アプリ承認時のセキュリティに関する推奨事項
すでに使用しているツールと連携させることで、Slack の力が最大限に発揮されます。 権限を設定すれば、アプリとインテグレーションがワークスペースの情報にアクセスし、タスクの自動化や業務サポートができるようになります。
データをより安全な状態に保つためには、アプリがどのように Slack と連携して動作するかを理解することがポイントです。連携しているツールの確認や承認のためのポリシーを決める時にも、こうした理解が役立ちます。
1. Slack 対応アプリをもっとよく知る
デフォルトでは、メンバーなら誰でも Slack Marketplace からのアプリのインストールや、自社のニーズに合わせた社内インテグレーションの構築ができます。セキュリティの環境設定によって、アプリのインストール方法やインストールを許可するメンバーの管理をワークスペースのオーナーに任せることもできます。
ここでは、Google Drive や Dropbox などの既存のサービスを使う人にも、独自のアプリを構築する人にも役立つ、アプリのインストールや開発についての情報をまとめました。
📒 アプリと Slack Marketplace について
⚙️ ワークスペースにアプリを追加する
🛠 内部インテグレーションを利用して Slack をカスタマイズする
2. アプリの権限について理解する
Slack Marketplace のすべてのアプリには、そのアプリがアクセスできる情報の範囲や、その情報の利用方法などを決める「スコープ」と呼ばれる一連のユニークな権限があります。 アプリが一般に必要とする権限には、次のようなものがあります。
- 情報を投稿する
- アクションを実行する
- 情報にアクセスする
アプリのすべての権限はそのアプリのインストール時にリストされます。 スコープの詳細なリストは Slack の API ドキュメンテーションで確認できます。
Tip : 一部の開発者からは、セキュリティとコンプライアンスの実践に関する詳細情報が寄せられています。利用可能な場合は、Slack Marketplace のアプリのページにある「セキュリティ&コンプライアンス」タブでその情報を確認できます。
3. アプリの承認設定を有効にする
ワークスペースのオーナーは、ワークスペースでの 「アプリの承認」 設定を有効にする ことで、インストール可能なアプリやインストール方法を管理できます。
🎛 インストール可能なアプリを管理する
ワークスペースのオーナーは、承認済みアプリと制限されたアプリのリストを作成して、インストールするアプリを具体的に管理することができます。Slack Marketplace では、ワークスペースで承認されているアプリ、承認が必要なアプリ、許可されていないアプリがメンバーに対して明確に表示されます。
👨✈️ アプリとカスタムインテグレーションを管理できるメンバーを決める
デフォルトでは、アプリを管理できるのはワークスペースのオーナーのみです。アプリの承認設定をオンにすると、オーナーは、特定のメンバーに承認済みアプリの管理とアプリインストールのリクエストへの対応を許可することができます。
アプリの承認を有効にする
- デスクトップのサイドバーにあるワークスペース名をクリックします。
- メニューから「ツールと設定」を選択し、その後「アプリを管理する」をクリックします。
- 左側のサイドバーにある「アプリの管理設定」をクリックします。
- 「アプリを承認する」をオンにします。
Tip : 承認が必要なアプリについては、アプリのリクエストの審査に要する時間をチームメンバーに知らせ、承認されるまでにどのくらい時間がかかるかがわかるようにしておきましょう。
4. 承認ポリシーを制定する
メンバーがアプリをリクエストしたり、必要に応じてアプリのインストールを行ったりする時のために、IT、セキュリティ、ポリシー担当チームと連携してアプリの承認ポリシーを作成し、ワークスペースを保護するようにしましょう。
データ管理に関する社内のルールを慎重に検討し、チームに合ったポリシーを作ることが大切です。アプリの審査時に検討すべき点には、次のようなものがあります。
アプリをインストールする場合
- そのアプリを仕事のために使用する正当な理由があるか?
- この目的で使用しているアプリは他にあるか?
- ワークスペースでこのアプリが必要になる期間はどのくらいか?
- そのアプリのプライバシーポリシーは?
- そのアプリがチャンネルへ投稿する頻度は?
- 追加の経費やライセンスは必要か?
社内インテグレーションを構築する場合
- インテグレーションの管理は誰が行うか?
- サーバー、データベース、インテグレーションの追加は必要か?
- このアプリはトークンの検証を利用するか?
- 保管されたデータは暗号化されるか?
- トラフィックの暗号化に TLS を使うか?
- OWASP Top 10 の最も重要なウェブアプリケーションのリスク上位 10 は検討したか?
注 :Slack ではリクエストされた権限も含め、Slack Marketplace 内のすべてのアプリについて審査を行いますが、これらのアプリを推薦したり保証したりすることはできません。信頼のおけるツールのみインストールすることをお勧めします。
アプリについてもっと詳しく
Slack API には、アプリの構築時に必要なことと、知っておきたいことすべてが詰まっています。チームでアプリを活用するためのヒントをブログで探してみましょう。