Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スピンアウト講座06_認証系(API-OAuth-MCP)入門

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for overflow ,Inc overflow ,Inc
March 21, 2026
Technology
0
11

 スピンアウト講座06_認証系(API-OAuth-MCP)入門

「SaaS連携が怖い」という不安に技術的に答えます。APIは「窓口」であってDBに直接触れない、OAuthはパスワード非共有のトークン方式、ClaudeCodeは3重防護壁(OAuthスコープ・APIサーバー拒否・ユーザー承認)で守られている——ReadOnlyから始める段階的な安全設定を解説します。

OffersにはAI Talent(トップクラスAI人材)が多数登録しています。その方たちとチームを組み、AIコンサルティングサービスを開始しています。ご関心のある方はこちらからご登録ください。順次、弊社よりご連絡させていただきます。
https://share-na2.hsforms.com/13F_F95BrTLaqRMk1hYhxQg3rs27

Avatar for overflow ,Inc

overflow ,Inc

March 21, 2026
Tweet

More Decks by overflow ,Inc

See All by overflow ,Inc
Phase01_AI座学_基礎
Avatar for overflow ,Inc overflowinc
0
16
Phase02_AI座学_応用
Avatar for overflow ,Inc overflowinc
0
13
Phase03_ドキュメント管理
Avatar for overflow ,Inc overflowinc
0
12
Phase04_ターミナル基礎
Avatar for overflow ,Inc overflowinc
0
12
Phase05_ClaudeCode入門
Avatar for overflow ,Inc overflowinc
0
9
Phase06_ClaudeCode実践
Avatar for overflow ,Inc overflowinc
0
10
Phase07_実務適用
Avatar for overflow ,Inc overflowinc
0
9
Phase08_クイックウィン実装
Avatar for overflow ,Inc overflowinc
0
12
Phase09_自動化_仕組み化
Avatar for overflow ,Inc overflowinc
0
17

Other Decks in Technology

See All in Technology
A Casual Introduction to RISC-V
Avatar for Masanori Ogino omasanori
0
420
バクラク最古参プロダクトで重ねた技術投資を振り返る
Avatar for ypresto ypresto
0
180
Copilot 宇宙へ 〜生成AIで「専門データの壁」を壊す方法〜
Avatar for なかしょ nakasho
0
100
Tebiki Engineering Team Deck
Avatar for Tebiki, Inc. tebiki
0
27k
生成AIで速度と品質を両立する、QAエンジニア・開発者連携のAI協調型テストプロセス
Avatar for butatamasoba / Shota Kusaba shota_kusaba
0
230
内製AIチャットボットで学んだDatadog LLM Observability活用術
Avatar for k.masachika mkdev10
0
140
品質を経営にどう語るか #jassttokyo / Communicating the Strategic Value of Quality to Executive Leadership
Avatar for kyonmm kyonmm
PRO
2
710
中央集権型を脱却した話 分散型をやめて、連邦型にたどり着くまで
Avatar for SansanTech sansantech
PRO
1
110
俺の/私の最強アーキテクチャ決定戦開催 ― チームで新しいアーキテクチャに適合していくために / 20260322 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
220
2026-03-11 JAWS-UG 茨城 #12 改めてALBを便利に使う
Avatar for SUZUKI Masashi masasuzu
2
400
スケールアップ企業でQA組織が機能し続けるための組織設計と仕組み〜ボトムアップとトップダウンを両輪としたアプローチ〜

Avatar for tarappo tarappo
1
210
ソフトバンク流!プラットフォームエンジニアリング実現へのアプローチ
Avatar for SoftBank Tech Night sbtechnight
1
220

Featured

See All Featured
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
230
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
110
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
HDC tutorial
Avatar for Michiel Stock michielstock
1
560
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.4k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.1k
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k

Transcript

  1. 認証について SaaS連携が怖い人へ スピンアウト講座 06 | Claude Code育成マニュアル ver. 2026.03

  2. はじめに CONFIDENTIAL © Offers All rights reserved. 1 SaaS連携に対する3大不安 勝手にメールを

    送られないか? カレンダーの予定を 消されないか? お客様のデータを 壊さないか? これらの声をよく聞きますが...

  3. はじめに CONFIDENTIAL © Offers All rights reserved. 2 結論 正しく設定すれば、

    これらの心配は 技術的に起こり得ません。 API・OAuth・MCPという3つの仕組みが、 あなたのデータを多層的に守っています。 5 層の安全構造で データを守る

  4. CONFIDENTIAL Part 1:APIとは何か ソフトウェア同士が会話するための「窓口」

  5. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 3 API

    = レストランのウェイター Claude Code あなたのAIアシスタント 「明日の予定を 見せてください」 API (窓口) リクエスト → ← レスポンス Google Calendar データベース(厨房) 「明日10:00に 会議があります」 データベースに直接触れない 必ずAPI(窓口)を通す 窓口が拒否すれば実行不可

  6. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 4 実はあなたも毎日APIを使っている

    01 天気予報アプリ 気象庁の「天気情報API」という 窓口に問い合わせて 結果を受け取っている 02 クレジットカード決済 決済会社のAPIを通じて 「請求OK?」と確認する だけ 03 Googleマップ埋め込み Google Maps APIに 「この住所の地図を表示して」 とリクエストした結果 API連携 = 決められた窓口を通じて、決められた情報だけをやり取りする仕組み

  7. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 5 「読み取り専用」ならデータは絶対に壊れない

    Read Only(読み取り専用) メニューを見るだけ 注文も厨房への立入も不可 Read + Write(読み書き) メニューを見て注文できる ただし厨房には入れない Full Access(全権限) 何でもできる (通常は不要) Read Onlyで書き込みリクエストを送っても → Googleサーバーが 403 Forbidden で強制拒否(回避不可能)

  8. Part 1:APIとは何か CONFIDENTIAL © Offers All rights reserved. 6 APIキー

    = 制限付きの身分証明書 あなた専用 あなたのアカウントにしか 紐づいていない 権限限定 他の人のデータには アクセスできない 即時取消可能 万が一漏洩しても 即座に無効化できる APIキー = 「この人は〇〇の権限でアクセスしていい」という身分証明書 パスワードそのものではなく、制限された権限の「カードキー」です

  9. CONFIDENTIAL Part 2:OAuthの仕組み なぜパスワードを渡さなくて済むのか

  10. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 7 パスワード直渡し

    vs OAuth BEFORE(昔の方法) → → あなた パスワード アプリ • パスワードが第三者に渡る • 全権限でアクセスされてしまう • パスワード変更しないと取り消せない AFTER(OAuth 2.0) → あなた Google → 認証 トークン • パスワードはGoogleにしか届かない • 制限付きトークンだけを渡す • いつでも即座に取り消し可能

  11. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 8 あの画面、見たことありませんか?

    「Googleでログイン」ボタン Webサービスやアプリでこのボタンを押すと、 Googleのアカウント選択画面が表示されます。 この画面こそがOAuth認証の入り口です。 パスワード入力欄は accounts.google.com にある = Googleにしかパスワードは届かない Google アカウントの選択 [email protected] 別のアカウントを使用 続行すると、Google はあなたの名前、 メールアドレスを共有します。

  12. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 9 スコープ確認画面

    ── あなたが権限を選んでいる Google 権限確認画面 「◦◦◦」がアカウントへの アクセスをリクエストしています Google カレンダーの予定の表示 メールアドレスの確認 キャンセル 許可 ここに表示されている項目だけが許可されます iPhoneのアプリ権限設定 "マップ" に位置情報の 使用を許可しますか? Appの使用中は許可 1度だけ許可 許可しない 自分で権限を選べる = OAuth と同じ考え方

  13. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 10 OAuthの仕組み:ホテルのカードキー方式

    1 ▶ ログイン Googleの画面で 直接ログイン (パスワードは Googleだけに届く) 2 ▶ 権限確認 「カレンダー閲覧を 許可しますか?」 とGoogleが確認 3 ▶ 承認 あなたが「許可」 ボタンを押す 4 トークン発行 制限付き カードキーが Claude Codeに届く

  14. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 11 Googleカレンダーのスコープ(権限設定)

    スコープ 許可される操作 リスク 推奨 calendar.readonly 予定の閲覧のみ ほぼゼロ 初心者はここから calendar.events.readonly イベント情報の閲覧のみ ほぼゼロ calendar.events イベントの作成・編集 低 calendar 閲覧・編集・削除・共有すべて 中 まずは readonly で始める = 予定確認だけなら十分 慣れてから必要に応じてスコープを広げればOK 出典: Google Calendar API 公式ドキュメント

  15. Part 2:OAuthの仕組み CONFIDENTIAL © Offers All rights reserved. 12 トークンには有効期限がある

    30分〜1h アクセストークン 有効期限 自動で失効する 即時 取り消し 所要時間 管理画面から数秒 不要 パスワード 変更 PW未共有のため 万が一漏洩しても、短時間で自動失効 & 即座に手動取消可能

  16. CONFIDENTIAL Part 3:MCP & Claude Code AIとSaaSを安全につなぐ仕組み

  17. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 13 MCP = USBポートのような共通規格 MCPなし:バラバラの接続方法 • 独自方式A → Calendar • 独自方式B → Slack • 独自方式C → Salesforce MCPあり:統一された接続方式 • MCP → Calendar • MCP → Slack • MCP → Salesforce MCPの仕様に明記されたルール: "ツール実行前に、必ずユーザーの明示的な同意を得ること"

  18. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 14 実際の承認画面(1):Slack投稿の例 書き込み操作の前に 必ず確認画面が表示される どのツールを使うか(slack_post_message) どこに送るか(#general チャンネル) 何を送るか(メッセージ内容) "Yes" を押さなければ何も起きない Claude wants to use mcp tool: slack_post_message Channel: #general Text: 本日のKPIサマリーをお送りします。 Allow? > Yes No Always allow Don't allow

  19. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 15 実際の承認画面(2):カレンダー追加の例 書き込み → 必ず確認 mcp tool: gcal_create_event Summary: クライアントMTG Start: 2026-03-22 14:00 End: 2026-03-22 15:00 Allow? > Yes No Always Don't 読み取り → 確認なし(自動) あなた: 「来週の予定を教えて」 gcal_list_events (自動実行) Claude: 来週の予定: 月 10:00 チーム定例 火 14:00 1on1 水 11:00 クライアントMTG シンプルなルール:読み取り → 自動実行 / 書き込み → 必ず確認

  20. Part 3:MCP & Claude Code CONFIDENTIAL © Offers All rights

    reserved. 16 承認画面の4つの選択肢 選択肢 意味 推奨場面 Yes この1回だけ許可する 初心者におすすめ。毎回内容を確認できる No この操作をキャンセルする 意図しない操作だった場合 Always allow 今後このツールは確認なしで実行する そのツールに十分慣れた場合 Don't allow 今後このツールは常にブロックする 使わせたくないツールがある場合 初心者のうちは「Yes」(1回ずつ許可)を選ぶ → 何がどう実行されるかを学べる → 慣れたら「Always allow」に切替

  21. CONFIDENTIAL Part 4:安全の全体像 3重の防護壁と安全に始めるためのステップ

  22. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 17 3重の防護壁があなたのデータを守る

    第1の壁:OAuthスコープ 連携時に「読み取りだけ」と設定すれば、 書き込み操作はそもそもリクエストに含まれない 第2の壁:APIサーバーの強制拒否 万が一書き込みリクエストが送られても、 Google/Salesforceが 403 Forbidden で拒否(回避不可能) 第3の壁:Claude Code承認ダイアログ 変更を伴う操作は実行前に 「本当に実行しますか?」と確認が表示される

  23. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 18 よくある不安と、その技術的回答

    Q 勝手にメールを送られないか? Read Onlyスコープなら送信APIを呼んでもGoogleが拒否。送信スコープでもClaude Codeの承認で確認が出 る。 Q カレンダーの予定を消されないか? Read Onlyなら削除リクエストは 403 Forbidden で強制拒否。サーバー側の強制なので回避不可能。 Q 他の人のデータを壊さないか? APIトークンはあなたのアカウント専用。他ユーザーのデータへのアクセス権限は含まれていない。

  24. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 19 不安への回答(続き)

    Q 設定を間違えて全権限を与えたら? いつでも取り消せます。各サービスの管理画面から即座にトークンを無効化でき、パスワード変更は不要で す。 Q APIキーが漏洩したらどうなる? 管理画面から即時無効化(数秒)。アクセストークンは30分〜1時間で自動失効。パスワードは漏洩していま せん。 各サービスの権限取り消し方法 サービス 取り消し手順 Google [Googleアカウント] → [セキュリティ] → [サードパーティアクセス] Salesforce [設定] → [接続アプリケーション] → [アクセスを取り消し] Slack [設定] → [App管理] → [アプリを削除]

  25. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 20 安全に始めるための4ステップ

    1 ▶ Read Only から始める 予定確認・メール閲覧 だけで十分 2 ▶ defaultモード で使う 変更操作は 毎回確認が出る 3 ▶ 慣れたら スコープ拡張 2週間後にメール下書き 1ヶ月後にカレンダー追加 4 月1回 権限を確認 管理画面で 付与済み権限を棚卸し 最初のStep 1を踏み出すだけで、APIの恐怖感はほぼなくなります

  26. Part 4:安全の全体像 CONFIDENTIAL © Offers All rights reserved. 21 安全の5層構造

    ── まとめ 1 OAuthスコープ 権限範囲を制限 2 APIサーバーの拒否 スコープ外の操作を強制ブロック 3 MCP仕様の承認要件 ツール実行前にユーザー同意必須 4 Claude Code承認 変更操作前に確認ダイアログ 5 トークン管理 いつでも即時取り消し可能

  27.     ── AI時代のエンジニア転職プラットフォーム AIにできないことが1つだけあります。それは「何がしたいか」という夢を持つこと。 人間ならではの好奇心や違和感こそが、未来で最も価値ある「問い」になる。 Offersは、個人の「問い」と企業の「問い」が響き合い、新しい価値を生み出す場所です。 求職者の方へ Offersは「今すぐ転職する人」だけのサービスではありません。AI 時代のキャリア相談、先端AI企業への転職、職務経歴の棚卸しやAI による強み分析も可能です。 offers.jp

    ─ まずは無料登録 Offers職務経歴 AIx人間ハイブリッドの職務経歴作成サービス 企業の方へ OffersはAI RPOサービスです。35,000人以上の登録ユーザーからAI が最適な候補者を発見し、心理フェーズに合わせたスカウトを自動 配信。採用戦略の設計は専任CSチームが伴走し、「再現性ある採 用」を実現します。 サービスを見てみる PR

  28. FIN