kintoneアプリのセキュリティ、見落としていませんか?
~カスタムJavaScriptと設定の両面から診断し、リスクを可視化~
本サービスは、企業が開発・運用するkintoneアプリを対象に、カスタムJavaScriptのソースコードおよびアプリ設定を調査し、セキュリティ上のリスクを可視化するものです。ノーコード・ローコード開発や生成AIの活用が進む中で、「現場主導で作られた業務アプリ」を安心して運用できる環境づくりを支援します。
- SAST診断/設定診断
- XSSなどの脆弱性を検出
- 専門家によるレポート&解説付き
\ 無料相談受付中! /
サービスご提供の背景
業務アプリケーションプラットフォームとして多くの企業で利用される「kintone」では、ノーコード・ローコード開発の特性を活かし、現場が主体となって業務アプリを開発・改善するケースが増えています。加えて近年では、生成AIを活用してアプリ構成や設定を検討したり、カスタマイズに用いるJavaScriptのコードを作成するなど、専門的な開発スキルに依存することなく、自社業務に合わせた高度で便利な活用が広がっています。
一方で、アプリの自由度や活用範囲が広がるにつれて、外部から入力されたデータの扱い方やアクセス権限の設計、外部サービスとの連携時の設定など、確認すべきセキュリティ観点も多様化しています。
実際に、当社のセキュリティチームでは、kintoneアプリにクロスサイトスクリプティング(XSS)が存在した場合、アプリ内に保存された情報が第三者に取得される可能性がある攻撃が成立することを確認しています。サイボウズ社が公開している「kintoneセキュアコーディングガイドライン」においても、カスタムJavaScript実装時のセキュリティ対策の重要性が明記されています。
こうした状況を踏まえ、kintoneアプリの開発・運用においては、利便性だけでなく、セキュリティリスクを客観的に確認し、安心して利用できる環境を整備することが重要となっています。
このようなお悩みはございませんか
- 生成AI活用などで現場主導のアプリ開発が進み、セキュリティ確認が追いついていない
kintoneのノーコード/ローコード開発や生成AIの活用によりアプリ開発は効率化したが、セキュリティの観点で十分にチェックできているか不安がある。 - カスタムJavaScriptの安全性に自信が持てない
外部入力やデータ表示処理を実装しているが、XSSなどの脆弱性がないかを専門的に確認できていない。 - 設定や外部連携を含めて全体のセキュリティを見直したい
アクセス権限やAPI、外部サービス連携など、設定や運用を含めた全体のセキュリティ状態を第三者の視点で把握したい。
セキュリティ診断サービス for kintone アプリ導入のメリット
kintoneアプリのセキュリティリスクを可視化し、安全な運用を支援します
- 現場主導による開発でも、セキュリティリスクを可視化
kintoneアプリのソースコードおよび設定内容を第三者の専門家が診断し、見落とされがちなセキュリティリスクを客観的に洗い出します。 - カスタムJavaScriptの安全性に自信が持てない
外部入力やデータ表示処理を実装しているが、XSSなどの脆弱性がないかを専門的に確認できていない。 - 設定や外部連携を含めて全体のセキュリティを見直したい
アクセス権限やAPI、外部サービス連携など、設定や運用を含めた全体のセキュリティ状態を第三者の視点で把握したい。
本サービスの特長
カスタムJavaScriptに特化した診断
kintoneアプリのカスタマイズで利用されるJavaScriptおよびCSSを対象に、人手によるレビューだけでは見落とされがちなXSSなどの脆弱性リスクをソースコードレベルで検証します。
ソースコードと設定の両面から診断
カスタムJavaScriptの静的解析による脆弱性診断に加え、アクセス制御やAPI利用、外部連携などの設定内容についても確認し、kintoneアプリのセキュリティ状態を総合的にチェックします。
分かりやすいレポートとアフターフォロー
脆弱性の詳細や対策方法を分かりやすいレポートにまとめ、オンライン報告会などを通じて改修のポイントまで解説します。
診断プラン
診断プランとして、「SAST診断」と「SAST+設定診断」の2つのプランを用意しています。 まずコードを確認したい、リリース前チェックをしたい場合には「SAST診断」、外部連携や権限含めた全体のセキュリティをしっかり確認したい場合には「SAST+設定診断」をお勧めします。
| プラン | 内容 | ご提供価格 |
|---|---|---|
| SAST診断 | kintoneアプリのカスタムJavaScriptおよびCSSのソースコードを対象に、静的解析を実施します。XSSなどの脆弱性リスクを検出し、ソースコードレベルでのセキュリティ課題を明らかにします。 | 30 万円(税抜)~ |
| SAST+設定診断 | SAST診断に加え、kintoneアプリの設定内容や運用状況についても確認し、セキュリティ上のリスクがないかを総合的にチェックします。 設定診断では、以下のような観点からセキュリティ状態を確認します。 アプリケーション基本設定 /アクセス制御 /APIセキュリテ /カスタムJavaScript(SAST) /プラグイン/外部連携サービス/外部公開機能/データ管理/監査・ログ/運用セキュリティ | 50 万円(税抜)~ |
Proactive Defenseのサービスを選ぶ理由
- 導入実績が豊富
-
Proactive Defenseでは2008年頃から診断サービスをご提供しており、Webアプリケーションをはじめプラットフォームや、クラウドセキュリティ設定診断など各種診断サービスの導入実績が多数ございます。
- kintone公式パートナーとしての知見と、開発・セキュリティの両面から支援
-
株式会社神戸デジタル・ラボは、kintoneやサイボウズ製品の提案・開発・構築実績を持つオフィシャルパートナーです。そのため、kintoneの仕様や活用方法を踏まえた、実現性の高い改善提案が可能です。また、セキュリティに加え、業務アプリ開発や生成AI活用の知見も有しており、開発現場で実行しやすい形での対策をご提案します。
サービスの進め方
お客様の御懸念されている内容を無料相談にてお伺いし、本サービスが適切かをヒアリングさせていただきます。
お客様のシステム環境についての情報をご提供いただきます。
日程調整の上、診断を実施します。
- 調査用のアカウントなどのご提供をお願いします。
診断結果をご報告させていただきます。
報告結果に対するご質問にも後日フォローアップを実施させていただきます。(対応期限有)
\ 無料相談受付中! /
関連サービス
ブログ
-
製造業におけるIoTシステムの脆弱性診断 〜クラウドAPIを中心とした多層的なセキュリティ評価の重要性〜
近年、製造業のお客様から、IoTシステムに対する脆弱性診断のご相談が増えています。工場やプラントに配置されたIoT機器がクラウド上のAPIと通信し、設備監視やデータ分析を行うシステムは、今や多くの現場で導入が進んでいます。 しかし、IoT化によって新… -
【OSCP+合格体験記】合格までにやった勉強法・学習時間・試験対策を全公開
このたび、Offensive Security社が提供する認定資格 OSCP+(Offensive Security Certified Professional Plus) に合格しました。せっかくなので、これから受験を考えている方の参考になればと思い、学習の進め方や試験当日の流れ、率直な感想をまとめます… -
SaaSサービス事業者が「今」脆弱性診断を受けるべき理由 〜顧客チェックシートなどのために脆弱性診断を実施する〜
SaaSサービス事業者を取り巻くセキュリティ要件は年々厳しくなっています。SaaSサービスを提供する事業者様にとって、「自社サービスのセキュリティをどう担保しているか」は、今や差別化要素ではなく「前提条件」になりつつあります。 ISMAPに代表される…
