セキュリティの考え方

キューRクラウドは、単なる ID/パスワード強化ではなく、FIDO2規格に準拠したPasskey（パスキー）認証を中核としたモダンなセキュリティ基盤に移行しています。

セキュリティは大きく「WEBサーバ/インフラの技術的対策」「認証・アクセス制御（パスキー）」「事業者・利用者それぞれの運用」の3つのレイヤで構成されます。本ページでは、キューRクラウドがどのような前提でセキュリティを設計し、どこまでを標準機能として提供しているかを整理してご紹介します。

WEBサーバ目線でのセキュリティ対策（技術）

常時暗号化通信（TLS 1.3）による盗聴・改ざん対策
テナント（お客様）単位で論理的に独立したデータ保存
XSS（Cross Site Scripting）対策・CSRF対策
SQLインジェクション対策
WAF（Web Application Firewall）の導入
CookieへのHttpOnly/Secure属性適用
ランダムで複雑なセッションキーの発行とセッションハイジャック対策
ミドルウェアの自動セキュリティアップデート
不正アクセスログの収集・検知・分析
サーバは日本国内データセンタに設置
月1回の脆弱性診断の実行

WEBサーバのセキュリティイメージ

Passkeyを中心とした認証・アクセス制御

キューRクラウドでは、従来の ID/パスワード認証に加えて、FIDO2規格準拠のPasskey認証を標準提供しています。Passkey は、端末内に秘密鍵、サーバ側に公開鍵のみを保持する公開鍵暗号方式の認証であり、第三者によるパスワード詐取や総当たり攻撃が成立しません。

秘密鍵はユーザの端末内にのみ保存され、クラウド上には保存されません
サーバ側には公開鍵のみを保存するため、万が一サーバが攻撃されても認証情報として悪用されにくい構造です
フィッシングサイトでパスワードを入力してしまうリスクが原理的に発生しません
認証時にはデバイスの顔認証・指紋認証・PIN などによる本人確認が必須です

さらに、キューRクラウドでは次のような運用ルールを設け、より実務に即したセキュアな運用を実現しています。

管理者ユーザ：最大5台までのデバイス登録が可能
ゲストユーザ：1台のみデバイス登録が可能
Passkey 登録時には、ログインアカウントに登録されたメールアドレス宛に送信されるワンタイムパスワード（OTP）の入力を必須化
Passkey を登録したユーザは、ID/パスワードによるログインを自動的に無効化（パスワード漏洩リスクを残しません）
Google / Microsoftアカウントを利用したSSOログインとは併用可能（PasskeyとSSO の両方でログイン可能）

これにより、「パスワードを強くする」のではなく、「パスワードに依存しない」設計へ移行し、クラウドサービスとして高いセキュリティレベルを維持します。

運用のセキュリティ（事業者と利用者の役割）

どれだけ技術的な対策やパスキーによる強固な認証を導入しても、運用が適切でなければセキュリティは維持できません。運用には「サービス事業者としての運用」と「お客様側での運用」の二つの責任があります。

弊社では、サービス事業者として次の運用ポリシーを採用しています。

社員はお客様のデータに原則アクセスしません ※
サービス稼働率SLAは99％を目標とした運用
動作不具合・障害発生時の即時調査・復旧対応
データは1時間に1回、別サーバへ自動バックアップ
お客様に直接影響を及ぼす不具合発生時は、原則24時間以内の優先対応
セキュリティインシデント発生時の記録保持と原因分析

※ お客様から操作上のサポート依頼があった場合など、明示的な依頼時を除きます

万が一、サーバトラブルなどによりお預かりしたデータに毀損があった場合でも、バックアップデータを用いて可能な範囲で復旧できる体制を整えています。

また、お客様側においては、以下のような運用を推奨しています。

可能な限りPasskey/SSOを優先的に利用し、パスワード利用を最小限に抑える
管理者用アカウントは社内で限定されたメンバーのみが利用し、権限の共有を避ける
不要になったデバイスのPasskey登録は速やかに削除する
アカウントに紐づくメールアドレスは、第三者がアクセスできない環境で運用する

キューRクラウドは、このような「技術」「認証」「運用」の三位一体で、お客様の大切なデータを守ります。

キューRクラウドの標準セキュリティ基準

ここでは、キューRクラウドを導入いただいた際に、標準状態で適用されるセキュリティ運用ルールの概要をご紹介します。

利用開始時はID/パスワードによるログインが可能（組織ごとのポリシーによりPasskeyへ移行）
Passkey登録後のユーザは、ID/パスワードによるログインを自動無効化し、Passkeyログインのみ許可
Google / Microsoft アカウントを利用した SSO ログインの併用が可能
同一のIDを用いた複数端末からの同時ログインは制限（不正共有の抑止）
ログイン有効期限は、標準では「WEBブラウザ終了」または「最終操作から一定期間」のいずれか早い方で自動ログアウト
アップロード可能なファイル形式：CSV、XLS/XLSX、JPEG、PDF
ダウンロード可能なデータ：お客様がクラウド上に登録したデータのみ
操作ログや認証ログの保存により、トレース可能な監査性を確保

標準機能では、あえてパスワードの文字数・複雑さを厳しく制限しすぎず、

セキュリティレベルを優先するお客様はPasskey/SSOを中心とした運用へ
従来のID/パスワード運用を残したいお客様は、組織ポリシーに応じたパスワード運用へ

といった形で、「Passkeyを軸にしつつ、お客様側のポリシーに合わせて柔軟に選択できる」思想で設計しています。

さらに高いセキュリティ対策を求めるお客様には、次章「提供可能なセキュリティ」にてご紹介する追加オプションをご提案しています。

提供可能なセキュリティ（拡張オプション）

情報管理に厳しい企業様、社内規程や監査要件の厳しい組織向けに、標準機能に加えて利用できる高セキュリティ設定をご用意しています。

導入検討段階で、弊社に対してセキュリティチェックシートへの回答や個別の運用設計のご相談をいただく場合は、事前お見積りの上、オンライン打ち合わせにて詳細を調整させていただきます。

代表的な拡張機能には、パスワードポリシーの強化設定、セッション時間設定のカスタマイズ、ID/パスワード運用時の2要素認証（メール）追加、IPアドレスフィルタリングなどがあります。

アクセス権限は、契約者権限1つと複数の管理者権限、一般権限（ゲストユーザ）を基本とし、ご要望に応じて中間的なアクセス権限の追加も可能です。

セキュリティ設定イメージ

パスワードポリシー設定（ID/パスワード併用時）

Passkeyへの移行を前提としつつ、組織事情によりID/パスワード運用を併用したい場合には、パスワードの条件を強化するポリシー設定が可能です。

利用中のテナントごとに、次のようなポリシーから選択できます。

4桁以上（ライト運用/テスト環境向け）
8桁以上
8桁以上（英数字＋記号必須）
16桁以上（システム発行限定・ユーザ任意変更不可）

Passkeyを登録したユーザは、これらのパスワードポリシーに関わらず、ID/パスワードによるログインはできなくなります。

2要素認証（メール）設定

Passkey を利用しない運用、あるいは ID/パスワードログインを残したい場合には、ログイン時にメールで送信されるワンタイムパスワード（OTP）を組み合わせた2 要素認証を追加できます。

無効（Passkey / SSO のみで運用する場合など）
常時有効（毎回ログイン時にOTPを要求）
接続環境の変化時のみ有効（IP/ブラウザ変更など特定条件でOTP要求）

なお、Passkey登録自体については、標準機能として常にOTPによる本人確認を必須としています。

セッション時間設定

業務の性質や社内ポリシーに応じて、ログイン状態の有効期限を細かく設定することができます。

ブラウザ終了まで
5分（未操作時）
10分
1時間
12時間
24時間
7日間
1ヶ月
3ヶ月
12ヶ月

IPアドレスフィルタリング設定

あらかじめ指定したグローバル IPアドレスからのアクセスに限定してログインを許可することで、社内ネットワークや特定拠点以外からのアクセスを遮断できます。

Passkey / SSOとIPアドレスフィルタリングを組み合わせることで、ゼロトラストの考え方に近い、より厳格なアクセス制御を実現可能です。

すぐに始める問い合わせする

QRコード作成ができるWEBデータベースシステム

業務効率化をQRコードを使って簡単に導入できるWEBデータベース「キューRクラウド」では、エクセル1行単位でQRコードが作成でき、QR読み取り記録もリアルタイムでクラウド管理できるWebサービスです。こちらも無料でお使いいただけます。