発表日 ロールアウト完了日
2025年8月12日 2025年8月12日

Zendeskは、最新のAPIセキュリティ技術を活用して一貫性のあるパターンを適用することにより、パブリックアプリケーションの開発とAPIインテグレーション、ボットの指針となるポリシーを更新しました。これらの新しいポリシーは、開発者が必要とする柔軟性を損なうことなく、データのセキュリティとプライバシーを確保するように設計されています。

この変更は、Zendeskプラットフォーム上に構築されたアプリケーションとインテグレーションの信頼性を高めることを目的としています。これにより、データにアクセスしているユーザーが可視化され、Zendeskのデータ悪用を防ぐ能力が高まります。

このお知らせの内容は以下のとおりです。

  • 機能の変更点
  • Zendeskがこれらの変更を行う理由
  • 必要となる作業
  • 今後の予定

機能の変更点

  • 複数のZendeskカスタマーに配布できるように構築されたすべてのアプリとインテグレーションは、Zendeskマーケットプレイスに提出してレビューと承認を受ける必要があります。ボット、アプリ、テーマのZendeskマーケットプレイスでの公開について学習します。
  • すべてのアプリ、インテグレーション、ボットは、新しい標準とガイドラインに従う必要があります。これは、カスタマーが社内使用のために開発したプライベートアプリには適用されません。
    • パブリックアプリは、Zendesk Appフレームワーク上に構築されています。パブリックZAFアプリでZendesk APIへのサーバーサイドコールを実行する必要がある場合は、グローバルOAuthクライアントを使用する必要があります。複数のZendeskカスタマー向けに開発されたプレビューアプリは、同じガイドラインに従う必要があります。
    • インテグレーション アプリ(「マーケティング専用アプリ」とも呼ばれる)は、グローバルOAuthクライアントを使用する必要があり、各APIコールには、インテグレーションの名前、組織ID、マーケットプレイスのアプリIDを指定するカスタム ヘッダーが含まれている必要があります。
      • Zendeskは、グローバルOAuthアクセストークンを使用しているインテグレーションを表示および管理できる新しいページを管理センターにリリースする予定です。
      • リフレッシュトークンフローのサポートは、2026年1月31日以降、すべてのグローバルOAuthクライアントで必要になります。
    • ボットは、マーケットプレイス ボット ガイドラインに従って構築されます。
  • サードパーティのアプリ、インテグレーション、ボット(Zendeskマーケットプレイスに掲載されているかどうかにかかわらず)が、カスタマーのAPI資格情報(APIトークンまたはカスタマー自身のOAuth)を使用してAPIコールを認証することはできません。
  • 顧客データが悪用されたり、不要なリスクにさらされたりしないように、顧客データの取り扱いに関するルールを順守する必要があります。Zendesk Developer Terms(Zendesk開発者規約)で定められた、カスタマーデータの使用方法に関する新しい制限が導入されます。

Zendeskがこの変更を行う理由

ZendeskのAPIとそれらのAPI上で開発されたアプリケーションやインテグレーションのセキュリティは、これまで以上に重要性が高くなっています。データの窃取などの脅威が年々高まる中、Zendeskのお客様はデータセキュリティの確保を求めています。すべてのマーケットプレイスのアプリケーション、インテグレーション、ボットについて、強力な認証機能、安全な開発方法、適切なデータ保護などのセキュリティベストプラクティスに従い、Zendeskが正式なレビューを実施することは、これらのアプリケーションとインテグレーションの信頼性を確保する上で非常に重要です。詳細については、ブログ投稿を参照してください。

必要となる作業

既存のアプリ、インテグレーション、またはボットに必要な変更を今すぐ行うことができます。準備ができたら、アプリ(またはボット)をZendeskマーケットプレイスのレビューと承認に送信します。現在、Zendesk APIでの認証にAPIトークンまたはインテグレーションでの基本認証を使用している場合は、OAuthを使用するように認証方法を更新する必要があります。変更が完了したら、マーケットプレイスの既存のリストに更新を送信する必要があります。

また、Zendeskはサードパーティのアプリ開発者にも連絡し、既存のアプリやインテグレーションに新しい標準とガイドラインを採用するための詳細と期間を提供する予定です。 

Zendeskマーケットプレイスにインテグレーションを登録していない場合は、Zendeskマーケットプレイスプロフィールを作成し、組織を登録して、レビューと承認を受けるためにアプリを送信する必要があります。

OAuthを使用するように変更を展開する際に、カスタマーがスムーズに移行できるように、次のいずれかを行います。 

  • ハードカットオーバーを実行します。カスタマーは同時に影響を受け、アプリまたはインテグレーションを再認証する必要があります。この変更は、影響を受けるお客様に事前に通知し、影響を最小限に抑える必要があります。

  • ソフト カットオーバーを実行し、カスタマーがOAuthとのインテグレーションを再認証するまで、既存の認証実装でコールを認証し続けることができるようにします。 

本日より、Zendeskマーケットプレイスへの新規投稿は、新しい基準とガイドラインに基づいて審査され、承認されます。

今後の予定

Zendeskは、APIとそれに関連するアプリ/インテグレーションとの間で送受信されるトラフィックの可視性と制御性を向上させることにより、APIとそれに関連するアプリ/インテグレーションのセキュリティを段階的に改善していきます。
 

翻訳に関する免責事項:この記事は、お客様の利便性のために自動翻訳ソフ トウェアによって翻訳されたものです。Zendeskでは、翻訳の正確さを期すために相応の努力を払っておりますが、翻訳の正確性につ いては保証いたしません。

翻訳された記事の内容の正確性に関して疑問が生じた場合は、正式版である英語の記事 を参照してください。

Powered by Zendesk