Workplaceのより安全な統合

このたび、WorkplaceのプラットフォームAPIを利用した統合の安全性を確保するため、プラットフォーム利用規約を更新しました。

注: この情報は、サードパーティ開発者がホストし運用するツールとの統合機能をインストールしているお客様に適用されます。この記事に記載されている情報の詳細についてはWorkplaceサポートにお問い合わせください。

個人情報の保護はWorkplaceにとって重要な取り組みです。お客様に安全でセキュアな仕事環境を提供するには、Workplaceのみならず、そのプラットフォームを利用したツールの開発者一人ひとりにも私たちの高いセキュリティ基準に従ってもらわなくてはなりません。そこで、2019年5月にプラットフォーム利用規約の更新を発表しました。これにより、Workplace APIを利用したサードパーティツールとの統合機能をWorkplace利用者に引き続き提供しようとする開発者は、大規模な審査プロセスに合格することが必要になります。以来、Workplaceは開発者がより厳格な基準を満たし、大規模な審査プロセスに合格できるよう、開発者と密に連携して取り組んできました。

Workplaceではプラットフォームのセキュリティ強化のため、2019年12月16日より、新しくなった審査プロセスに合格していない統合機能へのアクセスを廃止いたします。

注意が必要な統合をインストールされているお客様には、2019年9月1日以降、順次Workplaceにお知らせを表示します。このページでは、お客様のご対応が必要な事項についてご案内いたします。

Workplaceとの統合をインストールするにはどのような方法がありますか。

Workplaceとの統合機能をインストールする方法は現在2つあり、1つは「カスタム統合」、もう1つは「サードパーティ統合」といいます。

  • カスタム統合: Workplaceインスタンスの管理者が管理者用パネルに統合を作成するインストール方法です。そのような統合を管理者用パネルに作成するには、画面の指示に沿って統合にアクセス許可を設定した後、アクセストークン(英数字の長い文字列で、キーやパスワードのようなもの)を生成し、内製した統合であればそのトークンをコピーして貼り付け、外注した場合には開発者にトークンを送信する必要がありました。カスタム統合としてインストールする必要があるのは、お客様が内製した統合、またはお客様のみが使用しお客様の管理下にある環境で運用(ホストおよび実行)されるツール(カスタムソフトウェアなど)との統合だけです。
  • サードパーティ統合: Workplaceの統合ディレクトリかサードパーティのウェブサイトから統合をインストールする方法で、アクセストークンの生成や送信は不要です。インストールの過程で、その統合に付与されるアクセス許可の一覧を示し承認を求める画面が表示されます。お客様の全面管理下におかれていない環境で運営(ホストおよび実行)されるサードパーティツール(汎用ソフトウェアなど、一部のみカスタム化したものも含む)の開発者が提供する統合はすべて、サードパーティ統合としてインストールする必要があります。

現在Workplaceの統合の一部に、サードパーティ開発者がホストまたは実行するためサードパーティ統合としてインストールされるべきなのに、カスタム統合としてインストールされるものがあることは把握しております。新しい審査プロセスはカスタム統合ではなくサードパーティ統合に適用されるため、すべての統合が正しく分類されることが重要となります。サードパーティ統合としてインストールされるべきなのにカスタム統合としてインストールされていると考えられる統合については、2019年12月16日までにサードパーティ統合として審査プロセスに合格しなければ、順次アクセスが廃止されます。

「統合は更新された審査プロセスに合格していない」などとメッセージが表示されるのはなぜですか。

現在お使いの統合の中に、更新されたプラットフォーム規約から逸脱して運用されているものがあると思われます。これは次のような理由から起こります。

  • 現在お使いのサードパーティ統合の中に、審査プロセスに合格していないものがある(詳しくは「『統合は更新された審査プロセスに合格していない』とはどういう意味ですか」のセクションを参照)。
  • 現在お使いの統合の中に、カスタム統合としてインストールされているが本来サードパーティ統合としてインストールされるべきで、必要な審査プロセスに合格していないものがある。

次に何をすればよいですか。

審査に合格していない統合は、継続利用を選択することで2019年12月16日までご利用いただけます。2019年12月16日以降は、新しくなった審査プロセスに合格していない統合機能へのアクセスが廃止されます。主なイベントのタイムラインと、それに対してお客様が取れるご対応については以下をご覧ください。

  • 2019年9月1日以降: 審査に合格していないサードパーティ統合(サードパーティ統合としてインストールされるべきなのにカスタム統合としてインストールされている統合を含む)が動作しているインスタンスの管理者に初回のリマインダーを送信します。どの統合が該当するかは、管理者用パネルの[統合]ページで確認できます。該当する統合も2019年12月16日までは継続利用を選択できます。統合の開発者に審査を受ける予定があるかどうかを確認することをおすすめします。
  • 2019年10月1日: カスタム統合としてインストールされているが実際にはサードパーティが提供および運用していると思われる統合はすべて、管理者が管理者用パネルで継続利用を選択しないかぎり、自動的に無効化されます。
    必要な統合が無効化された場合、管理者用パネルで再度有効にすることで2019年12月16日までは引き続きご利用になれます。誤って無効化対象に分類されたと思われる統合がある場合は、その統合を提供した開発者または開発会社に連絡するか、Workplaceのダイレクトサポートチームにお問い合わせください。すでにサードパーティ統合としてインストールされている統合はすべて、これまでどおり動作します。
  • 2019年12月16日: サードパーティ統合と、カスタム統合だが実際にはサードパーティが提供運用していると思われる統合のうち、新しくなった審査プロセスに合格していないものはすべてアクセスが廃止されます。以後、このような統合を継続利用することはできません。

    • Workplaceの統合ディレクトリでは、承認済みの開発者による類似の統合をインストールできます。
    • リクエストがあれば、データへのアクセスが制限された特定の統合についてプロセスの適用を除外し、2020年12月31日までWorkplace内で継続利用できるように対応いたします。この対応については、2020年1月15日までにダイレクトサポートにお問い合わせください。
    • 高い安全性が実証されており、アプリ審査プロセスの最後のステップに進んだ開発者による統合機能については、このプロセスの完了が2020年*2月28日まで猶予されます。未承認の統合については、開発者が審査プロセスを完了する期限が統合ごとに管理者用パネルに表示されます。
    • *お知らせ: 開発者が未承認のカスタム統合をサードパーティのアプリに変換する期限が延長されました。この変更の影響を受ける統合には、2020年5月1日の新しい期限が表示されます。
Workplaceではこれまで統合に対するセキュリティレビューを実施していましたか。

はい。F8 2018で発表され、ディレクトリからご利用になれる統合はすべて、リリース前にセキュリティレビューを受けています。今年導入された、より厳格になったアプリ審査プロセスは、Workplaceのエコシステムに参加するすべての開発者の水準を引き上げるための、大規模な公式の審査プロセスです。

利用中のアイデンティティプロバイダー(IDP)が無効化対象にされています。これはなぜですか、またどうすればよいですか。

現在WorkplaceにインストールされているIDP統合のほとんどはカスタム統合です。Workplaceはこのような統合の開発会社に、規約に準じたサードパーティ統合へ転換するよう働きかけています。お使いの統合を開発した会社のアカウントマネージャに、今後の対応予定や時期を確認されることをおすすめします。

G Suite管理者からの情報

12月16日以降も引き続きプロビジョニングにG Suiteを利用する場合は、ビジネスの社員をWorkplaceにインポートする別の手段を設定する必要があります。手順についてはこちらをご覧ください。

「統合は更新された審査プロセスに合格していない」とはどういう意味ですか。

Workplaceは2019年5月、プラットフォームを利用した統合機能の開発者に対し、審査プロセスの更新を発表しました。サードパーティツールとの統合機能はこの審査プロセスで所定の検証を受けないかぎり、Workplaceから利用できなくなる旨をご案内しました。

  • すべての統合が対象となる検証ステップは、ビジネス認証、プラットフォーム規約への同意、審査です。
  • より多くのデータへのアクセスを要求するサードパーティ統合については、サードパーティの侵入テスト、およびセキュリティに関する情報リクエスト(RFI)も審査プロセスに含まれます。

統合がフラグされている場合、必要なすべての審査ステップのうち未合格のものがあることを意味します。

必要な統合が無効になってしまうかもしれません。どうすればよいですか。

「非承認」と表示されているのはどの統合か、管理者用パネルにはその統合がいつ無効になると表示されているかをご確認ください。必要な統合が無効になることに懸念がある場合には、いくつかのオプションがあります。

  • Workplaceの統合ディレクトリでは、承認済みの開発者による類似の統合をインストールできます。
  • リクエストがあれば、データへのアクセスが制限された特定の統合についてプロセスの適用を除外し、2020年12月31日までWorkplace内で継続利用できるように対応いたします。この対応については、2020年1月15日までにダイレクトサポートにお問い合わせください。

高い安全性が実証されており、アプリ審査プロセスの最後のステップに進んだ開発者による統合機能については、このプロセスの完了が2020年*2月28日まで猶予されます。未承認の統合については、開発者が審査プロセスを完了する期限が統合ごとに管理者用パネルに表示されます。

*お知らせ: 開発者が未承認のカスタム統合をサードパーティのアプリに変換する期限が延長されました。この変更の影響を受ける統合には、2020年5月1日の新しい期限が表示されます。

最終期限後も統合を利用し続けるにはどうすればよいですか。

申し訳ありませんが、2019年12月16日より、審査プロセスに合格していない統合機能へのアクセスが廃止されます。期日までに審査に合格する見込みかどうか、開発者にご確認いただくことをおすすめします。統合ディレクトリで、承認済みの別のプロバイダーによる類似の統合を選択することもできます。

統合はWorkplaceの利用において重要な機能です。リクエストがあれば、データへのアクセスが制限された特定の統合についてプロセスの適用を除外し、2020年12月31日までWorkplace内で継続利用できるように対応いたします。この対応については、2020年1月15日までにダイレクトサポートにお問い合わせください。

カスタム統合が、サードパーティによって開発または運用されているサードパーティ統合として誤ってフラグされたようです。

コントロール可能な環境で運用(ホストおよび実行)している統合がフラグされた場合、Workplaceサポートのチケットを発行してください。こちらで確認いたします。

具体的な疑問がある場合は、Workplaceサポートにお問い合わせください。

新しくなったWorkplace

他のニュース