セキュリティは後付けではなく設計です。kinplugの全プラグインは、日本の金融・保険・医療グループでの本番運用を前提に設計されています。
全てのサービスはGoogle Cloud Platformの東京リージョン(asia-northeast1)で運用されています。データは原則として日本国内に留まります。Cloud Run、Secret Manager、IAMによる最小権限原則を徹底しています。
OAuthトークンはAES-256で暗号化され、Kintoneアプリ(App 1434)にサブドメイン単位でスコープして保存されます。サブドメイン単位のスコープにより、edamame.kintone.com の接続情報が orix-metro.kintone.com から参照されることは不可能です。
全通信はTLS 1.2以上で暗号化されます。API認証はClerkによるOAuth(Google、Microsoft、メール)。APIレート制限、CORS制限、CSP制限を適用しています。
エンタープライズプランでは、お客様のIP制限環境(ホワイトリスト方式)に対応するためのプロキシ構成、またはオンプレミス導入オプションを提供しています。詳細は お問い合わせ よりご相談ください。
プラグイン本体(ZIP + PPK署名鍵)はKintone App 1415に二重バックアップ、GitHubプライベートリポジトリに三重バックアップされています。OAuth接続情報はKintoneアプリに保持されるため、お客様のKintoneバックアップポリシーに従います。
セキュリティインシデントは24時間以内にお客様に通知します。脆弱性を発見された場合は security@kinplug.com までご報告ください。責任ある開示に対しては謝意を表明し、必要に応じて報奨金を検討します。
エンタープライズプランでは、DPA(データ処理契約)締結、セキュリティチェックシート記入、SOC2相当の質問への書面回答、稟議書添付用の会社概要・セキュリティ資料提供を行っています。公式なSOC2認証は2026年下期の取得を目指しています。
万一当社が事業を停止する場合、Kinplug MailのAPIサーバーをオープンソース化し、お客様のセルフホスト移行を全面支援することを契約書に明記しています。Kinplug Mail以外のプラグインはお客様のKintone内で完全に動作するため、当社に依存しません。
GoogleかMicrosoftでサインイン、Kintoneサブドメインを入力、プラグインをインストール。90秒で稼働開始。