アプリ承認時のセキュリティに関する推奨事項

すでに使用しているツールと連携させることで、Slack の力が最大限に発揮されます。 権限を設定すれば、アプリとインテグレーションがワークスペースの情報にアクセスし、タスクの自動化や業務サポートができるようになります。 

データをより安全な状態に保つためには、アプリがどのように Slack と連携して動作するかを理解することがポイントです。連携しているツールの確認や承認のためのポリシーを決める時にも、こうした理解が役立ちます。 

1. Slack 対応アプリをもっとよく知る

デフォルトでは、メンバーなら誰でも Slack App ディレクトリからのアプリのインストールや、自社のニーズに合わせた社内インテグレーションの構築ができます。セキュリティの環境設定によって、アプリのインストール方法やインストールを許可するメンバーの管理をワークスペースのオーナーに任せることもできます。

ここでは、Google DriveDropbox などの既存のサービスを使う人にも、独自のアプリを構築する人にも役立つ、アプリのインストールや開発についての情報をまとめました。

📒 アプリとApp ディレクトリについて詳しく見る
⚙️ ワークスペースにアプリを追加する
🛠 社内インテグレーションを利用して Slack をカスタマイズする


2. アプリの権限を理解する

App ディレクトリのすべてのアプリには、そのアプリがアクセスできる情報の範囲や、その情報の利用方法などを決める「スコープ」と呼ばれる一連のユニークな権限があります。 アプリが一般に必要とする権限には、次のようなものがあります。

  • 情報を投稿する
  • アクションを実行する 
  • 情報にアクセスする 

アプリの権限はそのアプリのインストール時にリストされます。 スコープの詳細なリストは Slack の API ドキュメンテーションで確認できます。

注意: 特定のアプリのスコープや権限のリストは、App ディレクトリの「アプリが求める権限や許可」タブで確認できます。ここでは、各スコープによって許可されるワークスペース内のアクセス対象の詳細を確認できます。


3. アプリのインストール制限機能をオンにする 

ワークスペースのオーナーは、ワークスペースの「アプリのインストール制限」を有効にすることで、インストール可能なアプリやインストール方法を管理できます。

🎛 インストール可能なアプリを管理する

ワークスペースのオーナーは、承認済みアプリと制限されたアプリのリストを作成して、インストールするアプリを具体的に管理することができます。App ディレクトリでは、ワークスペースで承認されているアプリ、承認が必要なアプリ、許可されていないアプリがメンバーに対して明確に表示されます。 

👨‍✈️ アプリとカスタムインテグレーションを管理できるメンバーを決める

デフォルトでは、アプリとインテグレーションを管理できるのはワークスペースのオーナーのみです。アプリのインストール制限を有効にすると、オーナーは特定のメンバーにアプリのインストール制限の管理を許可することができ、これらのメンバーもアプリの承認リクエストに対応できるようになります。 

アプリのインストール制限機能をオンにする

  1. デスクトップの左上にあるワークスペース名をクリックします。
  2. メニューから「その他管理項目」>「アプリを管理する」を選択します。
  3. 左側のメニューから「権限」を選択します。
  4. 「アプリのインストール制限」をオンにします。

Tip : 承認が必要なアプリについては、アプリのリクエストの審査に要する時間をチームメンバーに知らせ、承認されるまでにどのくらい時間がかかるかがわかるようにしておきましょう。


4. 承認ポリシーを制定する

メンバーがアプリをリクエストしたり、必要に応じてアプリのインストールを行ったりする時のために、IT、セキュリティ、ポリシー担当チームと連携してアプリの承認ポリシーを作成し、ワークスペースを保護するようにしましょう。

データ管理に関する社内のルールを慎重に検討し、チームに合ったポリシーを作ることが大切です。アプリの審査時に検討すべき点には、次のようなものがあります。

アプリをインストールする場合

  • そのアプリを仕事のために使用する正当な理由があるか?
  • この目的で使用しているアプリは他にあるか?
  • ワークスペースでこのアプリが必要になる期間はどのくらいか?
  • そのアプリのプライバシーポリシーは?
  • そのアプリがチャンネルへ投稿する頻度は?
  • 追加の経費やライセンスは必要か?

社内インテグレーションを構築する場合

  • インテグレーションの管理は誰が行うか?
  • サーバー、データベース、インテグレーションの追加は必要か?
  • このアプリはトークンの検証を利用するか?
  • 保管されたデータは暗号化されるか?
  • トラフィックの暗号化に TLS を使うか?
  • OWASP Top 10 の最も重要なウェブアプリケーションのリスク上位 10 は検討したか? 

注意: Slack ではリクエストされた権限や許可も含め、App ディレクトリ内のすべてのアプリについて審査を行いますが、これらのアプリを推薦したり保証することはできません。信頼のおけるツールのみインストールすることをお勧めします。

アプリについてもっと詳しく

Slack API には、アプリの構築時に知っておきたいことすべてが詰まっています。チームでアプリを活用するためのヒントを ブログで探してみましょう

関連記事

最近チェックした記事