Skip to main content

ソリューションのセキュリティレビューの申請

学習の目的

この単元を完了すると、次のことができるようになります。

  • ソリューションにセキュリティレビューが必要な場合を説明する。
  • セキュリティレビューに提出する必要がある資料を挙げる。
  • セキュリティレビューの申請プロセスを開始する方法を説明する。
  • セキュリティレビューの申請プロセスを説明する。

レビューが必要な場合を認識する

セキュリティレビューのプロセスは極めて重要ですが、苦痛を伴うものである必要はありません。当社ではこのプロセスを気軽で親しみやすいものにしたいと考えています。大げさに考える必要はありません。

管理パッケージ、Salesforce Platform API ソリューション、または Marketing Cloud Engagement API ソリューションを AppExchange に公開するためには事前にセキュリティレビューを受ける必要があることはご存知ですね。けれども、毎日新しい脅威が出現しています。そのため、Salesforce 製品セキュリティチームが、承認後を含め、いつでもソリューションレビューを依頼できることになっています。一般に、AppExchange のソリューションは年に 1 回セキュリティレビューを受けています。

幸い、ソリューションの新バージョンをリリースするたびにセキュリティレビューを受ける必要はありません。新しいパッケージバージョンをセキュリティレビューに再申請しなくてもリリースできます。ステップ 4 の「ソリューションをリンク」でパッケージバージョンを更新したときに、パートナーコンソールのソリューションのリストに表示される簡単な証明を行うだけです。

メモ

ソリューションをパートナーコンソールにリンクしたり、セキュリティレビューに申請したりする前に、AppExchange のリストを開始して承認申請することもできます。つまり、リスティング承認の取り付けとソリューションのセキュリティレビューは、任意の順序で並行して行うことができます。

資料を収集する

製品セキュリティチームに何を提出するかは、ソリューションのアーキテクチャによって異なります。ソリューションのレビュー担当者は、新規顧客がその製品を使用する場合に必要なものをすべて必要とします。レビュー担当者は結局のところ、実行中のインスタンスにアクセスする攻撃者を装うことになります。ですから、ソリューションで使用する環境、パッケージ、外部コンポーネントへのアクセス権を付与し、ソリューションに付属するドキュメントもすべて提出します。テスト担当者は、顧客向け、システム管理者向け、およびユーザー向けのドキュメントを確認します。ソリューションのレビューを申請するときには、次を提出してください。

  • 使用に関するドキュメント
  • Salesforce org と、複合組織、モバイルアプリケーション、または Chrome 拡張機能との間のデータフローのドキュメント
  • 複合コンポーネントの機能の一覧 (省略可能ですが推奨します)

製品セキュリティチームは、レビューの下準備が行われているかどうかも知る必要があります。ソリューションに対して実行したスキャナーで生成されたレポートに偽陽性の説明を添えて提出します。

ソリューションに合わせてカスタマイズされたセキュリティレビューチェックリストを生成するには、セキュリティレビュー申請要件チェックリストビルダーを使用してください。Lightning コンポーネントなど、ソリューションに適したアーキテクチャ要素を選択します。次に、[Compile Checklist (チェックリストのコンパイル)] をクリックして、セキュリティレビュー資料のリストを生成します。

[管理パッケージ] が選択され、[Your Checklist (あなたのチェックリスト)] に必要なステップが表示されているセキュリティレビュー申請要件チェックリストビルダーの例

ソリューションのセキュリティレビューを申請する前に、達成する必要があるマイルストーンがいくつかあります。各マイルストンの詳細は、『ISV Onboarding Guide (ISV オンボーディングガイド)』を参照してください。

準備が整ったら、『ISVforce ガイド』「AppExchange での製品の公開」セクションにある手順を実行します。

資料の送信

Salesforce 製品セキュリティチームでは、パートナーに多大な要求をしていることを自覚しています。そのため、便利なセキュリティレビューインターフェースを作成しました。

レビューの開始

パートナーコンソールの [Publishing (公開)] から、セキュリティレビュー申請プロセスを開始します。2GP 管理パッケージとして開発された Lightning 互換アプリケーションのプロセスを見ていきましょう。

  1. パートナーコミュニティで、[Publishing (公開)] をクリックします。
  2. パートナーコンソールで、[テクノロジー] タブをクリックします。
  3. [ソリューション] タブで、ソリューションの横にある矢印をクリックします。
    矢印が強調表示されている [テクノロジー] セクションのサンプルソリューション

4.[レビューを開始] をクリックします。

AppExchange セキュリティレビューウィザードにリダイレクトされます。

進行状況の把握

概要ページはセキュリティレビューのフィードバックとコミュニケーションハブです。ソリューションのレビューを申請した後は、このページを確認して最新情報を参照したり、セキュリティオペレーションチームや製品セキュリティチームと連絡を取り合ったりします。 

レビューの進行状況をすばやく把握するには、状況インジケーター (1) を確認します。推奨される次のステップを見つけたり、レビューチームと直接連絡を取ったりするには、フィードバックセクション (2) を確認します。

セキュリティレビューの申請に備える際には、セキュリティレビューのステップトラッカー (3) を使用して、現在プロセスのどの段階にあるかをすばやく確認できます。セクションを完了すると、青から緑に変わります。セクション間を移動することができますが、申請する前にすべてのセクションを完了する必要があります。

[Prepare & Submit (準備 & 申請)] と [Submission Verification (申請確認)] タイル (1)、状況メッセージ (2)、[Overview (概要)] とステップトラッカー (3) が表示されている、AppExchange セキュリティレビューツールの概要ページの例。

担当者を追加する

セキュリティレビュー申請プロセスの最初のステップは、連絡先情報を入力することです。

  1. Salesforce セキュリティチームが問い合わせできる主担当者の連絡先情報と、バックアップ担当者として配布リストを入力します。これらの担当者にもセキュリティレビューの結果が送信されます。

[Primary Contact (主担当者)] セクション、[Backup Contact (バックアップ担当者)] セクション、[Back (戻る)] ボタン、[Next (次へ)] ボタンが表示されている [Contact Information (連絡先情報)] ステップ2.[Next (次へ)] をクリックします。

メモ

[Primary Contact (主担当者)] には、セキュリティレビューレコードを開始したログインユーザーの名前とメールが自動的に入力されます。[Backup Contact (バックアップ担当者)] のメールには、[Company Info (会社情報)] ページの [Security Review Contact (セキュリティレビュー担当者)] から自動的に入力されます。項目はすべて編集可能です。

技術的な詳細を入力する

セキュリティレビューウィザードの次のステップは、[Add Technical Details (技術的な詳細を追加)] です。ここでは、ソリューションについて説明し、ソリューションの技術仕様に関する情報を入力して、ソリューションがモバイルアプリケーションの場合は詳細を追加します。質問はソリューションのタイプとアーキテクチャによって異なります。

回答を入力して、[Next (次へ)] をクリックします。

質問とテキストボックスが表示されている [Add Technical Details (技術的な詳細を追加)] ステップ

ドキュメントを含める

この単元の前のセクションで資料を収集するようにお願いしてありましたね。ここで、収集したファイルやレポートを追加して、セキュリティレビューウィザードの次の [Upload Documentation (ドキュメントのアップロード)] ステップを完了します。必要なドキュメントはソリューションのタイプとアーキテクチャによって異なります。

サンプルソリューションに固有のセクションが表示されている [Upload Documentation (ドキュメントをアップロード)] ステップの例

  1. タイトルとファイルを入力して、ソリューションのアーキテクチャと使用に関するドキュメントを追加します。
  2. API コールアウトのドキュメント、セキュリティスキャナーレポート、偽陽性ドキュメント、その他のドキュメントのタイトルとファイルを入力します。
  3. 追加する各ドキュメントの末尾にある [Add + (追加 +)] をクリックします。
  4. [Next (次へ)] をクリックします。
メモ

管理パッケージを掲載する場合、Salesforce コードアナライザースキャンレポートをアップロードする必要があることを覚えておいてください。コードアナライザーを使用できない場合やレポートをアップロードできない場合、正当な根拠をアップロードする必要があります。

環境を指定する

製品セキュリティチームは、起こり得るあらゆるテスト環境でアプリケーションをテストする必要があります。次の手順に従って、ソリューションのテスト環境とログイン情報を提供します。 

[Username and Password Authentication (ユーザー名とパスワード認証)]、[API, OAuth, and SAML Access (API、OAuth、SAML アクセス)]、[Client Apps (クライアントアプリケーション)] のサンプルセクションが表示されている [Provide Environments (環境を指定)] ステップ

  1. [Username and Password Authentication (ユーザー名とパスワード認証)] で、ドロップダウンリストから適切な [Type (種別)] を選択します。次に、ユーザー名とパスワードを必要とする Salesforce 組織、Web アプリケーション、Web サービスの認証を受けるための詳細を追加します。[Add + (追加 +)] をクリックします。組織にログインすると、このフォームで認証が検証されます。
  2. [API, OAuth, and SAML Access (API、OAuth、SAML アクセス)] で、ドロップダウンリストから適切な [Type (種別)] を選択します。次に、この認証方法を使用する Web アプリケーションとサービスの詳細を入力します。[Add + (追加 +)] をクリックします。
  3. ソリューションに含まれるデスクトップクライアントごとに、インストールリンクを入力し、ログイン情報、ライセンスファイル、設定データもあれば入力します。それぞれ入力し終えたら [Add + (追加 +)] をクリックします。
  4. ソリューションのモバイルアプリケーションごとに、プラットフォーム、インストールファイルまたはリンク、その他の有用な情報を記入します。それぞれ終了するたびに [Add + (追加 +)] をクリックします。
  5. その他のテスト環境情報があれば入力します。
  6. [Next (次へ)] をクリックします。

概要の確認

[Review & Submit (確認して申請)] セクションには、ソリューションレビューを申請する前に修正する必要がある通知がリスト表示されます。[Go to (移動)] リンクをクリックして、各通知に対処します。 

確認する必要がある 2 件の通知が表示されている [Review & Submit (確認して申請)] ステップ

各通知の問題を解決したら、セキュリティレビューウィザードをスクロールダウンして、このステップの [Save & Next (保存 & 次へ)] をクリックします

準備ができたら、[Review & Submit (確認して申請)] ステップに戻り、[Submit (申請)] をクリックします。

支払の準備をする

AppExchange で販売する有料ソリューションについては、初回申請時と 2 回目以降の申請ごとに 999 ドルの手数料をいただいております。この手数料は、クレジットカードを使用するか、銀行口座を登録して支払うことができます。申請したソリューションにセキュリティの脆弱性が見つかったため、修正して再申請する場合は、別途の申請になります。大半の申請は 2 回目で合格します。[支払] セクションに請求情報を入力し、[送信] をクリックしてください。

申請されました!

おめでとうございます。やりました! 深呼吸して、背伸びでもしましょう。申請に不備があれば、セキュリティレビューチームから連絡があります。すべて揃った時点で、ソリューションがセキュリティレビューの順番待ちであることを通知するメールが届きます。 

ソリューションのレビュープロセスには通常 4 ~ 5 週間かかります。 

ソリューションのセキュリティレビューの状況はいつでも確認できます。[Technologies (テクノロジー)] の [Partner Console (パートナーコンソール)] で、ソリューションバージョンの [Check Status (状況を確認)] をクリックします。

バージョン番号、[Security Review Required (セキュリティレビューが必要です)] メッセージ、[Check Status (状況を確認)] リンク付きの [Submitted (登録済み)] 状況、[Register Package (パッケージの登録)] リンク付きの [Unregistered Package (未登録パッケージ)] メッセージが表示されているソリューション例

ソリューションのセキュリティレビューの [Overview (概要)] ページが開きます。すべてのフェーズを通じて、レビューの進行状況を追跡できます。

[Prepare & Submit (準備 & 申請)] フェーズと [Submission Verification (申請確認)] フェーズが強調表示されている、セキュリティレビューの [Overview (概要)] ページ例

製品セキュリティチームのレビューが終了すると、セキュリティレビューウィザードに新しい情報が提供されたことを通知するメールが届きます。レポートは [Overview (概要)] ページからダウンロードできます。何ら問題がなければ、ソリューションが承認されます。すばらしいですね。

チームが検出した問題について質問がある場合や、セキュリティの問題や失敗の結果について具体的なガイダンスが必要な場合は、パートナーセキュリティポータルオフィスアワーを利用してサポートを受けることができます。技術的なことに関するオフィスアワーは大変人気があります。ソリューションが承認されるために必要なのは、おそらくほんの少しのアドバイスです。

承認されたら、次はどうすればよいのでしょうか? この後の流れについては、次の単元で説明します。

リソース

無料で学習を続けましょう!
続けるにはアカウントにサインアップしてください。
サインアップ ログイン
サインアップすると次のような機能が利用できるようになります。
  • 各自のキャリア目標に合わせてパーソナライズされたおすすめが表示される
  • ハンズオン Challenge やテストでスキルを練習できる
  • 進捗状況を追跡して上司と共有できる
  • メンターやキャリアチャンスと繋がることができる
今はしない