスワード)」と「持っているもの(スマホなど)」を組み合わせることで、セキュリティ強度は飛躍的に向上します。これが標準機能として追加費用なしで使えるのは大きな強みです。


7. 更に強固なセキュリティオプション:クライアント証明書(セキュアアクセス)

「IPアドレス制限をかけたいが、営業担当は外出先や自宅からもスマホでアクセスさせたい」。 このような、セキュリティと利便性の両立が求められるシーンに応えるのが、オプション機能(または上位コース)で利用可能な「セキュアアクセス」です。

強固なモバイルセキュリティ
強固なモバイルセキュリティ

デバイスを特定する「クライアント証明書」

セキュアアクセスを利用すると、「クライアント証明書」を発行することができます。これはデジタルな「社員証」や「通行手形」のようなものです。

この証明書がインストールされた端末(PCやスマートフォン)からのみ、kintoneへのアクセスを許可することができます。

  • 会社支給のPCには証明書を入れる。

  • 個人の私物スマホには入れない。 といった運用をすることで、**「場所は問わず(リモートワーク対応)、しかし許可された端末からしかアクセスさせない」**という、現代の働き方にマッチした高度なセキュリティ環境を構築できます。


認証アプリによるスムーズなログイン

また、スマートフォンでの利用時には、専用の認証アプリを活用することで、証明書の管理やログインプロセスをよりセキュアかつスムーズに行うことも可能です。これにより、現場の利便性を損なうことなく、管理者も安心して社外アクセスを許可することができます。


8. まとめ:kintoneは「守り」と「攻め」を両立するバランスの良い選択肢

ここまで見てきたように、kintoneのセキュリティは以下の多層的な防御によって構成されています。

  1. 物理層: ティア4相当のデータセンターによる物理防御とFISC基準準拠。

  2. データ層: 西日本への冗長化と14日間のバックアップによる災害対策(BCP)。

  3. 運用層: 10年の実績、ISMS認証、CSIRTや専門チームによる24時間監視。

  4. 認証層: IP制限、2要素認証、クライアント証明書による不正アクセス防止。


これら全てを自社で構築・維持しようとすれば、莫大なコストと人的リソースが必要です。しかしkintoneであれば、月額1,800円程度からの利用料で、この巨大なセキュリティインフラを「サービス」として利用することができます。


「セキュリティが不安でクラウドに踏み切れない」という企業にとって、kintoneはむしろ「自社で管理するよりも遥かに安全な金庫」を提供してくれる存在です。 安心して重要なデータを預け、本来注力すべき「業務改善」や「DX推進」という攻めの活動に専念するための基盤として、kintoneの採用は非常に合理的な選択と言えるでしょう。


もし現在、セキュリティチェックシートの回答作成や、社内の説得材料にお困りであれば、サイボウズ公式サイトで公開されている詳細なホワイトペーパーやセキュリティガイドラインもぜひ参照してみてください。kintoneは、あなたの会社のデータを守りながら、ビジネスを加速させる最強のパートナーとなるはずです。


コメント

記事: Blog2_Post
bottom of page