セキュリティ
安全に使っていただくために。
Plumeru は、業務で毎日使う kintone に入れるものだからこそ、配布・通信・課金・秘密情報の扱いまで、安全性を前提に設計しています。ここでは、その具体的な取り組みをまとめています。
配布するプラグインの安全性
- kintone のプラグイン署名形式に準拠して署名(改ざん防止)したファイルを配布しています。
- 公開前に実機の kintone で動作を確認しています。
- kintone の標準的な API の範囲で動く軽量な実装にとどめ、既存の運用を乱しません。
- 各プラグインの「使える項目・できないこと」をガイドに明記し、想定外の動作を避けます。
通信とインフラ
- サイト・API への通信はすべて HTTPS に限定(HTTP は自動で HTTPS に転送)。
- HSTS を有効化し、常に暗号化された通信を強制します。
- 配信は Google Cloud(App Engine)上で運用しています。
- 前段に CDN/WAF(Cloudflare)を置き、不正なアクセスを抑制します。
課金・ライセンスの設計
- プラグインの利用判定は kintone のドメイン単位で行い、個別のトークンを端末に保持しません。
- 判定 API は許可した参照元(CORS)に限定して応答します。
- 万一、判定ができないとき(通信障害など)も保存を妨げません(フェイルオープン設計)。kintone 本来の動作を止めないことを優先します。
- 決済は Stripe が処理し、カード情報を当社サーバーで保持しません。
秘密情報とデータの扱い
- APIキーや署名鍵などの秘密情報は Google Secret Manager で集中管理し、ソースコードや公開リポジトリには置きません。
- 取り扱う情報は提供に必要な範囲に最小化しています。詳細はプライバシーポリシーをご覧ください。
- 依存ソフトウェアは継続的に監視・更新し、既知の脆弱性に対応します。
- プラグインが扱うレコードのデータはお客様の kintone 内にあり、当社が複製・蓄積することはありません。
稟議・セキュリティ確認について
稟議・社内共有用に、製品概要(PDF・1枚/印刷対応)とこのページでデータの取り扱い・安全性をまとめています。多くの確認事項はこの2つでご確認いただけます。これで解決しないご質問のみ、お問い合わせフォームから「セキュリティ確認」としてお送りください。
本ページは現時点の取り組みをまとめたものであり、内容は予告なく改善・更新する場合があります。ご利用条件は利用規約、個人情報の取り扱いはプライバシーポリシーもあわせてご確認ください。