GoogleのAPI OAuth審査は以前から厳しさが折り紙付きですが、最近ではGoogleの審査に加えてCASA(Cloud Application Security Assessment)によるTier2スキャンを要請される流れとなっています。
Web上の情報も少なく混乱もあったため、備忘と共有を兼ねて記録を残します。尚、この記事はGoogleのAPI OAuth審査の終盤に行う手順です。序盤戦については以下の関連記事をご覧ください。
◇目次
前段:この記事が必要な場面
Googleの機密情報を取り扱うAPI(Google Fitの身体情報やカレンダーなど)にアクセスするにはGCP上で同画面データを作成し、Googleの審査を受ける必要があります。以前はGoogle審査のみで完了していましたが、現在は場合により最終局面でCASAによるスキャンを指示されます。
下の画像のように期限(概ね3ヶ月)を指定されそれまでにスキャンを完了させるよう指示されます。実際にプロセスに入ってからも数週間はかかるので、アプリ公開スケジュールも慎重に策定しスキャンに臨みましょう。
尚、CASA(Cloud Application Security Assessment)は認定評価機関によるオンラインでソースコードをスキャニングしてセキュリティリスクを検証するプロセスです。Googleからは認定機関の一つであるPwC(プライスウォーターハウスクーパース)が指定されます。
手順:rc.products.pwc.comの画面の指示通りでOK。別段の外部ツールやインストールは不要。
大まかな手順は次の通りです。
- 基本情報の登録
- ソースコードを所定の方法でZIPにしてアップロード
- アンケートに回答
- 担当者とやり取り(場合によってはアンケート内容に質問が来る)
- 最終プロセス
2番目のZIP化とアップロードが最初の難所で、あとは難しい質問が来なければすんなり終わるでしょう。
Web上の情報では色々なツールをインストールする等の手順が紹介されていますが、rc.products.pwc.com(Googleからのリンクで指定されている、スキャンを行うサイト)のマイページに指示されている通りに坦々と進めればOKです。使用するツールもマイページ内にZIPファイルが掲載されています。
尚、Flutterユーザーの場合は手順書の対応言語にDartの記載がありませんが、Androidフォルダー内を対象としてKotlinまたはJavaプロジェクトとして進めてれば差し支えありません。その場合、対応プラットフォームにiOSを含まないように注意しましょう(あくまで対象となるソースコードと対応させる方が混乱がありません)。
ソースコードのZIP作成とアップロード実務
上記のリンクでツールをダウンロードすると、ZIP内のbinフォルダーに必要なプログラムが格納されています。画像の通り、Windowsであればscancentral.bat、Mac/Linuxであればscancentralをコマンドで実行して使用します。
実行するコマンドも手順書の通りです。FlutterやKotlinであれば次の通りです。
Windows
<解凍したscancentral.batまでのフルパス>\scancentral.bat package -bt none -o myPackage.zip
Mac/Linux
$ <解凍したscancentralまでのフルパス>/scancentral package -bt none -o myPackage.zip
尚、このコマンドはカレントディレクトリ内のすべてのファイル・フォルダーをZIPに封入しますので、実行前にソースコードのルートディレクトリ(Flutterならandroidディレクトリ)に移動してから実行するようにしましょう。
完成したZIPをrc.products.pwc.comのマイページにアップロードすれば、次のステップに進むことができます。
ひとまずここまで。有難うございました。
記事筆者へのお問い合わせ、仕事のご依頼
当社では、IT活用をはじめ、業務効率化やM&A、管理会計など幅広い分野でコンサルティング事業・IT開発事業を行っております。
この記事をご覧になり、もし相談してみたい点などがあれば、ぜひ問い合わせフォームまでご連絡ください。
皆様のご投稿をお待ちしております。
