Webhook署名

Webhook署名は、外部SaaSから届いたWebhook通知が正規の送信元から送られ、途中で改ざんされていないことを確認する仕組み。

多くの場合、SaaS側が共有シークレットを使ってリクエスト本文に署名を付与し、受信側が同じ計算をして一致するか検証する。署名検証をしないと、第三者が偽のWebhookを送って不正な処理を起こすリスクがある。

決済、アカウント作成、権限変更など重要イベントをWebhookで扱う場合は、署名検証とリプレイ攻撃対策を実装したい。

SaaSを比較するときは、単に「APIあり」と書かれているかではなく、読み取りだけか書き込みもできるか、認証方式、レート制限、Webhook、SDK、サンプルコードの有無まで確認するとよい。AIエージェントや自動化ツールから使う場合は、仕様が機械可読で、エラー内容がわかりやすく、権限を細かく分けられるほど扱いやすい。

注意したいのは、画面でできる操作がAPIでも同じようにできるとは限らない点。連携前提で導入するなら、必要なデータ項目を取得できるか、更新できるか、監査ログに残るかを事前に確認しておくと後戻りが少ない。