Webhookのセキュリティ：HMAC署名

お知らせ：当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

プロジェクト、タスク、課題の Webhook を HMAC-SHA 256（SHA 256 を使用したハッシュベースメッセージ認証コード）で保護できます。Zoho プロジェクトでは、Webhook の真正性と完全性を確保・維持するための業界標準のハッシュ方式である HMAC-SHA 256 を使用して Webhook を保護することができます。

HMAC では次の点を確認できます:

Webhook リクエストが Zoho プロジェクトから送信されたものかどうか（シークレットキーは Zoho プロジェクトと受信アプリケーションのみが知っている必要があります）。
Webhook の内容が送信途中で改ざんされていないかどうか。

Webhook を保護する理由

Webhook は、あるアプリケーションから別のアプリケーションにリアルタイムデータを提供するための HTTP リクエストです。セキュリティ攻撃では、攻撃者が不正な Webhook を送信して正規のプロバイダーになりすまし、機密データを取得することが容易にできます。そのため、アプリが信頼できる送信元からの正規の処理のみを受信し、偽のリクエストや悪意のあるリクエストにだまされないよう、Webhook を保護する必要があります。

メリット:

レポートへの誤ったデータの反映を防止
不正な更新を防止
セキュリティ侵害を防止

Webhook セキュリティを有効にする

ユーザーは、Webhook の追加時または編集時に Webhook セキュリティ設定を有効にできます。

［設定］>［自動化 / Issue Tracker］>［Webhook］に移動します。
新規 Webhook の場合は、Webhook フォームに詳細を入力し、［セキュリティ設定］をオンに切り替えます。既存の Webhook の場合は、セキュリティを有効にする Webhook を選択します。
HMAC キーを入力します。［生成］をクリックして HMAC キーを生成することもできます。
［保存］をクリックします。

HMAC キーの長さは 16～128 文字である必要があります。

Zoho プロジェクトでの Webhook セキュリティの仕組み

Zoho プロジェクトから Webhook が送信されると、X-ZP-Webhook-署名という名前の HMAC 署名がリクエストヘッダーに含まれます。Webhook リクエストを受信したアプリケーションは、同じシークレットキーを使用して HMAC 署名を生成し、リクエストヘッダーに含まれる値と比較します。値が一致する場合はデータは正当であり、一致しない場合はデータが改ざんされています。

HMAC 署名の生成

Zoho プロジェクトは、HMAC-SHA256 アルゴリズムを使用して Webhook データの内容の署名を計算し、その結果を base64 形式でリクエストヘッダーに送信します。以下はサンプルデータを用いた説明です。

データの内容	{{'requests':{'request_name':'テスト名前'},'通知': {'operation_type':'RequestSigningSuccess'}}
secret_key	thisisthesamplekeyfortestingpurposes
base64encode(HMAC SHA-256(データの内容+secret_key))	drbSrM4H816RYKpZiRBLddUa0yHaTrwjtY04sIZFZus=

Webhook リクエストヘッダー（HMAC ヘッダー）がどのように表示されるかのイメージは次のとおりです。

受信アプリケーションでの HMAC 署名の検証

JSON 形式で読み込む際にキーの順序が変わらないよう、データの内容は文字列として読み取る必要があります。
シークレットキーを使用してデータの内容の HMAC SHA-256 ハッシュを計算し、その結果を base64 エンコードします。
手順 2 で取得した値と、受信した HMAC ヘッダー（X-ZP-Webhook-署名）の値を比較します。一致しない場合は、その Webhook リクエストを却下します。

HMAC 署名を認証するための Java コードスニペットのサンプル: