Webhook

Webhook（ウェブフック）とは

Webhookは、Web開発において、カスタムコールバックを用いてウェブページやウェブアプリケーションの動作を拡張・変更するための仕組みです。これは、あるアプリケーションで発生したイベントを他のアプリケーションに通知し、それに応じて何らかの処理を実行させることを可能にします。Webhookは、ユーザーが定義したHTTPコールバックであり、イベント駆動型アーキテクチャを構築する上で重要な役割を果たします。

Webhookの仕組み

一般的に、Webhookは特定のアクションやイベント（例：コードのリポジトリへのプッシュ、ブログへのコメント投稿など）が発生した際にトリガーされます。イベントが発生すると、ソースとなるウェブサイトやアプリケーションは、事前にWebhookの設定時に指定されたURLに対してHTTPリクエストを送信します。このリクエストには、イベントに関する情報が含まれています。受け取った側では、この情報に基づいて特定の処理を実行します。

Webhookは、HTTPプロトコルを使用するため、既存のWebサービスに容易に統合できます。これにより、新しいインフラストラクチャを追加することなく、アプリケーション間の連携を柔軟に実現できます。

Webhookの一般的な用途

Webhookは、さまざまな用途で利用されています。以下に代表的な例を挙げます。

継続的インテグレーション（CI）システムでのビルドのトリガー：コードがリポジトリにプッシュされると、CIシステムに通知し、自動的にビルドを開始します。
バグトラッキングシステムへの通知：エラーやバグが発生した場合、バグトラッキングシステムに自動的に通知を送信します。
チャットツールへの通知：特定のイベントが発生した場合、SlackやDiscordなどのチャットツールに通知を送信します。
ソーシャルメディアへの投稿：ブログを更新した際に、自動的にTwitterやFacebookなどのソーシャルメディアに投稿します。

Webhook通知の認証

Webhookは、異なるシステム間で情報をやり取りするため、セキュリティ対策が不可欠です。特に、サードパーティのサーバーにWebhookを送信する場合、スプーフィング攻撃を避けるために、受信したPOSTリクエストを認証する必要があります。以下に、一般的な認証方法を説明します。

1. IPアドレスによる制限：受信エンドポイントで、リクエストを許可する既知のソースIPアドレスのリストを保持します。これにより、許可されたサーバーからのリクエストのみを受け付けることができます。
2. HTTP Basic認証：HTTPのBasic認証を使用して、クライアントを認証します。ユーザー名とパスワードをリクエストに含めることで認証を行います。
3. シークレットまたは署名：Webhookに、イベントの種類に関する情報や、Webhookを検証するためのシークレットまたは署名を含めます。これにより、リクエストが信頼できるソースから送信されたものかどうかを検証できます。
4. HMAC署名：HMAC署名をHTTPヘッダーに含めます。GitHubやStripeなどがこの方法を採用しており、リクエストの整合性を検証するために使用されます。
5. SHA-1署名：SHA-1を使用してリクエストに署名します。Facebookがこの方法を使用しています。
6. Mutual TLS認証：接続が確立されたときにMutual TLS認証を使用します。エンドポイント（サーバー）はクライアントの証明書を検証できます。これにより、より高いセキュリティレベルを確保できます。

Webhookのメリット

リアルタイム性：イベント発生時に即座に通知が送信されるため、リアルタイムな情報連携が可能です。
柔軟性：HTTPを使用するため、既存のWebサービスとの統合が容易で、様々なシステムとの連携が可能です。
効率性：ポーリングなどの他の方法と比較して、Webhookは必要な時にのみ通信を行うため、効率的です。
拡張性：新しいサービスやアプリケーションとの連携を容易に拡張できます。