「kintone」アプリ開発のセキュリティ強化へ、神戸デジタル・ラボが新診断サービスを開始

株式会社神戸デジタル・ラボは、ノーコード・ローコード開発が進む「kintone」アプリのセキュリティリスクを可視化する診断サービスを開始しました。カスタムJavaScriptや設定不備を分析し、安心してアプリを運用できる環境を支援します。

サービス提供の背景

見出し

1 サービス提供の背景
2 サービス概要と特長
- 2.1 サービスの主な特長
3 ソース元

多くの企業で利用されている業務アプリケーションプラットフォーム「kintone」では、ノーコード・ローコード開発の特性を活かし、現場が主体となって業務アプリを開発・改善するケースが増加しています。近年では、生成AIを活用してアプリ構成や設定の検討、JavaScriptコードの作成が行われるなど、専門的な開発スキルに依存しない高度な活用が広がっています。

一方で、アプリの自由度や活用範囲の拡大に伴い、外部からのデータ入力の扱い方、アクセス権限の設計、外部サービス連携時の設定など、確認すべきセキュリティ観点が多様化していると指摘されています。同社のセキュリティチームは、「kintone」アプリにクロスサイトスクリプティング（XSS）が存在した場合、アプリ内に保存された情報が第三者に取得される可能性がある攻撃が成立することを確認したとしています。サイボウズ社が公開する「kintoneセキュアコーディングガイドライン」でも、カスタムJavaScript実装時のセキュリティ対策の重要性が明記されています。こうした状況を踏まえ、同社は利便性だけでなく、セキュリティリスクの客観的な確認と安心して利用できる環境整備の重要性を強調しています。

サービス概要と特長

本サービスでは、企業が開発・運用する「kintone」アプリを対象に、ソースコードと設定内容の観点からセキュリティ診断を実施します。診断プランは「SAST診断」と「SAST＋設定診断」の2種類を用意しています。

SAST診断
「kintone」アプリのカスタムJavaScriptおよびCSSのソースコードを対象に静的解析を行い、XSSなどの脆弱性リスクを検出します。価格は税抜で約30万円からとされています。
SAST＋設定診断
SAST診断に加え、「kintone」アプリの設定内容や運用状況も確認し、セキュリティ上のリスクを総合的にチェックします。アクセス制御、外部連携、データ管理、ログなど、アプリの設定および運用全体をセキュリティ観点から確認します。価格は税抜で約50万円からとされています。

サービスの主な特長

カスタムJavaScriptに特化した診断
「kintone」アプリのカスタマイズに用いられるJavaScriptおよびCSSを対象に、人手によるレビューでは見落とされがちなXSSなどの脆弱性リスクをソースコードレベルで検証します。
ソースコードと設定の両面から診断
「SAST＋設定診断」プランでは、カスタムJavaScriptの静的解析による脆弱性診断に加え、アクセス制御やAPI利用、外部連携などの設定内容も確認し、「kintone」アプリのセキュリティ状態を総合的にチェックします。
分かりやすいレポートとアフターフォロー
脆弱性の詳細や対策方法を分かりやすいレポートにまとめ、オンライン報告会などを通じて改修のポイントまで解説します。

神戸デジタル・ラボは、「kintone」やサイボウズ製品の提案・開発・構築実績を持つオフィシャルパートナーでもあります。このため、「kintone」の仕様や活用方法を踏まえた、実現性の高い改善提案が可能であるとしています。同社は今後も、「kintone」の柔軟な活用をセキュリティの観点から支え、企業が安心して業務改善に取り組める環境づくりに貢献していく方針です。