こんにちは。Tedです。
いよいよ今回でGmail API利用にかかるGoogleからの承認の取得記のラストです。
これまでの記事はこちら。
前回までで、Googleでの審査は一通り完了しました。いよいよセキュリティ評価です。
セキュリティ診断企業選び
https://support.google.com/cloud/answer/9110914 にあるように、この承認のためには第三者機関によるセキュリティ評価が必要(the system must undergo an independent (3P) security assessment)となります。また、この企業はどこでもよいわけではありません。Googleが指定する3社(すべて米国企業)から選ぶ必要があります。そしてその費用は、1万5千ドル〜7万5千ドル(約160万円~800万円)またはそれ以上かかります。
私たちの場合、このセキュリティ評価に入る時点で2019年の12月に入っていました。Google提示の3社の内、1社は多忙で年内は受け付け終了とありました。できれば年内に終わらせたかった*1ので、残りの2社から見積もりを取得することにしました。見積もりにあたり、Re:lationシステムの概要など必要な情報を提供します。これらのやりとりもすべて英語で行います。
2社からの回答は内容はほぼ同じ(当たり前)ながら、最初に出された費用は100万円ほど差がありました。ですが話を進めていく上でほとんど同じような額となりました。その見積額は約400万円でした。
両社ともしっかりした会社だったので、選ぶのには苦労しました。最終的には、回答が早く、納期も短かったB社に決めました。(とはいえ、ホリデーシーズンのためか結果的にテスト開始・終了は大幅にずれましたが)
セキュリティ評価で感じたこと
セキュリティ評価は下記のように進められました。
キックオフミーティング(Web会議)
B社によるセキュリティ評価
評価結果を元にレポートとその説明(Web会議)
指摘事項の修正とその内容の連絡
B社での修正内容の確認
最終診断結果のレポートとその説明(Web会議)
B社から上がってきた診断レポートには、いくつか修正すべき点も指摘されていました。このレポートには私たちは大変満足しています。中には、Re:lationの仕様を十分に理解していないと指摘できないような内容も含まれていたためです。また、これまでの他社による診断では発見されなかったことも指摘に上がっていました。
はれてGoogleからの承認を得る
B社からの最終レポートをGoogleに送信すると、その翌日にはGoogleからの承認が下りました。すでに時は2020年2月も後半になっていました。Googleに最初に申請をしてから、実に4ヶ月以上・Googleとのやりとりは122回かかりました。
あらためて、今回の承認取得のポイントを下記に記したいと思います。
Google Cloud Consoleでの申請内容は別途保存しておきましょう。審査期間は限られており、期限を過ぎると再申請が必要となります。そのためもし再申請が必要となった際に重宝します。*2
英語力は必要です。
提出資料作成のため、英作文能力も必要です。
セキュリティ診断企業とのWeb会議のために英会話力も必要です。
セキュリティ診断にはまとまった費用が必要ですし、Googleが指定する企業を使う必要があります。予算の確保を前もってしておくとよいかと思います。
基本的にGoogleは1-2日後には返事をくれます。
ただしそうでないときもあります。そんなときはフォローメールを送りましょう。*3
GoogleはWeb会議には応じません。コミュニケーションは必ずメールに限られます。英文での表現力・説明力はある程度必要になります。
122回のやりとりの中には、ここでは書き切れないほどのイベントが発生したのですが、ざっとこのようにまとめてみました。元々はこの3倍はあったボリュームをここまでまとめてくれたウチのCTOに感謝です。
もしこれがこれからGoogle OAuthを取得しようと思っている企業に有益となれば幸いです。質問があれば気軽にどうぞ。コメントやツイートなどwelcomeです。