Google APIの​制限付きスコープの​Google審査 体験談 ～CASAセキュリティ検証 Tier2編～

はじめに

この記事はGoogle APIの制限付きスコープのGoogle審査 体験談 ～ブランド検証＋機密＆制限スコープ検証編～ その２の続きの記事です。
この記事では制限付きスコープを使用する場合に必要なCASAセキュリティ検証の手順についてご紹介いたします。^[1]

CASA セキュリティ検証に​ついて

CASA セキュリティ検証は、Google APIのうち制限付きスコープを使用するアプリが受ける必要のある審査で、毎年１回対応が必要になるものです。

SKYMENUで使用した制限付きスコープ

• Google Driveのすべてのファイルの作成・編集・削除権限。

セキュリティ検証にはレベル（Tier）が３段階あり、Googleが以下の内容に基づいて算出し、決定します。

Tierの​算定

• アプリケーションがアクセスするデータの機密性。各データ型には、階層の計算に影響を与えるリスクの重みが与えられる場合があります。
• アクセスされたデータの種類あたりのユーザー数。
• 企業のリスク許容度。
• 外部および内部のリスク指標。

基本的に、制限付きスコープを使う場合はTier2以上となります。
（制限付きスコープを使用してTier1になった事例は調査しましたが見つかりませんでした）

セキュリティ検証の​はじめかた​（Tier2）

セキュリティ検証が必要なアプリは、Googleからメールが届きます。
前回のブログでご紹介したGoogle審査の続きで、ブランド及びユーザーデータのポリシー検証のあとにセキュリティ検証を受けるようにメールが届きました。

このメールは後々セキュリティ審査の認定機関にも提出する必要があるので、大切に保管しておきます。
セキュリティ検証の認定企業は複数社あるため、まずは選定を行い依頼先を決めて申し込みました。

セキュリティ検証

事前にTier2検証の流れを調査してみたところ

• アプリの静的解析ツールでのスキャン（Webアプリの場合は動的解析が推奨）
• セキュリティに関する自己評価アンケート（SAQ）の回答
• その他審査会社とのやりとり
• 審査会社がGoogleに対してLOV（検証レター）を送付
• Googleから承認の連絡が開発者に通知される

となっているようです。

実際に検証を進めてみたところ、ほぼ上記の調査の通りでした。
申し込み後にダッシュボードにログインできるようになるので、ダッシュボード上からソースコードをアップロードしてスキャンを行い、結果に記載されていた指摘事項に対応して再度スキャンします。
そしてOKになった後に、自己評価アンケートに回答し、セキュリティ検証の担当者にメールでレビュー依頼を行いました。

その後、担当者から「SAQは問題ない」との連絡がありました。
そして、ユーザーデータを保存しているかどうか、その場合はどのような暗号化アルゴリズムを使用しているかといった質問に回答しました。
さらに、プロジェクト番号や会社HPのURLなどの情報について連絡するようにリクエストされ、それに対しても返信しました。
その後、LOVをGoogleに提出したとの連絡があり、これでセキュリティ検証が完了しました。

大変だったのは、すべて英語でのやり取りになるのと、どれくらい期間を要するのが分からず、アンケート回答や提出物がこれで正しいのか手探り状態で進めることになった点でした。
アンケートの項目そのものはCASAのページに記載されている内容と同等だったので、ある程度準備は可能なものでした。

結果的に、Tier2セキュリティ検証の一連のプロセスには３週間かかりました。

おわりに

今回はじめてのセキュリティ検証で、結果的には大幅な修正を要することもなく無事完了できたのですが、終わるまではずっと気がかりな状態でした。
また、教員アプリのTier3では、Tier2とは少々異なるフローでの審査が行われました。
この点についても、今後の記事で詳しく紹介しようと思います。

「CASAセキュリティ検証（Tier2）」編は以上となります。
次回は、CASAセキュリティ検証（Tier3）についてご紹介します。

次回ブログ記事もぜひご覧ください。