ウェブフックセキュリティ：HMAC署名

お知らせ：当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

プロジェクト、タスク、課題のWebhookをHMAC-SHA 256（SHA 256を用いたハッシュベースのメッセージ認証コード）で保護します。Zoho Projectsでは、Webhookの認証性と完全性を確保・維持するための業界スタンダードなハッシュ機構であるHMAC-SHA 256によるWebhookの保護が可能です。

HMACは以下の認証に役立ちます：

WebhookリクエストがZoho Projectsから送信されたかどうか（シークレットキーはZoho Projectsと受信側アプリケーションのみが知っている必要があります）。
Webhookの内容が途中で改ざんされていないかどうか。

なぜWebhookを保護する必要があるのか？

Webhookは、あるアプリケーションから別のアプリケーションへリアルタイムデータを提供するHTTPリクエストです。セキュリティ攻撃では、攻撃者が偽のWebhookを送信して正規の提供者になりすまし、機密データを抜き取ることが容易にできます。そのため、Webhookを安全に保護し、アプリが信頼できる送信元からの正規の処理のみを受信し、偽または有害なリクエストに騙されないようにすることが重要です。

メリット:

レポートへの誤ったデータの混入防止
不正な更新の防止
セキュリティ侵害の回避

Webhookセキュリティを有効にする

Webhookの追加または編集時に、Webhookセキュリティ設定を有効にできます。

設定 > 自動化／Issue Tracker > Webhook に移動します。
新規Webhookの場合は、Webhookフォームに詳細を入力し、セキュリティ設定をオンにします。既存のWebhookの場合は、セキュリティを有効にしたいWebhookを選択します。
HMACキーを入力します。生成するをクリックしてHMACキーを自動生成することもできます。
保存をクリックします。

HMACキーの長さは16文字から128文字の間である必要があります。

Zoho ProjectsにおけるWebhookセキュリティの仕組み

Zoho ProjectsからWebhookが送信される際、リクエストヘッダーに「X-ZP-Webhook-署名」という名前のHMAC署名が含まれます。Webhookリクエストを受信したアプリケーションは、同じシークレットキーを用いてHMAC署名を生成し、リクエストヘッダーにある値と比較します。値が一致すればデータは正当であり、一致しなければデータが改ざんされていることになります。

HMAC署名の生成

Zoho ProjectsはHMAC-SHA256アルゴリズムを使用してWebhookデータ内容の署名を計算し、その結果をbase64形式でリクエストヘッダーに送信します。以下に、サンプルデータを用いた説明を示します：

データの内容	{{'requests':{'request_name':'テスト名前'},'通知': {'operation_type':'RequestSigningSuccess'}}
secret_key	thisisthesamplekeyfortestingpurposes
base64encode(HMAC SHA-256(データの内容+secret_key))	drbSrM4H816RYKpZiRBLddUa0yHaTrwjtY04sIZFZus=