Googleはこのところ、G Suiteのセキュリティ対策に熱心で、とくに最近の数か月は 、フィッシング対策ツールや OAuthのアプリケーションホワイトリスト機能、アプリケーションレビュープロセスの強化など、立て続けに新しいセキュリティ機能を導入してきた。今日(米国時間7/18)はそれらにさらに上乗せして、新しいWebアプリケーションやApps Scriptに対して、警告のための“未承認警告画面”(下図)が出るようになった。
この画面は、OAuthのGoogleによる実装を使ってユーザーデータにアクセスしているアプリケーションが、Googleの承認プロセスを経ていないデベロッパーの作であったときに出る。それによりユーザーは、これから使おうとしているアプリケーションが未承認であり、それでも使うなら自己リスクで使うことになるぞ、と自覚を促される。“続ける”ボタンや“OK”ボタンのような便利なものはなくて、そのまま続行するためにはキーボードからわざわざ”continue”と入力しなければならない。迂闊で不注意なユーザーを減らすための、工夫だ。
一応考え方としては、画面にアプリケーションとデベロッパーの名前が出るのだから、それだけでもフィッシングの危険性を減らせる、と言えるだろう。
Googleによれば、ユーザーはこの、突然お邪魔する画面を無視できるのだから、デベロッパーは承認プロセスを経ずに、もっと簡単にアプリケーションのテストができる。
Googleは今日の発表声明でこう言っている: “ユーザーとデベロッパーの健全なエコシステムを作りたい。これらの新しい警報によって、リスクの可能性をユーザーに自動的に伝え、ユーザーは自分が状況を知ってる状態で、自主的な判断ができる。またデベロッパーは、これまでより容易にアプリケーションのテストができる”。
同様の保護が、Apps Scriptにもかかる。デベロッパーはApps Scriptを書いてGoogle Sheets, Docs, Formsなどの機能を拡張できるが、ユーザーにはやはり、上図のような警告画面が提供される。
今のところ、警告画面が出るのは新しいアプリケーションのみだ。しかし数か月後には、既存のアプリケーションにも出るようになる。既存のアプリケーションのためにも、デベロッパーは承認プロセスを経た方がよいだろう。