gusuku Fluxon Support

セキュリティ概要

利用者、管理者、情報システム部門がFluxonを安全に使い始めるためのドキュメントです。

セキュリティ概要

AIクライアント Fluxon Bearer token Fluxon 認可 / 制御 / 監査 token平文は保存しない kintone 本人のOAuth 監査ログはメタデータ中心 誰が、どのAIから、どのツールで、どのアプリへアクセスしたかを記録 レコード本文・実行クエリ本文・token平文は監査ログに保存しない
AI接続用token、kintone OAuth、監査ログの境界を分けて扱います。

最終更新: 2026-07-08

このページは、情報システム部門や導入検討者がFluxonのセキュリティを確認するための概要です。

要点

Fluxonは、Remote MCP対応AIクライアントからkintoneを利用するための管理型MCPサーバーです。

セキュリティ上の基本方針は次の通りです。

  • kintoneアクセスは利用者本人のkintone OAuth認可を使います。
  • Fluxonはkintone権限を広げません。
  • Fluxonはkintone権限の上に、アプリ利用制限、フィールド制御、レコード条件、件数上限を追加できます。
  • AIクライアントへkintone OAuth tokenを渡しません。
  • Remote MCP tokenやkintone OAuth tokenの平文を保存しません。
  • 監査ログには、原則としてレコード本文や実行クエリ本文ではなく、操作メタデータを保存します。
  • 判断できない状態は許可せず拒否する設計です。

全体構成

flowchart LR
  user["利用者"] --> ai["Claude / ChatGPT / Copilot"]
  ai -->|"Remote MCP / OAuth Bearer token"| fluxon["gusuku Fluxon"]
  fluxon -->|"利用者本人のkintone OAuth"| kintone["kintone"]
  fluxon --> policy["Fluxonポリシー / フィールド制御"]
  fluxon --> audit["監査ログ"]

AIクライアントはFluxonに接続します。Fluxonは、利用者本人のkintone OAuth認可を使ってkintone APIを呼び出します。

AIクライアントがkintoneのtokenを直接持つ構成ではありません。

認証と認可の層

Fluxonでは認証・認可を3つに分けて扱います。

内容主な目的
Fluxonログイン利用者・管理者がFluxon画面へログインするテナント所属、ロール、MFA、利用者確認
Remote MCP OAuthAIクライアントがFluxonへ接続するAI接続ごとのBearer tokenとスコープ管理
kintone OAuthFluxonがkintone APIへアクセスする利用者本人のkintone権限でアクセスする

Remote MCPの実効権限は、ユーザー許可スコープと接続発行済みスコープの両方で判定します。

kintone権限との関係

Fluxonは、kintoneで許可されていない操作を許可するための仕組みではありません。

評価の考え方:

  1. 利用者本人のkintone OAuth認可があるか。
  2. kintone側で対象アプリ、レコード、フィールドへアクセスできるか。
  3. Fluxon側で対象アプリや操作が拒否されていないか。
  4. フィールド制御やレコード条件に違反していないか。
  5. 返却前に非表示・マスクなどのサニタイズを行う。
  6. 監査ログを記録する。

保存する情報

区分保存する情報目的
テナント情報テナントID、名称、契約状態、kintoneサブドメインテナント分離、契約管理
ユーザー情報Fluxonユーザー、所属、ロール、状態ログイン、管理権限、利用者管理
kintone OAuth状態認可状態、許可済みスコープ、暗号化済みtoken、期限利用者本人のkintone権限でAPIを呼び出す
Remote MCP接続クライアント名、接続状態、発行済みスコープ、token検証用ハッシュ、最終利用時刻AIクライアント接続の認証と失効管理
ポリシー設定アプリ制限、フィールド制御、レコード条件、件数上限AI経由の利用範囲を制御する
監査ログ誰が、どのAI接続から、どのツールで、どのアプリにアクセスしたか説明責任、調査、運用改善

保存しない情報

保存しないもの理由
kintone OAuth tokenの平文kintoneへの権限を持つ秘密情報の漏えいを防ぐため
Remote MCP tokenの平文AI接続用tokenを再利用されにくくするため
authorization codeの平文OAuth途中の秘密情報を残さないため
監査ログ内のレコード本文監査ログを業務データの二次保管場所にしないため
監査ログ内の実行クエリ本文条件式や値から機微情報が漏れることを避けるため
kintone APIの生エラー本文内部情報やkintone由来の詳細情報をAIへ漏らさないため

ただし、AIがFluxonを通じて取得したkintoneデータは、MCPレスポンスとしてAIクライアントに返ります。その後の会話履歴、保存、学習利用、管理者監査の扱いは、利用するAIサービス側の契約と設定も確認してください。

Remote MCPのセキュリティ

Remote MCPは、AIクライアントがHTTPS上のMCPサーバーに接続する方式です。

Fluxonでは次の考え方を採用します。

  • HTTPSのRemote MCP URLを使う。
  • OAuth Bearer tokenでAIクライアントからの接続を認証する。
  • tokenはURLクエリに含めず、Authorizationヘッダーで扱う。
  • public clientではPKCEを使う。
  • redirect URIは登録済みURIとの完全一致で検証する。
  • stateは予測不能、短期TTL、単回使用、開始セッション束縛にする。
  • tokenはFluxon向けに発行されたものだけを受け付ける。
  • AIクライアントから受けたtokenをkintoneへ渡さない。

フィールド制御

Fluxonのフィールド制御では、AIに返すフィールドを制限できます。

例:

  • 会社名、ステータス、担当者は表示。
  • 個人携帯番号は非表示。
  • 社内評価コメントはマスク。
  • ステータスだけ更新可。
  • 金額や契約番号は更新不可。

フィールド制御は、kintone権限に加えて適用されます。kintoneで見えないものがFluxonで見えるようになるわけではありません。

監査ログ

監査ログでは、次のような情報を確認します。

  • 利用者。
  • テナント。
  • AIクライアントまたはRemote MCP接続。
  • 利用したMCPツール。
  • 対象アプリ。
  • 成功、拒否、失敗。
  • 件数やrecordIdなどの最小限のメタデータ。
  • エラー種別や拒否理由。

監査ログにレコード本文を保存しない方針にすることで、監査ログ自体が機微情報の集積場所になるリスクを下げます。

AIサービス側で別途確認すること

Fluxonはkintoneとの接続窓口を制御しますが、AIサービスそのものの管理設定は各AIサービス側の責任範囲です。

情報システム部門は次を確認してください。

  • 利用するAIサービスの契約プラン。
  • 会話履歴の保存設定。
  • 学習利用の有無とオプトアウト条件。
  • 管理者によるアプリ・コネクタの許可設定。
  • 利用者ログ、監査、エクスポート機能。
  • データ所在地やサブプロセッサ。
  • 退職者・異動者のアカウント停止手順。

導入時の推奨

  • まず読み取りと集計から始める。
  • 書き込み系操作は対象アプリとフィールドを限定する。
  • 個人情報や機微情報を含むアプリは、利用拒否または強いフィールド制御にする。
  • テスト利用者で制御が効いていることを確認する。
  • 情報システム部門と管理者で、利用できるAIサービスを明確にする。