自動化ワークフローを作っていたら、「OAuthで認証してください」という画面が出てきた。
英語だし、項目は多いし、面倒だから一番広い権限にチェックを入れて、許可を押す。
そんな経験はありませんか?
OAuthはパスワードを渡さずに外部サービスと安全に連携するための仕組みですが、設定時の権限選択を誤ると、思わぬリスクを抱えることも。
この記事では、以下3点を解説します。
- OAuthの基本的な仕組み
- 自動化ツールで特に起きやすい権限設定のミス
- それを防ぐための具体的なチェックポイント
OAuthとは?パスワードを渡さずに権限だけを許可する仕組み
OAuthは、あるサービスが別のサービスに対して、ユーザーのパスワードを知ることなく限定的な操作権限を得るための仕組みです。n8nやMake、Zapierを使っていると、「Googleアカウントで認証してください」という画面に出会うことがあります。あの画面の裏側で動いているのがOAuthです。ここではまず、OAuthが何をしている技術なのかを、専門知識がなくてもわかるように解説します。
OAuthをわかりやすく言うと「合鍵ではなく入館許可証を渡す」仕組み
OAuthの考え方は、建物のセキュリティに例えるとわかりやすくなります。
たとえば、あなたがオフィスビルのオーナーだとします。清掃業者に仕事を依頼するとき、ビル全体のマスターキーを渡すでしょうか。普通はそんなことはしません。「3階の会議室だけ、平日の午前中だけ入れる入館許可証」を発行するはずです。
OAuthがやっていることは、まさにこれと同じです。自動化ツールがあなたのGoogleアカウントにアクセスしたいとき、あなたのパスワード(マスターキー)を渡すのではなく、限定的な許可証(トークン)を発行します。「Googleスプレッドシートの読み取りだけ」「Gmailの送信だけ」といった範囲を指定できます。
やり手社員この仕組みのおかげで、自動化ツール側はあなたのパスワードを一切知ることなく、許可された範囲だけで作業ができるようになります。
OAuthが従来のID・パスワード認証より優れている点
OAuthが登場する前は、外部サービスに自分のIDとパスワードをそのまま渡すしかありませんでした。OAuthはこの問題を根本的に解決しています。具体的に何が優れているのか、3つの観点から説明します。
パスワードを第三者に教える必要がない
従来の方式では、たとえばメール連携をしたい場合、連携先のサービスにGmailのパスワードを直接入力する必要がありました。これは、清掃業者にマスターキーを渡しているのと同じ状態です。連携先のサービスが情報漏洩を起こせば、あなたのパスワードもそのまま流出します。
OAuthでは、パスワードの代わりにアクセストークンという一時的な許可証が使われます。連携先のサービスはあなたのパスワードを一切知らないため、万が一そのサービスに問題が起きても、パスワードが漏れることはありません。
許可する範囲を細かく指定できる
OAuthでは「スコープ」という仕組みで、どの操作を許可するかを細かく指定できます。たとえばGoogleアカウントとの連携であれば、「スプレッドシートの読み取りだけ」「カレンダーの予定の追加だけ」「Gmailの送信だけ」といった具合に、必要な権限だけを渡せます。
パスワードを渡す方式ではこれができません。パスワードがあればアカウントの全機能にアクセスできてしまうため、「メール送信だけ許可して、メール削除は禁止」といったコントロールが不可能です。
いつでも許可を取り消せる
OAuthで発行した許可は、いつでもユーザー側から取り消せます。Googleアカウントであれば、「セキュリティ」の「サードパーティとの接続」から、どのアプリにどんな権限を渡しているかを確認し、不要なものを削除できます。
パスワードを渡してしまった場合、アクセスを止めるにはパスワード自体を変更するしかありません。しかもパスワードを変更すると、正当な連携先も含めてすべてのアクセスが切れてしまいます。OAuthなら、特定の連携だけをピンポイントで切ることができます。
自動化ツールのOAuth設定で起きやすい権限の与えすぎ問題
OAuthはパスワードを渡さずに済む優れた仕組みですが、それでも安全とは限りません。問題が起きるのは、OAuthの仕組み自体ではなく、設定時に必要以上の権限を与えてしまう使い方にあります。ここでは自動化ツールのOAuth設定で特に起きやすい「権限の与えすぎ」について解説します。
うっかり社員有能な経理のAさんに法人口座の入出金まで任せてたら、あとで横領が発覚した…みたいな話を思い出しました。
「すべてのデータにアクセスを許可」にしていませんか?
自動化ツールでGoogleやSlack、Notionなどの外部サービスと連携するとき、OAuth認証画面には許可する権限の一覧が表示されます。このとき、「早く設定を終わらせたい」「どれを選べばいいかわからない」という理由で、一番広い権限を選んでしまう人が少なくありません。
たとえば、Googleスプレッドシートの特定のファイルを読み取るだけのワークフローなのに、「Googleドライブ内のすべてのファイルの閲覧、編集、作成、削除」という権限を許可してしまうケースです。やりたいことに対して、明らかに過剰な権限を渡しています。
これは先ほどの例で言えば、「3階の会議室を掃除してほしいだけなのに、ビル全体のマスターキーを渡している」のと同じ状態です。OAuthを使っていても、渡す権限の範囲が広すぎれば、パスワードを渡しているのとリスクの大きさはほとんど変わりません。
権限を与えすぎると何が起きるのか
「動いているから問題ない」と思うかもしれません。しかし、過剰な権限が問題になるのは正常に動いているときではなく、何かが起きたときです。
意図しないデータの読み取り・書き換え
自動化ツールのワークフローに設定ミスやバグがあった場合、過剰な権限があると被害範囲が一気に広がります。スプレッドシートの読み取りだけが目的だったのに、編集・削除の権限まで渡していれば、誤動作によってファイルが書き換えられたり、最悪の場合は削除されたりする可能性があります。
まつ必要最小限の権限しか渡していなければ、仮にワークフローが意図しない動作をしても「読み取りしかできない」という制限がセーフティネットになります。
連携先サービスの乗っ取りリスク
OAuthのアクセストークンが漏洩した場合のリスクは、許可した権限の範囲に比例します。トークンに「すべてのファイルの編集と削除」の権限が含まれていれば、そのトークンを入手した第三者はその権限をそのまま行使できます。
自動化ツールのアクセストークンが保存されている環境のセキュリティは、自分でコントロールできない部分もあります。だからこそ、「仮にトークンが漏れたとしても被害を最小限にする」という考え方で権限を設定することが重要です。
被害が自分だけでは済まないケース
Googleドライブの共有フォルダやSlackのワークスペースなど、他のメンバーと共有しているサービスに対して過剰な権限を設定している場合、被害は自分一人にとどまりません。共有フォルダ内のファイルが誤って変更されたり、Slackで意図しないメッセージが送信されたりすれば、チーム全体に影響が及びます。
特に業務で自動化ツールを使っている場合、自分のOAuth設定が同僚のデータにまで影響を与えうるという認識は持っておくべきです。
OAuthの仕組みをわかりやすく解説|スコープと権限の考え方
権限の与えすぎがなぜ危険なのかを理解した上で、OAuthの仕組みをもう少し具体的に見ていきます。ここでは認証の流れと、権限の範囲を決める「スコープ」という概念を解説します。仕組みを知っておくと、自動化ツールの設定画面で何が起きているのかが見えるようになります。
OAuth認証の基本的な流れ
自動化ツールで外部サービスと連携するときのOAuth認証は、大きく3つのステップで進みます。ここではn8nからGoogleスプレッドシートに接続する場面を例に説明します。
ユーザーが連携を許可する
n8nでGoogleスプレッドシートのノードを追加し、認証設定を開くと、Googleのログイン画面が表示されます。ここでGoogleは「このアプリがあなたのアカウントへのアクセスをリクエストしています」という画面を表示し、要求されている権限の一覧を見せてきます。内容を確認して「許可」を押すと、次のステップに進みます。
この画面がOAuthの入り口です。ここで表示されている権限の一覧が、先ほどから触れている「スコープ」にあたります。
認可コードが発行される
許可ボタンを押すと、GoogleからOAuthの仕組みを通じて「認可コード」が発行されます。これは一時的な引換券のようなもので、「このユーザーがこの範囲のアクセスを許可しました」という証明です。
この認可コードは非常に短い時間だけ有効で、直接データにアクセスする力は持っていません。あくまで次のステップで必要な「アクセストークン」を取得するための中間ステップです。一度の認証手続きで、ユーザーのパスワードがn8n側に渡ることは一切ありません。
アクセストークンで実際の操作が行われる
n8nは受け取った認可コードをGoogleに提示し、代わりに「アクセストークン」を受け取ります。このアクセストークンが、実際にGoogleスプレッドシートのデータを読み書きするための鍵になります。
以降、n8nのワークフローがGoogleスプレッドシートにアクセスするたびに、このアクセストークンが使われます。トークンには「どの操作が許可されているか(スコープ)」と「いつまで有効か(有効期限)」の情報が紐づいているため、許可された範囲と期間を超えた操作はできません。
スコープとは?自動化ツールに「どこまで許可するか」の範囲指定
スコープは、OAuthで許可する権限の範囲を定義するものです。自動化ツールの認証画面で「このアプリに以下の権限を許可しますか?」と表示される項目の一つひとつが、スコープに対応しています。
たとえばGoogle APIの場合、スコープは以下のように細かく定義されています。Googleスプレッドシートだけでも「すべてのスプレッドシートの読み取りと書き込み」「すべてのスプレッドシートの読み取りのみ」といった異なるスコープが用意されています。さらにGoogleドライブには「すべてのファイルへのフルアクセス」「アプリが作成したファイルのみ」など、範囲の広さが異なる複数のスコープがあります。
ここで重要なのは、自動化ツールが要求してくるスコープが必ずしも最小限とは限らないという点です。ツール側は汎用性を持たせるために、実際に必要な範囲よりも広いスコープを要求してくることがあります。だからこそ、認証画面で表示されるスコープの内容を確認し、本当にその範囲が必要なのかを自分で判断する習慣が大切です。
自動化ツールでOAuthを安全に使うためのチェックポイント
OAuthの仕組みとリスクを理解した上で、実際に自動化ツールでOAuthを設定するときに意識すべきポイントを整理します。特別な技術知識は必要ありません。いくつかの原則を押さえておくだけで、権限の与えすぎによるリスクを大幅に減らすことができます。
必要最小限のスコープを選ぶ原則
OAuth設定で重要なのは最小権限の原則です。これは、ワークフローが正常に動作するために必要な最小限の権限だけを許可するという考え方です。
実践の手順はシンプルです。
ワークフローが行う操作を洗い出す
そのワークフローが実際に行う操作を具体的に書き出します。「スプレッドシートからデータを読み取る」だけなのか、「読み取って、別のシートに書き込む」のか、「新しいファイルを作成する」のかによって、必要なスコープは変わります。漠然と「Googleと連携する」ではなく、操作を一つずつ明確にすることがスコープ選定の出発点です。
必要な操作に対応するスコープだけを選ぶ
認証画面で表示されるスコープの中から、洗い出した操作に対応するものだけを選びます。「念のため広めに許可しておこう」は禁物です。もし後から権限が足りないことがわかれば、そのときに追加すれば済みます。最初から広い権限を渡して後から狭めるよりも、狭い権限から始めて必要に応じて広げる方が安全です。
OAuthトークンの有効期限と再認証の基本
OAuthのアクセストークンには有効期限があります。Googleの場合、アクセストークンの有効期限は通常1時間です。有効期限が切れると、そのトークンではアクセスできなくなります。
「1時間で切れたら毎回認証し直すのか」と思うかもしれませんが、その心配はありません。OAuthにはアクセストークンとは別に「リフレッシュトークン」という仕組みがあります。アクセストークンが期限切れになると、リフレッシュトークンを使って自動的に新しいアクセストークンが発行されます。自動化ツールはこの仕組みを内部で処理しているため、ユーザーが毎回認証し直す必要はありません。
ただし、リフレッシュトークンも万能ではありません。サービス提供者側がトークンを無効化する場合や、ユーザーがパスワードを変更した場合、あるいは長期間使用されなかった場合には、リフレッシュトークンも無効になります。その場合はOAuth認証を最初からやり直す必要があります。自動化ツールのワークフローが突然エラーを出した場合、まず確認すべきはこのトークンの失効です。
不要になった連携を放置しない
自動化ツールを使っていると、試行錯誤の過程でさまざまなサービスとOAuth連携を行います。テスト用に作った連携や、もう使わなくなったワークフローの連携が残り続けていることは珍しくありません。
使っていないOAuth連携が残っているということは、使っていない入館許可証が有効なまま放置されているのと同じです。自分では使っていなくても、万が一トークンが漏洩すれば悪用される可能性があります。
定期的に確認すべき場所は2つあります。
自動化ツール側の認証情報を確認する
自動化ツール側の認証情報(クレデンシャル)の一覧を確認します。n8nであれば「Credentials」のページ、MakeやZapierであれば「Connections」のページで、現在有効な連携を確認できます。使っていないものがあれば削除します。
連携先サービス側のアプリ管理画面を確認する
連携先サービス側のアプリ管理画面も確認します。Googleであれば「Googleアカウント」→「セキュリティ」→「サードパーティとの接続」から、どのアプリにどんな権限を許可しているかを一覧で確認できます。ここで心当たりのないアプリや、もう使っていないアプリがあれば、アクセス権を削除します。
この確認作業は月に一度でも十分です。新しいワークフローを追加したときや、古いワークフローを停止したときに合わせて見直す習慣をつけておくと、不要な権限が残り続けることを防げます。
まとめ
OAuthは、パスワードを第三者に渡すことなく、必要な権限だけを限定的に許可できる認証の仕組みです。従来のID・パスワード方式と比べて安全性が高く、自動化ツールと外部サービスの連携には欠かせない技術です。
ただし、OAuth自体が安全でも、設定時に必要以上の権限を与えてしまえばリスクは大きくなります。ワークフローが実際に必要とする操作だけに権限を絞り、使わなくなった連携は放置せず削除する。この2つを習慣にするだけで、自動化ツールのOAuth設定にまつわるリスクの大部分は防ぐことができます。
