ソリューションのセキュリティレビューの申請

学習の目的

この単元を完了すると、次のことができるようになります。

  • 製品にセキュリティレビューが必要な場合を説明する。
  • セキュリティレビューに提出する必要がある資料を挙げる。
  • セキュリティレビューの申請プロセスを開始する方法を説明する。
  • セキュリティレビューの申請プロセスを説明する。

レビューが必要な場合を認識する

セキュリティレビューのプロセスは極めて重要ですが、苦痛を伴うものである必要はありません。当社ではこのプロセスを気軽で親しみやすいものにしたいと考えています。大げさに考える必要はありません。

ソリューションを AppExchange に公開するためには事前にセキュリティレビューを受ける必要があることはご存知でしょう。けれども、毎日新しい脅威が出現しています。そのため、Salesforce 製品セキュリティチームが、承認後を含め、いつでもソリューションレビューを依頼できることになっています。一般に、AppExchange のソリューションは年に 1 回セキュリティレビューを受けています。

幸い、ソリューションの新バージョンをリリースするたびにセキュリティレビューを受ける必要はありません。この単元に記載の申請プロセスに従えば、自動的に再承認されます。

アプリケーション、フロー、Bolt ソリューション、Lightning データを含め、AppExchange のすべてのソリューションは、セキュリティレビューに合格する必要があります。プロセスは同じですが、詳細が異なる場合があります。

資料を収集する

製品セキュリティチームに何を提出するかは、製品のアーキテクチャによって異なります。ソリューションのレビュー担当者は、新規顧客がその製品を使用する場合に必要なものをすべて必要とします。レビュー担当者は結局のところ、実行中のインスタンスにアクセスする攻撃者を装うことになります。ですから、ソリューションで使用する環境、パッケージ、外部コンポーネントへのアクセス権を付与し、製品に付属するドキュメントもすべて提出します。テスト担当者は、顧客向け、システム管理者向け、およびユーザ向けのドキュメントを確認します。ソリューションのレビューを申請するときには、次を提出してください。

  • Salesforce 組織のユーザナビゲーションステップ
  • Salesforce org と、複合組織、モバイルアプリケーション、または Chrome 拡張機能との間のデータフローのドキュメント
  • 複合コンポーネントの機能の一覧
  • 複合コンポーネントの REST エンドポイントに対する有効な要求と応答 (該当する場合)

製品セキュリティチームは、レビューの下準備が行われているかどうかも知る必要があります。製品に対して実行したスキャナで生成されたレポートに偽陽性の説明を添えて提出します。

ソリューションに合わせてカスタマイズされたセキュリティレビューチェックリストを生成するには、Salesforce パートナーコミュニティのセキュリティレビュー申請要件チェックリストビルダーを使用してください。Lightning コンポーネントなど、ソリューションアーキテクチャ要素の任意の組み合わせを選択し、[Compile Checklist (チェックリストのコンパイル)] をクリックして、セキュリティレビュー資料のリストを生成します。

Lightning コンポーネントのセキュリティレビューチェックリスト

製品のセキュリティレビューを申請する前に、達成する必要があるマイルストンがいくつかあります。各マイルストンの詳細は、『ISV Onboarding Guide (ISV オンボーディングガイド』を参照してください。

製品のセキュリティレビューを申請するときの重要な前提条件は、Salesforce からビジネスプランの承認を得ることです。

[リストを公開] インターフェースの [ビジネスプラン] タブ。[承認済み] がオレンジ色のボックスで囲まれている

準備が整ったら、『ISVforce ガイド』「AppExchange での製品の公開」セクションにある手順を実行します。

資料の送信

Salesforce 製品セキュリティチームでは、パートナーに多大な要求をしていることを自覚しています。そのため、便利なセキュリティレビューインターフェースを作成しました。

レビューの開始

アプリケーションリストの [セキュリティレビュー] ホームページ

セキュリティレビューの申請プロセスは、パートナーコミュニティの公開コンソールから開始します。2GP 管理パッケージとして開発された Lightning 互換アプリケーションのプロセスを見ていきましょう。

  1. 公開コンソールから、[リスト] タブをクリックします。
  2. 各自の製品リストをクリックします。
  3. ソリューションのタイプのタブ [アプリケーション] をクリックします。[リスト] ページの [アプリケーション] タブ
  4. 選択していない場合は、ソリューションに関連付けるパッケージを選択します。このステップは、パッケージソリューションのみに必須です。

  5. 必要な仕様とインストールの詳細をすべて入力します。

  6. [保存] をクリックします。

  7. [セキュリティレビュー] をクリックします。セキュリティレビュープロセスの詳細を参照するには、[Trailhead AppExchange セキュリティレビュー] などのタイルをクリックしてください。
  8. [レビューを開始] をクリックします。Salesforce パートナーコミュニティの [セキュリティレビュー] ホームページ

進行状況の把握

セキュリティレビューの進行状況バーを使用して、現在プロセスのどの段階にあるかをすばやく確認できます。セクションを完了すると、青から緑に変わります。セクション間を移動することができますが、申請する前にすべてのセクションを完了する必要があります。

セキュリティレビューの進行状況バー

会社情報の入力

セキュリティレビュー申請プロセスの最初のステップは、連絡先情報を入力することです。

  1. Salesforce セキュリティチームが問い合わせできる主担当者の連絡先情報と、バックアップ担当者として配布リストを入力します。これらの担当者にもセキュリティレビューの結果が送信されます。[連絡先情報] セクション

  2. [保存 & 次へ] をクリックします。

コンプライアンス情報の入力

次にコンプライアンス情報を入力します。質問がソリューションに関係ない場合は、[N/A (なし)] を選択します。

  1. 会社の PCI コンプライアンスに関する詳細を入力します。[コンプライアンス] セクションの PCI の詳細
  2. 会社の HIPAA コンプライアンスに関する詳細を入力します。[コンプライアンス] セクションの HIPAA の詳細
  3. 会社の SOC (System and Organization Controls) コンプライアンスに関する詳細を入力します。[コンプライアンス] セクションの SOC (System and Organization Controls) の詳細
  4. 会社の一般的なコンプライアンスの詳細を入力します。

  5. [保存 & 次へ] をクリックします。[コンプライアンス] セクションの一般の詳細

アンケートへの回答

次に、[Questionnaire (アンケート)] タブでソリューションに関する一般的な質問に回答します。質問はソリューションのタイプとアーキテクチャによって異なります。

回答を入力し、[保存 & 次へ] をクリックします。

[Questionnaire (アンケート)] セクション

ドキュメントを含める

この単元の前のセクションで資料を収集するようにお願いしてありましたね。それらのファイルとレポートを用意してください。必要なドキュメントはソリューションのタイプとアーキテクチャによって異なります。

[ドキュメント] セクション

  1. [Choose File (ファイルの選択)] をクリックして、ソリューションのアーキテクチャと使用に関するドキュメントを含めます (1)。
  2. Checkmarx から取得したセキュリティスキャナレポートを含めます (2)。
  3. Checkmarx で偽陽性が報告された場合は、それぞれを説明するドキュメントを添付できます (3)。
  4. 外部サービスを使用している場合は、ZAP または Chimera を使用してスキャンしています。ZAP が問題なしと報告した場合は、正しい外部エンドポイントをテストしたことを実証してください。そのエンドポイントをスキャンする各ツールのスクリーンショットを含めることができます (4)。
  5. [保存 & 次へ] をクリックします。

テスト環境の提供

製品セキュリティチームは、起こり得るあらゆるテスト環境でアプリケーションをテストする必要があります。次の手順に従って、ソリューションのテスト環境とログイン情報を提供します。 

[テスト環境] セクション

  1. 専用の Salesforce テスト組織として Sandbox または本番を選択し、ユーザ名、セキュリティトークンを付加したパスワード、説明を入力します。Developer Edition 組織であることを確認します。[Add (追加)] をクリックします。この組織にログインすると、この情報が検証されます。
  2. ソリューションが使用する各外部 Web アプリケーションまたはサービスのログイン情報と URL を入力し、[Add (追加)] をクリックします。各 Web アプリケーションおよびサービスに適切な認証を選択リストから選択します。
  3. 製品に含まれるデスクトップクライアントごとに、インストールリンクを入力し、ログイン情報、ライセンスファイル、設定データもあれば入力します。それぞれ入力し終えたら [Add (追加)] をクリックします。

  4. 製品のモバイルアプリケーションごとに、プラットフォーム、インストールファイルまたはリンク、その他の有用な情報を記入します。それぞれ終了するたびに [Add (追加)] をクリックします。
  5. その他のテスト環境情報があれば入力します。
  6. [保存 & 次へ] をクリックします。

概要の確認

[概要] セクションには、前のセクションで入力したすべての情報の参照のみのビューが含まれています。下にスクロールしてすべてのセクションを確認してから [保存 & 次へ] をクリックしてください。

[概要] セクション

クレジットカードを手元に用意

AppExchange で販売する有料ソリューションごとに、2,700 ドルの手数料をいただいていおります。この支払には、1 回限りのセキュリティレビュー料金と AppExchange 年間掲載料の初回分 150 ドルが含まれています。製品が無料の場合は、両方の料金が免除されます。[支払] セクションに請求情報を入力し、[送信] をクリックしてください。

申請されました!

おめでとうございます。やりました! 深呼吸して、背伸びでもしましょう。申請に不備があれば、セキュリティレビューチームから連絡があります。すべて揃った時点で、製品がセキュリティレビューの順番待ちであることを通知するメールが届きます。

ソリューションのレビュープロセスには通常 4 ~ 8 週間かかります。製品セキュリティチームのレビューが終了すると、検出された問題をリストしたレポートが送信されます。何ら問題がなければ、製品が承認されます。すばらしいですね。

問題が見つかり、それについて質問がある場合は、オフィスアワーを利用してください。技術的なことに関するオフィスアワーは大変人気があります。セキュリティエキスパートから最も有益な技術的アドバイスを受けるには、製品のセキュリティレビューを申請し、レビューが完了する数週間前にオフィスアワーを利用することを強くお勧めします。製品が承認されるために必要なのは、おそらくほんの少しのアドバイスです。

承認されたら、次はどうすればよいのでしょうか? この後の流れについては、次の単元で説明します。

リソース