kintone API トークンの発行手順と安全な管理方法

kintone と外部サービスを連携する際の認証情報が API トークンです。便利な反面、漏れると不正アクセスにつながるため、発行時の権限設定と保管方法が重要になります。

発行手順

1. 対象の kintone アプリで「設定 → API トークン」を開く
2. 「生成する」でトークンを作成する
3. アクセス権で「レコード閲覧」「レコード追加」にチェックする
4. 保存し、アプリを更新して反映する

最小権限の原則

安全な保管

API トークンは平文でメモやコードに残さないのが鉄則です。linktone では、登録された API トークンを AES-256-GCM で暗号化して保管し、フォーム送信時の kintone 連携の瞬間だけ復号して使用します。画面に平文で表示したり、ログに出力したりすることはありません。

ローテーションと失効

運用上は、トークンを定期的に再生成（ローテーション）し、不要になった連携のトークンは kintone 側で速やかに失効させましょう。kintone でトークンを再生成した場合は、linktone のコネクション側も新しいトークンに更新してください。

最小権限・暗号化保管・定期ローテーションの 3 点を押さえれば、API トークン連携は十分に安全に運用できます。