認証
OAuth認証フローとPressoのデータセキュリティについて理解します。
概要
Pressoは、すべてのデータソース接続と本体の認証に OAuth 2.0 を採用しています。パスワードやAPIキーを直接入力・保存する必要はなく、各サービスの公式認証フローを通じて安全にアクセス権を付与する仕組みです。
OAuth 2.0 の仕組み
OAuth 2.0は、サードパーティアプリケーションにユーザーのデータへの限定的なアクセスを許可するための業界標準プロトコルです。Pressoでは以下の流れで認証が行われます:
ユーザー → Pressoダッシュボード → データソースのOAuth画面 → アクセスを許可 → Pressoに戻る
認証フローの詳細
- 認証リクエスト — ダッシュボードで「データソースを追加」をクリックすると、該当サービス(例:Shopify、Google)のOAuth認証画面にリダイレクトされます
- ユーザーの承認 — データソースのログイン画面で認証情報を入力し、Pressoに対して必要なアクセス権限を許可します
- トークンの発行 — 承認が完了すると、データソースからPressoにアクセストークンが発行されます
- データアクセス — Pressoは発行されたトークンを使って、MCPリクエストに応じてデータを取得します
ポイント: Pressoがデータソースのパスワードを受け取ることはありません。アクセスはOAuthトークンを通じて行われるため、パスワード漏洩のリスクはありません。
データソースの接続
接続手順
- app.presso.now にログイン
- ダッシュボードの「データソースを追加」をクリック
- 接続するサービスを選択(Shopify、GA4、Google Adsなど)
- サービスのOAuth画面でログインし、アクセスを許可
- 自動的にPressoダッシュボードに戻り、接続が完了
サービスごとの認証
| データソース | 認証方式 | 必要な権限 |
|---|---|---|
| Shopify | OAuth 2.0 | ストアデータの読み取り |
| Google Analytics 4 | Google OAuth | アナリティクスデータの読み取り |
| Google Ads | Google OAuth | 広告データの読み取り |
| Meta Ads | Facebook OAuth | 広告アカウントの読み取り |
| Search Console | Google OAuth | 検索パフォーマンスデータの読み取り |
| Google Merchant Center | Google OAuth | 商品フィードの読み取り |
| Amazon Ads | Amazon OAuth | 広告データの読み取り |
| Google Tag Manager | Google OAuth | コンテナ設定の読み取り |
| Klaviyo | OAuth 2.0 | キャンペーン・フロー・プロファイルデータの読み取り |
| ShipStation | APIキー(v2) | 出荷・キャリア・料金・在庫データの読み取り |
| Judge.me | OAuth 2.0 | レビュー・評価・レビュアー・ショップデータの読み取り |
Googleの複数サービス(GA4、Google Ads、Search Console、GMC、GTM)をまとめて接続する場合、同一のGoogleアカウントであれば1度の認証で複数サービスを連携できます。
接続の管理
接続状態の確認
ダッシュボードの「データソース」セクションから、すべての接続状態を一覧で確認できます。各接続には以下のステータスが表示されます:
| ステータス | 意味 |
|---|---|
| 接続済み | 正常に接続され、データ取得が可能 |
| 再認証が必要 | トークンが失効しており、再接続が必要 |
| エラー | 接続に問題が発生。権限の取り消しやAPI変更が原因の可能性 |
データソースの切断
データソースの接続を解除する場合:
- ダッシュボードで該当するデータソースを選択
- 「切断」をクリック
- 確認ダイアログで「切断する」を選択
切断すると、Pressoに保存されていた該当サービスのアクセストークンは即座に削除されます。
データソースの再接続
切断したデータソースを再び接続する場合は、新規接続と同じ手順でOAuth認証を行ってください。以前のトークンは削除済みのため、新しいトークンが発行されます。
トークンとセッション管理
アクセストークンの自動リフレッシュ
OAuthアクセストークンには有効期限があります。Pressoはリフレッシュトークンを使って、アクセストークンを自動的に更新します。通常、ユーザーが手動で再認証を行う必要はありません。
再認証が必要になるケース
以下の場合、ダッシュボードで再接続を求められることがあります:
- データソース側でPressoのアクセス権限が取り消された場合
- リフレッシュトークンが失効した場合(長期間の未使用など)
- データソースのAPI仕様変更により、追加の権限が必要になった場合
再認証は、ダッシュボードから該当データソースの「再接続」をクリックするだけで完了します。
MCPセッション
Claude CodeなどのAIクライアントからPressoに接続する際も、OAuth認証が使用されます。初回接続時にブラウザで認証を行うと、セッションが確立されます。セッションは一定期間維持されるため、毎回認証する必要はありません。
セキュリティ
Pressoはセキュリティを最優先に設計されています。
データの暗号化
| 対象 | 方式 |
|---|---|
| 転送中のデータ | TLS 1.2以上による暗号化通信 |
| 保存中のデータ | AES-256によるトークンの暗号化保存 |
生データの非永続保存
Pressoはデータの仲介者として機能します。データソースから取得したストアの売上データ、顧客情報、広告パフォーマンスデータなどの生データは、リクエスト処理のためにリアルタイムで取得・返却されるのみで、Pressoのサーバーに永続的に保存されることはありません。
Pressoが保存するのは以下の情報のみです:
- アカウント情報(メールアドレス、プランなど)
- 暗号化されたOAuthトークン
- 接続設定のメタデータ
アーキテクチャ
AIクライアント → Presso(MCP) → データソースAPI
↑ ↓
レスポンス返却 ←── データ取得(リアルタイム)
PressoはリクエストごとにデータソースのAPIを呼び出し、取得結果をAIクライアントに返します。中間にデータを蓄積するデータベースは存在しません。
パーミッションとスコープ
読み取り専用アクセス
Pressoは、すべてのデータソースに対して読み取り専用のアクセスのみをリクエストします。Pressoがストアの設定を変更したり、広告キャンペーンを編集したり、注文を操作することはありません。
サービスごとのスコープ
各データソースへのOAuth認証時に、最小限の読み取りスコープのみをリクエストします。具体的にどのスコープが使用されるかは、各データソースのOAuth画面に表示されます。
アクセスの取り消し
Pressoのアクセス権限は、いつでも取り消すことができます。
Pressoダッシュボードから
ダッシュボードでデータソースを「切断」すると、Presso側のトークンが削除されます。
データソース側から
各サービスの設定画面からもPressoのアクセスを取り消せます:
| データソース | 取り消し場所 |
|---|---|
| Shopify | Shopify管理画面 > 設定 > アプリと販売チャネル |
| Google サービス | Google アカウント設定 > サードパーティアクセス |
| Meta / Facebook | Facebook設定 > ビジネスインテグレーション |
| Amazon | Amazon アカウント設定 > アプリとウェブサイト |
| Klaviyo | Klaviyo設定 > インテグレーション > Pressoを削除 |
| ShipStation | ShipStation設定 > Account > API Keys > キーの再生成または削除 |
| Judge.me | Judge.me設定 > Apps > Pressoを取り消し |
注意: データソース側でアクセスを取り消した場合、Pressoダッシュボードでは該当データソースの状態が「エラー」と表示されます。この場合、ダッシュボードからも切断操作を行うことで、Presso側のトークンもクリーンアップできます。
Pressoアカウントの削除
アカウントを完全に削除する場合は、ダッシュボードのアカウント設定から「アカウントを削除」を選択してください。すべてのデータソース接続とトークン、アカウント情報が即座に削除されます。