Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スピンアウト講座06_認証系(API-OAuth-MCP)入門

Avatar for overflow ,Inc overflow ,Inc
March 21, 2026
Technology
0
11

 スピンアウト講座06_認証系(API-OAuth-MCP)入門

「SaaS連携が怖い」という不安に技術的に答えます。APIは「窓口」であってDBに直接触れない、OAuthはパスワード非共有のトークン方式、ClaudeCodeは3重防護壁(OAuthスコープ・APIサーバー拒否・ユーザー承認)で守られている——ReadOnlyから始める段階的な安全設定を解説します。

OffersにはAI Talent(トップクラスAI人材)が多数登録しています。その方たちとチームを組み、AIコンサルティングサービスを開始しています。ご関心のある方はこちらからご登録ください。順次、弊社よりご連絡させていただきます。
https://share-na2.hsforms.com/13F_F95BrTLaqRMk1hYhxQg3rs27

Avatar for overflow ,Inc

overflow ,Inc

March 21, 2026
Tweet

More Decks by overflow ,Inc

See All by overflow ,Inc
Phase01_AI座学_基礎
Avatar for overflow ,Inc overflowinc
0
16
Phase02_AI座学_応用
Avatar for overflow ,Inc overflowinc
0
13
Phase03_ドキュメント管理
Avatar for overflow ,Inc overflowinc
0
12
Phase04_ターミナル基礎
Avatar for overflow ,Inc overflowinc
0
12
Phase05_ClaudeCode入門
Avatar for overflow ,Inc overflowinc
0
9
Phase06_ClaudeCode実践
Avatar for overflow ,Inc overflowinc
0
10
Phase07_実務適用
Avatar for overflow ,Inc overflowinc
0
9
Phase08_クイックウィン実装
Avatar for overflow ,Inc overflowinc
0
12
Phase09_自動化_仕組み化
Avatar for overflow ,Inc overflowinc
0
17

Other Decks in Technology

See All in Technology
Google系サービスで文字起こしから勝手にカレンダーを埋めるエージェントを作った話
Avatar for RisaTube risatube
0
190
俺の/私の最強アーキテクチャ決定戦開催 ― チームで新しいアーキテクチャに適合していくために / 20260322 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
180
内製AIチャットボットで学んだDatadog LLM Observability活用術
Avatar for k.masachika mkdev10
0
130
わからなくて良いなら、わからなきゃだめなの?
Avatar for kota oue kotaoue
1
370
脳内メモリ、思ったより揮発性だった
Avatar for koutorino koutorino
0
390
SLI/SLO 導入で 避けるべきこと3選
Avatar for Kota yagikota
0
120
AWS CDK「読めるけど書けない」を脱却するファーストステップ
Avatar for Makky12 smt7174
3
190
OpenClaw を Amazon Lightsail で動かす理由
Avatar for Uechi Shingo uechishingo
0
220
形式手法特論:SMT ソルバで解く認可ポリシの静的解析 #kernelvm / Kernel VM Study Tsukuba No3
Avatar for y_taka_23 ytaka23
1
610
It’s “Time” to use Temporal
Avatar for Saji sajikix
3
230
Laravelで学ぶOAuthとOpenID Connectの基礎と実装
Avatar for Koji Yoshida kyoshidaxx
0
110
楽しく学ぼう!ネットワーク入門
Avatar for Shota Shiratori shotashiratori
1
480

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
Avatar for Mine Cetinkaya-Rundel minecr
1
200
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
75
5.1k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
330
40k
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.5k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k

Transcript

  1. 認証について SaaS連携が怖い人へ スピンアウト講座 06 | Claude Code育成マニュアル ver. 2026.03

  2. はじめに CONFIDENTIAL © Offers All rights reserved. 1 SaaS連携に対する3大不安 勝手にメールを

    送られないか? カレンダーの予定を 消されないか? お客様のデータを 壊さないか? これらの声をよく聞きますが...

  3. はじめに CONFIDENTIAL © Offers All rights reserved. 2 結論 正しく設定すれば、

    これらの心配は 技術的に起こり得ません。 API・OAuth・MCPという3つの仕組みが、 あなたのデータを多層的に守っています。 5 層の安全構造で データを守る

  4. CONFIDENTIAL Part 1:APIとは何か ソフトウェア同士が会話するための「窓口」

  5. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 3 API

    = レストランのウェイター Claude Code あなたのAIアシスタント 「明日の予定を 見せてください」 API (窓口) リクエスト → ← レスポンス Google Calendar データベース(厨房) 「明日10:00に 会議があります」 データベースに直接触れない 必ずAPI(窓口)を通す 窓口が拒否すれば実行不可

  6. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 4 実はあなたも毎日APIを使っている

    01 天気予報アプリ 気象庁の「天気情報API」という 窓口に問い合わせて 結果を受け取っている 02 クレジットカード決済 決済会社のAPIを通じて 「請求OK?」と確認する だけ 03 Googleマップ埋め込み Google Maps APIに 「この住所の地図を表示して」 とリクエストした結果 API連携 = 決められた窓口を通じて、決められた情報だけをやり取りする仕組み

  7. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 5 「読み取り専用」ならデータは絶対に壊れない

    Read Only(読み取り専用) メニューを見るだけ 注文も厨房への立入も不可 Read + Write(読み書き) メニューを見て注文できる ただし厨房には入れない Full Access(全権限) 何でもできる (通常は不要) Read Onlyで書き込みリクエストを送っても → Googleサーバーが 403 Forbidden で強制拒否(回避不可能)

  8. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 6 APIキー

    = 制限付きの身分証明書 あなた専用 あなたのアカウントにしか 紐づいていない 権限限定 他の人のデータには アクセスできない 即時取消可能 万が一漏洩しても 即座に無効化できる APIキー = 「この人は〇〇の権限でアクセスしていい」という身分証明書 パスワードそのものではなく、制限された権限の「カードキー」です

  9. CONFIDENTIAL Part 2:OAuthの仕組み なぜパスワードを渡さなくて済むのか

  10. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 7 パスワード直渡し

    vs OAuth BEFORE(昔の方法) → → あなた パスワード アプリ • パスワードが第三者に渡る • 全権限でアクセスされてしまう • パスワード変更しないと取り消せない AFTER(OAuth 2.0) → あなた Google → 認証 トークン • パスワードはGoogleにしか届かない • 制限付きトークンだけを渡す • いつでも即座に取り消し可能

  11. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 8 あの画面、見たことありませんか?

    「Googleでログイン」ボタン Webサービスやアプリでこのボタンを押すと、 Googleのアカウント選択画面が表示されます。 この画面こそがOAuth認証の入り口です。 パスワード入力欄は accounts.google.com にある = Googleにしかパスワードは届かない Google アカウントの選択 [email protected] 別のアカウントを使用 続行すると、Google はあなたの名前、 メールアドレスを共有します。

  12. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 9 スコープ確認画面

    ── あなたが権限を選んでいる Google 権限確認画面 「◦◦◦」がアカウントへの アクセスをリクエストしています Google カレンダーの予定の表示 メールアドレスの確認 キャンセル 許可 ここに表示されている項目だけが許可されます iPhoneのアプリ権限設定 "マップ" に位置情報の 使用を許可しますか? Appの使用中は許可 1度だけ許可 許可しない 自分で権限を選べる = OAuth と同じ考え方

  13. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 10 OAuthの仕組み:ホテルのカードキー方式

    1 ▶ ログイン Googleの画面で 直接ログイン (パスワードは Googleだけに届く) 2 ▶ 権限確認 「カレンダー閲覧を 許可しますか?」 とGoogleが確認 3 ▶ 承認 あなたが「許可」 ボタンを押す 4 トークン発行 制限付き カードキーが Claude Codeに届く

  14. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 11 Googleカレンダーのスコープ(権限設定)

    スコープ 許可される操作 リスク 推奨 calendar.readonly 予定の閲覧のみ ほぼゼロ 初心者はここから calendar.events.readonly イベント情報の閲覧のみ ほぼゼロ calendar.events イベントの作成・編集 低 calendar 閲覧・編集・削除・共有すべて 中 まずは readonly で始める = 予定確認だけなら十分 慣れてから必要に応じてスコープを広げればOK 出典: Google Calendar API 公式ドキュメント

  15. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 12 トークンには有効期限がある

    30分〜1h アクセストークン 有効期限 自動で失効する 即時 取り消し 所要時間 管理画面から数秒 不要 パスワード 変更 PW未共有のため 万が一漏洩しても、短時間で自動失効 & 即座に手動取消可能

  16. CONFIDENTIAL Part 3:MCP & Claude Code AIとSaaSを安全につなぐ仕組み

  17. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 13 MCP = USBポートのような共通規格 MCPなし:バラバラの接続方法 • 独自方式A → Calendar • 独自方式B → Slack • 独自方式C → Salesforce MCPあり:統一された接続方式 • MCP → Calendar • MCP → Slack • MCP → Salesforce MCPの仕様に明記されたルール: "ツール実行前に、必ずユーザーの明示的な同意を得ること"

  18. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 14 実際の承認画面(1):Slack投稿の例 書き込み操作の前に 必ず確認画面が表示される どのツールを使うか(slack_post_message) どこに送るか(#general チャンネル) 何を送るか(メッセージ内容) "Yes" を押さなければ何も起きない Claude wants to use mcp tool: slack_post_message Channel: #general Text: 本日のKPIサマリーをお送りします。 Allow? > Yes No Always allow Don't allow

  19. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 15 実際の承認画面(2):カレンダー追加の例 書き込み → 必ず確認 mcp tool: gcal_create_event Summary: クライアントMTG Start: 2026-03-22 14:00 End: 2026-03-22 15:00 Allow? > Yes No Always Don't 読み取り → 確認なし(自動) あなた: 「来週の予定を教えて」 gcal_list_events (自動実行) Claude: 来週の予定: 月 10:00 チーム定例 火 14:00 1on1 水 11:00 クライアントMTG シンプルなルール:読み取り → 自動実行 / 書き込み → 必ず確認

  20. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 16 承認画面の4つの選択肢 選択肢 意味 推奨場面 Yes この1回だけ許可する 初心者におすすめ。毎回内容を確認できる No この操作をキャンセルする 意図しない操作だった場合 Always allow 今後このツールは確認なしで実行する そのツールに十分慣れた場合 Don't allow 今後このツールは常にブロックする 使わせたくないツールがある場合 初心者のうちは「Yes」(1回ずつ許可)を選ぶ → 何がどう実行されるかを学べる → 慣れたら「Always allow」に切替

  21. CONFIDENTIAL Part 4:安全の全体像 3重の防護壁と安全に始めるためのステップ

  22. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 17 3重の防護壁があなたのデータを守る

    第1の壁:OAuthスコープ 連携時に「読み取りだけ」と設定すれば、 書き込み操作はそもそもリクエストに含まれない 第2の壁:APIサーバーの強制拒否 万が一書き込みリクエストが送られても、 Google/Salesforceが 403 Forbidden で拒否(回避不可能) 第3の壁:Claude Code承認ダイアログ 変更を伴う操作は実行前に 「本当に実行しますか?」と確認が表示される

  23. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 18 よくある不安と、その技術的回答

    Q 勝手にメールを送られないか? Read Onlyスコープなら送信APIを呼んでもGoogleが拒否。送信スコープでもClaude Codeの承認で確認が出 る。 Q カレンダーの予定を消されないか? Read Onlyなら削除リクエストは 403 Forbidden で強制拒否。サーバー側の強制なので回避不可能。 Q 他の人のデータを壊さないか? APIトークンはあなたのアカウント専用。他ユーザーのデータへのアクセス権限は含まれていない。

  24. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 19 不安への回答(続き)

    Q 設定を間違えて全権限を与えたら? いつでも取り消せます。各サービスの管理画面から即座にトークンを無効化でき、パスワード変更は不要で す。 Q APIキーが漏洩したらどうなる? 管理画面から即時無効化(数秒)。アクセストークンは30分〜1時間で自動失効。パスワードは漏洩していま せん。 各サービスの権限取り消し方法 サービス 取り消し手順 Google [Googleアカウント] → [セキュリティ] → [サードパーティアクセス] Salesforce [設定] → [接続アプリケーション] → [アクセスを取り消し] Slack [設定] → [App管理] → [アプリを削除]

  25. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 20 安全に始めるための4ステップ

    1 ▶ Read Only から始める 予定確認・メール閲覧 だけで十分 2 ▶ defaultモード で使う 変更操作は 毎回確認が出る 3 ▶ 慣れたら スコープ拡張 2週間後にメール下書き 1ヶ月後にカレンダー追加 4 月1回 権限を確認 管理画面で 付与済み権限を棚卸し 最初のStep 1を踏み出すだけで、APIの恐怖感はほぼなくなります

  26. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 21 安全の5層構造

    ── まとめ 1 OAuthスコープ 権限範囲を制限 2 APIサーバーの拒否 スコープ外の操作を強制ブロック 3 MCP仕様の承認要件 ツール実行前にユーザー同意必須 4 Claude Code承認 変更操作前に確認ダイアログ 5 トークン管理 いつでも即時取り消し可能

  27.     ── AI時代のエンジニア転職プラットフォーム AIにできないことが1つだけあります。それは「何がしたいか」という夢を持つこと。 人間ならではの好奇心や違和感こそが、未来で最も価値ある「問い」になる。 Offersは、個人の「問い」と企業の「問い」が響き合い、新しい価値を生み出す場所です。 求職者の方へ Offersは「今すぐ転職する人」だけのサービスではありません。AI 時代のキャリア相談、先端AI企業への転職、職務経歴の棚卸しやAI による強み分析も可能です。 offers.jp

    ─ まずは無料登録 Offers職務経歴 AIx人間ハイブリッドの職務経歴作成サービス 企業の方へ OffersはAI RPOサービスです。35,000人以上の登録ユーザーからAI が最適な候補者を発見し、心理フェーズに合わせたスカウトを自動 配信。採用戦略の設計は専任CSチームが伴走し、「再現性ある採 用」を実現します。 サービスを見てみる PR

  28. FIN