# OWASP ZAPでApp Exchangeのスキャンレポートを作成する

> OWASP ZAPを使用したSalesforce App Exchangeアプリのスキャンレポート作成手順を解説。M1 Mac環境での導入、設定、Firefoxとの連携方法、スキャン実行とレポート生成の流れを詳述し、セキュリティレビューに向けた準備方法を紹介します。

- 公開日: 2025-02-28
- 著者: 村井 謙太
- タグ: Salesforce, AppExchange, OWASP ZAP
- URL: https://tech.anycloud.co.jp/articles/appexchange_owaspzap

---

SalesforceのAppExchangeアプリをリリースするには、セキュリティレビューを通過する必要があります。そのプロセスの一環として、**ソーススキャン**（コードやシステムの脆弱性チェック）が求められます。

特に自社のSaaSと連携する場合、**AppExchange用のコンポーネントだけでなく、自社SaaS側のソーススキャンも必須**となります。

Salesforceではいくつかのスキャンツールが推奨されていますが、その中の一つである**Chimera**を試したところ、申請後1ヶ月経ってもプロセスが進まず…。Salesforceサポートに問い合わせたところ、「Chimeraは他社でも苦労しているのでおすすめしない」との回答でした。

代わりに**OWASP ZAP**を推奨されたため、導入と設定を進めました。

今回は、**M1 Mac環境でのOWASP ZAPの導入手順**について、備忘録として残しておきます。

* * *

## OWASP ZAPインストール

まずはZAPをインストールします。Homebrewを使うと簡単です。

```shell
brew install --cask owasp-zap
open /Applications/ZAP.app
```

## ZAPがマルウェア判定されてしまう**問題**

最近のMacのセキュリティ機能により、ZAPがマルウェア判定されてしまい、そのままでは開けません。 （セキュリティリスクを伴う可能性があるため、自己責任で対応してください）

<figure><img src="./image-001.webp" alt="" width="1458" height="910"></figure>

1.  **システム設定 > プライバシーとセキュリティ** に移動
2.  「“ZAP.app”は開発元を確認できないため、開けません」と表示されたら、「**許可**」ボタンをクリック
3.  一度開こうとしただけでは許可ボタンが表示されない場合、**ZAPを開き直す**

## **ZAPの設定（プロキシー設定）**

ZAPを開いたら、プロキシーの設定を行います。

1.  セッションの保存方法を聞かれる → 「適当に一番上のオプションを選択」
2.  アドオン設定は閉じてOK
3.  プロキシーのポートを設定
    1.  ZAP > Settings > Network > Local Servers / Proxies
    2.  ポートを空いているものに設定
        
        <figure><img src="./image-002.webp" alt="" width="897" height="655"></figure>
        

## Firefoxでプロキシー設定

ブラウザのリクエストをZAPのproxyを通すようにすることでスキャンが実行されます。

Firefoxだと簡単にリクエストのproxy設定をできるので、Firefoxで進めます。

1.  Firefoxの設定 > ネットワーク設定 > 手動でプロキシー設定する
2.  ここでZAPのproxy設定と同じportを指定
3.  HTTPSでも使用する、にチェック
    
    <figure><img src="./image-003.webp" alt="" width="788" height="929"></figure>
    

## FirefoxにZAPの証明書を設定

ZAPのプロキシ経由でサイトにアクセスすると、証明書が信頼されていないためエラーが発生します。これを回避するため、ZAPの証明書をFirefoxに登録します。

1.  ZAPのServer Certificatesから証明書を保存
    
    <figure><img src="./image-004.webp" alt="" width="821" height="663"></figure>
    
2.  Firefoxの設定 > プライバシーとセキュリティ > 証明書を表示
3.  「認証局証明書」の項目で「読み込む」を選択し、ZAPの証明書を追加
    
    <figure><img src="./image-005.webp" alt="" width="1166" height="918"></figure>
    
4.  「**ウェブサイトの識別に使用する**」にチェックを入れる

## ZAPでレポート生成

証明書を設定したら、実際にスキャンを実行し、レポートを作成します。

1.  Firefoxでスキャン対象のサイトにアクセス
2.  ZAPのUI上で、サイトのURLがキャプチャされていることを確認
3.  ZAPのメニューから「**レポートを生成**」を選択
4.  スキャン対象のURLを指定してレポートを作成
    
    <figure><img src="./image-006.webp" alt="" width="814" height="225"></figure>
    

## レポート例とセキュリティレビューへの対応

ZAPのレポートでは、以下のようなセキュリティリスクが指摘されます。

• **CSP（コンテンツセキュリティポリシー）の設定**

• **CORS（クロスオリジンリソース共有）の設定**

• **Cookieのセキュリティ設定**

• その他の脆弱性情報

<figure><img src="./image-007.webp" alt="" width="1758" height="1720"></figure>

AppExchangeのセキュリティレビューに提出する前に、レポートのアラートを修正しておくことで、審査通過率を向上させることができます！

## **まとめ**

Salesforceの**Chimera**はスキャンの進行が遅いため、**OWASP ZAPを使うのが現実的な選択肢**となります。

ZAPの導入自体は簡単ですが、Mac環境では**マルウェア判定の回避**や**証明書の設定**が必要になるため、事前に準備しておきましょう。

AppExchangeのセキュリティレビューをスムーズに通過するためにも、事前の脆弱性スキャンを活用して、安全なアプリを提供しましょう 🚀
