kintone気をつけようシリーズ 情報漏洩編①

お前誰？

トヨクモ株式会社の前CTOとしてフォームブリッジやkViewerなどkintone連携サービスの開発をしてきました。2014年の制度発足時からのkintoneエバンジェリストで、（自称）kintoneやkintone連携サービスのセキュリティ、パフォーマンス、カスタマイズなど高度な技術領域に詳しいマンです(^^)
今はトヨクモクラウドコネクト株式会社の取締役をしております。

これなに？

「kintone気をつけようシリーズ」では、セキュリティやパフォーマンスなどのkintoneやkintone周辺サービスを使う上での気をつけた方がいい点を発信していきたいと思っています。
最初は正しく設計・設定しないと情報漏洩に繋がるケースをピックアップしていきます。

kViewerの不適切な利用

kViewerはkintoneのレコードデータを外部公開できるサービスです。ただ外部公開する時のビューの公開レベルを適切に設定しないと、情報漏洩に繋がります。

ビューの公開レベルをまとめると以下の４つに分類できます。

• 制限なし

• IP制限

• １つのID/パスワード

• Toyokumo kintoneApp認証（メールアドレス認証）

Toyokumo kintoneApp認証（メールアドレス認証）

こちらの認証を使ったよくある公開レベルは２つです。

• 認証ユーザーすべてに同じデータを公開

• 認証ユーザーのメールアドレスに紐づいたデータのみを公開

たまにある失敗例として、「認証ユーザーのメールアドレスに紐づいたデータのみを公開」するつもりが、「認証ユーザーすべてに同じデータを公開」となっていたことにより、自分のデータを他人が閲覧できる状態になってしまっていた、というものがあります。
検証時のテストデータを自分のメールアドレスに紐づいたデータのみしか登録しておらず、設定が間違っているのに気づかずリリースしてしまうのかもしれません…

まとめ

便利なkViewerですが、外部にデータを公開するサービスだからこそ目的の設定になっているかしっかり確認しましょう！（もし不安な場合はkViewerに詳しい人にレビューしてもらうと良いです）