アプリ承認時のセキュリティに関する推奨事項

すでに使用しているツールと連携させることで、Slack の力が最大限に発揮されます。 権限を付与することにより、アプリとインテグレーションがワークスペースの情報にアクセスし、タスクの自動化や業務遂行のサポートをできるようになります。 

データをより安全な状態に保つためには、アプリが Slack と連携して動作する仕組みを理解することが重要です。連携されたツールの確認や承認のためのポリシーを決める上でもこうした理解が役立ちます。 

1. Slack 対応アプリをもっとよく知る

デフォルトの設定では、メンバーは Slack App ディレクトリから希望のアプリをインストールするか、または自社のニーズに合った内部インテグレーションを構築することができます。セキュリティ環境設定に応じて、ワークスペースのオーナーは アプリのインストール方法とインストールが可能なメンバーを管理することができます。

Google DriveDropbox などの既存のサービスを使う予定でも、独自のアプリを構築する予定でも、必要なアプリのインストールや作成に関するお役立ち情報を以下にまとめました。

📒 アプリとApp ディレクトリについて詳しく見る
⚙️ ワークスペースにアプリを追加する
🛠 内部インテグレーションを利用して Slack をカスタマイズする


2. アプリの権限について理解する

App ディレクトリのアプリにはすべて、そのアプリがアクセスできる情報の範囲や、こうした情報の利用方法などを定める「スコープ」と呼ばれる一連のユニークな 権限 があります。 アプリが一般に必要とする権限は以下のようなものです :

  • 情報をポストする
  • アクションを実行する 
  • 情報にアクセスする 

アプリの権限の一覧はそのアプリのインストール時に一覧表示されます。 スコープのより詳しい一覧は Slack の API ドキュメンテーション から確認が可能です。

注意 : 特定のアプリのスコープや権限の一覧は、App ディレクトリの 「アプリが求める権限や許可」タブをクリックして確認が可能です。ここで、各スコープによって許可されるワークスペース内のアクセス対象の詳細が確認できます。


3. アプリのインストール制限機能をオンにする 

ワークスペースのオーナーは、ワークスペースの アプリのインストール制限をオンにする  ことで、インストール可能なアプリやインストール方法を管理することができます。

🎛 インストール可能なアプリを管理する

ワークスペースのオーナーは、 承認済みアプリと制限されたアプリ のリストを作成して、インストールするアプリを具体的に管理することができます。App ディレクトリでは、ワークスペースで承認されているアプリ、承認が必要なアプリ、制限されたアプリがメンバーに対して明確に表示されます。 

👨‍✈️ アプリとカスタムインテグレーションを管理できるメンバーを決める

デフォルトの設定では、アプリとインテグレーションを管理できるのはワークスペースのオーナーのみです。アプリのインストール制限を有効にすると、オーナーは 特定のメンバーに アプリのインストール制限の管理を許可できるようになり、これらのメンバーもアプリの承認リクエストに対応できるようになります。 

アプリのインストール制限機能をオンにする

  1. デスクトップの左上にあるワークスペース名をクリックします。
  2. メニューから 「その他管理項目」を選択し、その後 「アプリを管理する」をクリックします。
  3. 左側のメニューから 「権限」を選択します。
  4.  「アプリのインストール制限」をオンにします。

Tip : 承認が必要なアプリについては、アプリリクエストの審査に要する時間をチームメンバーに知らせて承認までの大体の予定が分かるようにしておきましょう。


4. 承認ポリシーを制定する

メンバーがアプリをリクエストしたり、必要に応じてアプリのインストールを行ったりする場合に備え、IT、セキュリティ、ポリシー担当チームと協業でアプリの承認ポリシーを作成し、ワークスペースを保護するようにしましょう。

データ管理に関する内部規約を慎重に検討し、チームに合ったポリシーを作成することが大切です。アプリの審査時に検討すべき点には以下のようなものがあります。

アプリをインストールする場合

  • 事業上でそのアプリを使用する正当な理由はありますか?
  • この目的で使用しているアプリは他にありますか?
  • ワークスペースでこのアプリが必要となる期間はどのくらいですか?
  • そのアプリのプライバシーポリシーはどのようなものですか?
  • そのアプリがチャンネルへ投稿する頻度は?
  • 追加費用やライセンスは必要となりますか?

内部インテグレーションを構築する場合

  • インテグレーションの管理は誰が行いますか?
  • 追加のサーバー、データベースやインテグレーションは必要となりますか?
  • このアプリはトークンの検証を利用しますか?
  • 保管時のデータは暗号化されますか?
  • トラフィックの暗号化に TLS を使用しますか?
  •  OWASP Top 10 最も重要なウェブアプリケーションリスクトップ10 のレビューは行いましたか? 

注意 : Slack では リクエストされた権限や許可 も含め、App ディレクトリ内のすべてのアプリについて審査を行ないますが、これらのアプリを推薦または保証することはできません。信頼のおけるツールのみをインストールされることをおすすめします。

アプリについてもっと詳しく

Slack API には、アプリの構築時に知っておきたいことすべてが詰まっています。チームでアプリを活用するためのヒントを ブログで探してみましょう

関連記事

最近チェックした記事