Zoho プラットフォームの重要な更新 2025 年 12 月: 無視できないセキュリティと API の変更

プラットフォームの即時アップデート (12 月 10 ～ 21 日)

Zoho は、12 月 10 日から 21 日までの期間に、ファイルの同期方法、サポート チケットへの対応方法、サードパーティ システムとの統合方法に影響を与えるいくつかのアップデートを公開しました。これらのアップデートの中には機能拡張が含まれるものもあれば、即時対応が必要な重要なセキュリティ ポリシーの変更が含まれるものもあります。

WorkDrive TrueSync: Linux デスクトップのサポート

Zoho WorkDrive TrueSync は Linux デスクトップ環境を正式にサポートするようになり、Windows、macOS、Linux プラットフォーム間で同期エージェントのワークフローに同等の基盤を提供します。

これがあなたにとって何を意味するか

• クロスプラットフォームの同等性: Ubuntu および Fedora デスクトップ ユーザーは、Windows および macOS ユーザーと同じように TrueSync を使用できるようになりました
• 同期エージェントのワークフロー: ファイル ウォッチャー、ファイル システム統合、エンドポイント同期操作が Linux 上でシームレスに動作するようになりました。
• 開発者に優しい: Linux ワークステーションを使用している開発チームは、回避策なしでファイルを直接同期できます
• サーバーの統合: Linux ベースのサーバーおよび自動化スクリプトとの統合が容易になりました。

技術的な詳細

Linux TrueSync クライアントは以下をサポートします。

• リアルタイムのファイル同期
• 選択的同期 (ローカルに同期するフォルダーを選択)
• チームフォルダーのコラボレーション
• バージョン履歴と競合解決
• 同期されたファイルへのオフラインアクセス

Zoho Desk: 一括返信と AI の強化

Zoho Desk 12 月のアップデートでは、サポート チームに 2 つの大きな改善をもたらしました。スニペットを含む一括返信テンプレートと、チケット内の Zia AI 支援の拡張です。

1. 一括返信テンプレート + スニペット

サポートエージェントは、同様の問題を抱えた複数のチケットを処理する場合に、大規模に均一に対応できるようになりました。これは特に次の場合に役立ちます。

• 停電時の通信: 影響を受けるすべての顧客に一貫した更新を送信する
• 製品のお知らせ: 新機能に関する問い合わせには標準化された回答で回答します
• ポリシーの変更: すべての顧客が正確な情報を確実に受け取れるようにする
• 季節的な反応: 休日営業時間、配送に関する最新情報、またはプロモーション情報

2. Zia AI を活用した支援

Zia は、次の 3 つの主要な機能を備えたチケット内での拡張を続けています。

• チケットの概要: 長いチケットスレッドの簡潔な要約を自動的に生成します
• ヘルプに返信: チケットのコンテキストと履歴データに基づいた推奨される応答
• 洞察: 感情分析、優先順位の推奨事項、および提案されたタグ

プラットフォームと自動化の必需品

いくつかのコア プラットフォーム機能は変更されていませんが、統合と自動化のために理解することが重要です。

CRM での非同期ジョブの一括書き込み

コア一括書き込み非同期ジョブ Zoho CRM 非同期であり、コールバック/ステータス駆動型のままです。このリリース期間に変更はありませんが、知っておくべきことは次のとおりです。

• 一括操作では引き続き完了通知にコールバックが使用されます
• ステータスチェックは、長時間実行されるジョブを監視するための推奨方法として引き続き推奨されます。
• 既存の一括書き込み実装に重大な変更はありません
• レート制限とクォータは変更されない

Webhook HMAC 署名

Webhook の HMAC 署名慣行は、安全な Webhook 検証のために引き続き適用されます。 重要: プロジェクトと署名には、Webhook レシーバーで常に検証する必要がある HMAC ヘッダーが含まれています。

// Example webhook validation (Node.js)
const crypto = require('crypto');

function validateWebhook(payload, signature, secret) {
    const hmac = crypto
        .createHmac('sha256', secret)
        .update(JSON.stringify(payload))
        .digest('hex');

    return hmac === signature;
}

// In your webhook handler
if (!validateWebhook(req.body, req.headers['x-zoho-signature'], SECRET)) {
    return res.status(401).send('Invalid signature');
}

レコードのアップサートのセマンティクス

この短いリリース サイクルでは、レコードの Upsert セマンティクスは変化していません。 12 月 10 日から 21 日までの期間には、最新の API 動作に関する発表はありません。既存の更新/挿入ロジックは引き続き期待どおりに動作します。

セキュリティ クリティカルなポリシーの変更 (アクションが必要)

ここは細心の注意を払う必要があります。 Zoho では、API 呼び出しの認証方法と OAuth 接続の管理方法に影響するセキュリティ関連の 2 つの重要な変更が加えられています。

OAuth コネクタの廃止: 12 月 31 日の期限

締め切り: 2025 年 12 月 31 日

デフォルトの Zoho OAuth コネクタは非推奨になります。 2025 年 12 月 31 日以降、新しい OAuth 接続はデフォルトで表示されなくなり、安全な API 認証のためにサービス固有の接続またはカスタム接続に置き換える必要があります。

何が変わっているのか

• デフォルトの OAuth コネクタが削除されました: 汎用の「Zoho OAuth」コネクタが接続のデフォルトから消えます
• 必要なサービス固有の接続: 各 Zoho サービス (CRM、ブック、デスクなど) に固有の接続を作成する必要があります。
• 推奨されるカスタム OAuth アプリ: 運用統合の場合は、Zoho API コンソールでカスタム OAuth クライアントを作成します。
• 祖父の既存のつながり: 12 月 31 日より前に作成された接続は (今のところ) 引き続き機能しますが、アップデートをお勧めします

なぜこれが重要なのか

デフォルトの OAuth コネクタは便利ですが、セキュリティ上のリスクがありました。

• 範囲が広すぎます (すべての Zoho サービスへのアクセス)
• 監査と監視が困難になる
• 最小特権の原則に違反しました
• きめ細かなアクセスを取り消すのが難しい

移行方法

1. 接続を監査する: デフォルトの OAuth コネクタを使用してすべての統合を一覧表示します
2. サービス固有の接続を作成します。 各 Zoho アプリで、[セットアップ] → [開発者スペース] → [接続] に移動します。
3. カスタム OAuth クライアントを作成します。 訪問 Zoho API コンソール 専用の OAuth クライアントを作成します
4. 統合を更新します。 デフォルトの OAuth 参照を新しいサービス固有の接続に置き換えます
5. 徹底的にテストする: 12 月 31 日までに、すべての統合が新しい接続で機能することを確認してください。

Deluge invokeURL のセキュリティ変更

ステータス: すでに有効です

Deluge の埋め込み認証情報の invokeURL の廃止により、 すでに発効しています。 invokeURL 呼び出しではインライン認証を使用できなくなりました。安全なサービス呼び出しには、インライン認証の代わりに接続を使用する必要があります。

何が変わったのか

以前は、次のように Deluge の invokeURL 呼び出しに資格情報を直接埋め込むことができました。

// DEPRECATED - DO NOT USE
response = invokeurl
[
    url: "https://api.example.com/endpoint"
    type: GET
    parameters: {"username": "user@example.com", "password": "secretpass"}
];

今、あなたは しなければならない 接続を使用します。

// Create a Connection in Zoho first, then reference it
response = invokeurl
[
    url: "https://api.example.com/endpoint"
    type: GET
    connection: "your_connection_name"
];

この変更が行われた理由

• セキュリティ: コードに埋め込まれた資格情報は、ログ、エラー メッセージ、またはコードのエクスポートを通じて公開される可能性があります
• 監査可能性: 接続により、どの統合がどのサービスにアクセスしたかについての明確な監査証跡が提供されます
• 回転: スクリプトを検索するのではなく、資格情報を 1 か所 (接続設定) で更新します。
• コンプライアンス: 資格情報管理のセキュリティ コンプライアンス要件を満たします

スクリプトを更新する方法

1. 影響を受けるスクリプトを特定します。 Deluge コードを検索して、認証情報が埋め込まれた invokeURL 呼び出しを検索します
2. 接続を作成します。 外部サービスごとに、Zoho に接続を作成します。
3. invokeURL 呼び出しを更新します。 資格情報パラメータを接続参照に置き換えます
4. 徹底的にテストする: すべての API 呼び出しが新しい接続ベースのアプローチで機能することを確認します。
5. 古い認証情報を削除します。 コードから埋め込み認証情報を削除する

アクションアイテムのチェックリスト

これらの 12 月のアップデートに対する優先順位の高いアクション プランは次のとおりです。

これらのアップデートに関するサポートが必要ですか?

これらのセキュリティの変更に圧倒されている場合、またはどこから始めればよいかわからない場合は、私たちがお手伝いいたします。 ZMCOR は、Zoho 統合、API 開発、およびプラットフォーム移行を専門としています。

私たちが提供するサービス

• OAuth の移行: デフォルトの OAuth 接続を監査してサービス固有の接続に移行する
• Deluge スクリプトの更新: 埋め込み認証情報を安全な接続に変換する
• 統合テスト: 何も壊れていないことを確認するための包括的なテスト
• ドキュメント: 新しい接続アーキテクチャを文書化する
• トレーニング: 新しいセキュリティのベスト プラクティスについてチームをトレーニングする

Zoho の更新を先取りする

Zoho は、新機能、セキュリティの改善、プラットフォームの変更が定期的に発表され、急速に進化し続けています。 2025 年 12 月の更新は、対応が必要な重大な変更が含まれるため、特に重要です。

重要なポイント:

• WorkDrive TrueSync が Linux をサポートするようになりました - 開発チームに最適
• Zoho Desk AI 機能によりサポート効率が向上し続けます
• OAuth コネクタの非推奨には 12 月 31 日までに移行する必要があります
• Deluge に埋め込まれた認証情報はすでに非推奨になっています - 接続を使用してください

最後の瞬間まで待ってはいけません。今すぐ移行計画を開始し、徹底的にテストして、統合が 2026 年までスムーズに実行され続けることを確認してください。