Zendeskは、サードパーティのソフトウェア開発者の皆様がZendesk上でアプリや連携を構築する方法についての強化策を発表しました。これは、長年にわたりお客様に堅牢で安全なプラットフォームを提供してきた当社の取り組みと一貫するものです。本記事では、これらの更新を行う背景、変更点、そしてZendesk MarketplaceにおいてZendeskのお客様および開発者の皆様にどのような点が変わるのかをご説明します。
AIシステムが急速に普及し高度化する中で、APIを通じて流通するデータ量は、これまでにないスピードで増えています。多くの企業がAIの構築、導入を進める一方で、新たなリスクの種類を理解し、それに備えることはますます複雑になっています。自律型システム同士が直接やり取りし、大量のデータを移動、変換する未来においては、APIや連携に対する適切なガバナンスが、データを安全に守るうえで不可欠となります。
こうした状況を受け、お客様をさらに保護するため、Zendeskはサードパーティ開発者に対し、アプリケーションごとに固有の認可クレデンシャルの使用、APIコールにおける衛生管理と透明性の向上、強化されたZendeskのセキュリティレビューの完了、そしてお客様データを保護する取り扱い原則への準拠を求めることとしました。
自社利用を目的として社内アプリケーションを構築しているお客様には影響はありませんが、サードパーティの開発者の皆様は新しい基準を満たしていただく必要があります。
どのようなリスクがあるのか
JPモルガンのCISOであるPatrick Opet氏が先日公開書簡で解説しているとおり、私たちは重要な転換点に立っており、クラウドソフトウェアのサプライチェーンを守るためにはセキュリティを最優先する必要があります。あらゆる規模の企業がAIソフトウェアを構築しており、データそのものの価値が高まるにつれて、新しいタイプの脅威が生まれています。
- 調査対象となった組織の41%が、データ漏えい、学習データの盗難、AIモデルの不正操作など、少なくとも1件のAI関連のプライバシーまたはセキュリティインシデントを報告。
- 過去1年間で、87%の企業が、巧妙に標的化されたフィッシング、音声のなりすまし、生成AIツールを用いた悪意あるコード生成など、AIを活用した攻撃を経験。
- 2025年に分析された侵害事例のうち、基本的なWebアプリケーションへの攻撃は9%から12%に増加。その88%は盗まれた認証情報が原因。
APIに注目すべき理由
ZendeskのオープンなAPIエコシステムは、強力な推進力です。お客様やサードパーティの開発者の皆様に、ニーズに応じた連携の構築や製品のカスタマイズという高い柔軟性を提供しています。このオープン性がイノベーションを促進し、業界を問わずZendeskの体験価値を高めています。
一方で、適切に実装されていない場合、APIはリスクにもなり得ます。強固なセキュリティ制御がなければ、APIは機密データや内部設定への入口となり、不正アクセスの脅威を高めます。APIはユーザーインターフェースよりも高速かつ自動化しやすいため、短時間でより多くのデータが露出する可能性があります。さらに、AIを活用したコーディングの普及により、これまで以上に多くの人がこの手法でアクセスを試みるようになっています。
Zendeskでは、APIの保護を最優先事項としています。ペネトレーションテスト、高度なAPIセキュリティツール、責任ある情報開示プログラム、継続的なトラフィック監視など、厳格なセキュリティ対策をすでに実施しています。また、進化するコンプライアンス要件に対応するため、グローバルな認証の取得、維持や製品レビュー、継続的な教育にも投資しています。
さらに、Zendeskのアプリエコシステムでは、Marketplaceに掲載されるサードパーティアプリが信頼できるものであることを確認するためのレビューが行われています。これらの連携は、Zendeskのアクセス制御、認証、アイデンティティ基盤を活用しており、誰が、いつ、どこから、どの目的でデータにアクセスしたのかを把握できるログの対象にもなっています。これらはいずれも、安全なAPIを管理するうえで不可欠な要素です。
さらなる取り組み
当社は、サードパーティアプリや連携がAPI上でどのように構築されるべきかを定めたポリシーを更新し、最新のセキュリティベストプラクティスに沿った、一貫性のある構造化された開発パターンを促進しています。これらの変更は、開発者の皆様が期待する柔軟性を損なうことなく、データセキュリティとプライバシーを最優先に考慮したものです。
最新のDeveloper Terms(開発者規約)およびDeveloper Documentation(開発者向けドキュメント)に詳細が記載されていますが、主なポイントは以下のとおりです。これらの変更は、社内利用を目的としたアプリケーションを開発するお客様には適用されず、複数のZendeskのお客様に提供されるアプリや連携を開発する事業者(以下「アプリ開発者」)が対象となります。
- サードパーティ製アプリにおけるグローバルOAuthトークンの使用: アプリ開発者は、公式の認証トークン(「グローバルOAuth」)を使用することが義務付けられています。アプリの認証のために、お客様のログイン資格情報(パスワード等)を使用することは認められなくなりました。
- APIヘッダーの付与: サードパーティ製のアプリ開発者が行うすべてのAPIコールには、その送信元を識別するためのヘッダーを含める必要があります。これにより透明性と観測性が向上し、異常なアクティビティや悪意のある攻撃からの保護に役立ちます。
- アプリの審査・承認要件:公式マーケットプレイスへの掲載有無にかかわらず、Zendeskのお客様に配布されるすべてのアプリは、事前の審査と承認を受ける必要があります。これにより、サードパーティ製アプリがセキュリティガイドラインを遵守していることが保証され、お客様はより安心してアプリをご利用いただけます。
- データの利用および保存に関する新ガイドライン: アプリ開発者には、顧客データの取り扱いに関するルールへの準拠が求められます。これにより、データの誤用や、権限のない第三者への漏えいを確実に防止します。
また、すべてのお客様に向けて、新しいAPIセキュリティツールの提供も進めています。すべてのZendeskアカウントに、新しいトークン管理ダッシュボードが追加されます。アプリ開発者の皆様とお客様は、OAuthトークンやAPIトークンを簡単に管理できるようになり、有効期限やスコープ付き権限といった高度な制御によって、アクセスを正確に制限できます。これにより、どのトークンが存在し、誰が作成し、いつ使用されているのかをより明確に把握できるようになります。
Zendeskのお客様への影響
今回の更新による主なメリットは、サードパーティアプリケーションとの連携におけるセキュリティの強化であり、それ以外のお客様への直接的な影響は最小限にとどまると見込んでいます。
ただし、APIトークンを使用してアカウントに認証しているサードパーティアプリを利用している場合、アプリ開発者が新しい認証方式(グローバルOAuth)を提供した際に、その承認が必要になります。問題が発生した場合は、アプリの開発者が対応できるはずです。
終わりに
APIを取り巻く環境は進化し続けています。そして、Zendeskも同様です。新たな技術や脅威が登場する中で、透明性、コントロール性、セキュアバイデザインの原則への投資を今後も継続していきます。
データは、お客様にとって最も価値のある資産のひとつです。Zendeskはこの責任を重く受け止め、常にエンドユーザーを念頭に置いて取り組んでいます。当社システム内でのデータ利用について透明性を確保しながら、データを守ることに全力を尽くしています。特に、新しいAPIセキュリティダッシュボードなどのツールを通じて、コントロール性とセキュリティは今後さらに強化されていきます。
これらの変更は、自社アカウント上で自社データを用いて行う社内開発には適用されません。ただし、前述のとおり、今後数か月のうちに、開発者の皆様による新しい、さらに安全性の高い認証方式を承認するための簡単な対応が必要になる場合があります。Zendeskを拡張できる柔軟性は、引き続き本製品の最も重要な特長のひとつです。
すべての公開連携(複数のZendesk顧客に提供されるもの)は、新しい基準に適合していることを確認するため、Marketplaceの審査を受ける必要があります。
APIセキュリティの高度化とは別に、ZendeskはAIに対する信頼性の強化にも引き続き投資しています。生成AIの回答とスクリプト化されたフローを組み合わせ、ハルシネーションの懸念を解消する高度なAIエージェントの提供から、AI開発の監督・ガバナンスのあり方を切り拓く取り組み、責任あるデータ活用の実践に至るまで、AIイノベーションの価値を安全かつ責任ある形で届けることに強くコミットしています。
AIが日々データとの関わり方を変えていく時代において、セキュリティはビジネスの成否を左右する中核要素となりつつあります。最新のAPIセキュリティプラクティスと透明性を通じて、Zendeskは信頼を損なうことなくイノベーションを推進できる環境を提供していきます。
