11-1 トークン管理のセキュリティ
Private App トークンと OAuth トークンを安全に保管・ローテーションする。
| 管理方法 | 用途 | 推奨度 |
|---|---|---|
| AWS Secrets Manager / GCP Secret Manager | 本番環境のトークン管理 | ⭐⭐⭐ 最推奨 |
| 環境変数(CI/CD シークレット) | GitHub Actions など CI/CD での利用 | ⭐⭐⭐ |
| Vault(HashiCorp) | エンタープライズ環境 | ⭐⭐⭐ |
| .env ファイル(.gitignore 済) | ローカル開発専用 | ⭐⭐(本番不可) |
| コードに直書き | 禁止 | ❌ 絶対禁止 |
Node.js — AWS Secrets Manager からトークンを取得
import { SecretsManagerClient, GetSecretValueCommand } from '@aws-sdk/client-secrets-manager';
const secretsClient = new SecretsManagerClient({ region: 'ap-northeast-1' });
async function getHubSpotToken() {
const command = new GetSecretValueCommand({
SecretId: 'prod/hubspot/access-token',
});
const response = await secretsClient.send(command);
return JSON.parse(response.SecretString).HUBSPOT_ACCESS_TOKEN;
}
// キャッシュを使って毎回シークレットマネージャーにリクエストしない
let tokenCache = { value: null, fetchedAt: 0 };
const TOKEN_TTL = 10 * 60 * 1000; // 10分キャッシュ
async function getCachedToken() {
if (tokenCache.value && Date.now() - tokenCache.fetchedAt < TOKEN_TTL) {
return tokenCache.value;
}
tokenCache.value = await getHubSpotToken();
tokenCache.fetchedAt = Date.now();
return tokenCache.value;
}
⚠ トークンのローテーション:
Private App トークンが漏洩した場合は、HubSpot 管理画面で即座に再生成してください。
古いトークンは自動的に無効化されます。
定期的なローテーション(90日ごと推奨)もセキュリティポリシーに組み込んでください。
11-2 包括的なエラーハンドリング
HubSpot API のエラーパターンを把握し、適切なリカバリー処理を実装する。
| HTTP ステータス | 原因 | 対処法 |
|---|---|---|
400 Bad Request | リクエストの形式・値が不正 | ログ記録・バリデーション強化 |
401 Unauthorized | トークンが無効・期限切れ | トークンを再取得してリトライ |
403 Forbidden | スコープ不足・権限なし | 必要なスコープを追加・通知 |
404 Not Found | 存在しない ID を指定 | 削除済み・誤 ID を確認 |
409 Conflict | 重複データ(一意制約違反) | 既存レコードを取得して更新 |
429 Too Many Requests | レート制限超過 | Retry-After を待ってリトライ |
500/502/503 | HubSpot 側の一時エラー | 指数バックオフでリトライ |
Node.js — 本番グレードのエラーハンドリングクラス
class HubSpotApiError extends Error {
constructor(status, message, body) {
super(message);
this.status = status;
this.body = body;
this.name = 'HubSpotApiError';
}
get isRetryable() {
return [429, 500, 502, 503, 504].includes(this.status);
}
get isTokenError() {
return this.status === 401;
}
}
async function hubspotRequest(fn, { maxRetries = 4, onRetry } = {}) {
for (let attempt = 0; attempt < maxRetries; attempt++) {
try {
return await fn();
} catch (err) {
const status = err.response?.status ?? 0;
const apiErr = new HubSpotApiError(status, err.message, err.response?.data);
if (!apiErr.isRetryable || attempt === maxRetries - 1) {
// 構造化ログ
console.error(JSON.stringify({
level: 'error',
service: 'hubspot',
status,
message: err.message,
attempt: attempt + 1,
ts: new Date().toISOString(),
}));
throw apiErr;
}
const retryAfter = err.response?.headers['retry-after'];
const delay = retryAfter
? parseInt(retryAfter) * 1000
: Math.min(Math.pow(2, attempt) * 1000, 32000); // 最大32秒
onRetry?.({ attempt, delay, status });
console.warn(`Retry ${attempt + 1}/${maxRetries} in ${delay}ms (status: ${status})`);
await new Promise(r => setTimeout(r, delay));
}
}
}
11-3 レート制限の戦略的な対処
大量データ処理・並列実行・夜間バッチを組み合わせてレート制限を回避する。
Node.js — 本番向け並列制御 + レート制限管理
import pLimit from 'p-limit';
import Bottleneck from 'bottleneck'; // npm install bottleneck
// Bottleneck で 10秒あたり80リクエストに制限(100の80%でバッファ確保)
const limiter = new Bottleneck({
reservoir: 80, // 初期トークン数
reservoirRefreshAmount: 80, // 補充量
reservoirRefreshInterval: 10000, // 10秒ごとに補充
maxConcurrent: 5, // 同時実行数
minTime: 100, // リクエスト間の最小間隔(ms)
});
// レート制限付き API 呼び出しラッパー
const rateLimitedCall = (fn) => limiter.schedule(fn);
// 使用例:1000件のコンタクトを並列で効率的に取得
const fetchWithRateLimit = async (ids) => {
const results = await Promise.all(
ids.map(id => rateLimitedCall(() =>
client.crm.contacts.basicApi.getById(id, ['email', 'firstname'])
))
);
return results;
};
📊 レート制限戦略の優先順位
① Batch API を使う(最優先):1リクエストで100件処理。単件 API より100倍効率的
② Search API でフィルター取得:全件取得より必要なデータだけに絞る
③ 同時実行数を制限:p-limit や Bottleneck で並列度を制御
④ 夜間・オフピーク実行:大量バッチは JST 深夜(UTC 昼間)に実行
⑤ キャッシュを活用:変更頻度の低いデータ(プロパティ一覧等)は Redis にキャッシュ
11-4 監視・アラート設計
本番環境の異常をいち早く検知し、ビジネス影響を最小化する監視体制を構築する。
📈 計測すべきメトリクス
API エラー率(目標: <0.1%)
429 発生頻度(レート制限の頻発は設計見直しのサイン)
レスポンスタイム p99(目標: <3秒)
Webhook 処理遅延(目標: <5秒)
同期ジョブの成功率(目標: >99.5%)
🚨 アラート閾値の目安
即時通知(PagerDuty):
エラー率 >5% が5分継続
401/403 エラーの発生(トークン漏洩の可能性)
Slack 通知:
429 が1時間に50回超
同期ジョブが30分以上未完了
Node.js — 構造化ログ + メトリクス記録
import { createLogger, transports, format } from 'winston';
import { Counter, Histogram } from 'prom-client'; // Prometheus
const logger = createLogger({
format: format.combine(format.timestamp(), format.json()),
transports: [new transports.Console()],
});
// Prometheus メトリクス定義
const apiCallCounter = new Counter({
name: 'hubspot_api_calls_total',
help: 'Total HubSpot API calls',
labelNames: ['method', 'endpoint', 'status'],
});
const apiDurationHistogram = new Histogram({
name: 'hubspot_api_duration_seconds',
help: 'HubSpot API call duration',
labelNames: ['endpoint'],
buckets: [0.1, 0.5, 1, 2, 5],
});
// メトリクス付き API ラッパー
async function trackedApiCall(endpoint, fn) {
const endTimer = apiDurationHistogram.startTimer({ endpoint });
try {
const result = await fn();
apiCallCounter.inc({ endpoint, status: 'success' });
logger.info({ msg: 'api_call_success', endpoint });
return result;
} catch (err) {
const status = err.status ?? 'unknown';
apiCallCounter.inc({ endpoint, status: String(status) });
logger.error({ msg: 'api_call_error', endpoint, status, error: err.message });
throw err;
} finally {
endTimer();
}
}
Node.js — ヘルスチェックエンドポイント
import express from 'express';
const app = express();
// /health — ロードバランサーの死活監視用
app.get('/health', (req, res) => {
res.status(200).json({ status: 'ok', timestamp: new Date().toISOString() });
});
// /readiness — HubSpot 接続を含む詳細確認
app.get('/readiness', async (req, res) => {
try {
// HubSpot への疎通確認(軽量エンドポイントを使う)
await client.crm.properties.coreApi.getAll('contacts');
res.status(200).json({ status: 'ready', hubspot: 'connected' });
} catch (err) {
res.status(503).json({ status: 'not_ready', hubspot: 'disconnected', error: err.message });
}
});
// /metrics — Prometheus スクレイプ用
app.get('/metrics', async (req, res) => {
res.set('Content-Type', 'text/plain');
res.send(await register.metrics());
});
11-5 本番デプロイのチェックリスト
本番環境への Go-Live 前に確認すべき事項を整理する。
| カテゴリ | 確認事項 | 完了 |
|---|---|---|
| セキュリティ | API キーが環境変数 / シークレットマネージャーで管理されている | □ |
| Webhook 署名検証が実装されている | □ | |
| .env ファイルが .gitignore に含まれている | □ | |
| Private App のスコープが最小限に設定されている | □ | |
| エラー処理 | 全 API 呼び出しに try/catch が実装されている | □ |
| 指数バックオフ付きリトライが実装されている | □ | |
| Webhook ハンドラがべき等処理に対応している | □ | |
| パフォーマンス | Batch API を優先的に使用している | □ |
| 同時実行数が適切に制限されている | □ | |
| 不変データ(プロパティ定義等)がキャッシュされている | □ | |
| 監視 | 構造化ログが CloudWatch / Datadog 等に転送されている | □ |
| エラー率・レート制限のアラートが設定されている | □ | |
| /health・/readiness エンドポイントが実装されている | □ | |
| テスト | Sandbox でエンドツーエンドテストが完了している | □ |
| 大量データ処理のロードテストが完了している | □ |
11-6 この章のまとめ
✅ Chapter 11 チェックリスト
- AWS Secrets Manager などを使ったトークンのセキュアな管理ができる
- HTTP エラーステータス別の適切な対処法を理解した
- 指数バックオフ付きリトライクラスを実装できる
- Bottleneck を使ったトークンバケット方式のレート制限制御ができる
- 監視すべきメトリクスとアラート閾値を設計できる
- 構造化ログ + Prometheus メトリクスの記録を実装できる
- ヘルスチェック・レディネスエンドポイントを実装できる
- 本番 Go-Live 前チェックリストを活用できる
🎉 HubSpot 開発者向け実践教科書 — 完走おめでとうございます!
Chapter 0 から Chapter 11 まで、HubSpot 開発者として必要な知識をすべてカバーしました。 CLI 環境構築から始まり、CRM API・CMS 開発・カスタムオブジェクト・ ワークフロー拡張・Webhook・OAuth・MCP Server・本番運用まで—— あなたは今、HubSpot フルスタック開発者として通用する技術スタックを手に入れました。
- Chapter 0:HubSpot 開発者の全体マップ
- Chapter 1:CLI & 開発ワークフロー
- Chapter 2:CRM API 完全ガイド
- Chapter 3:Marketing & CMS API
- Chapter 4:カスタムオブジェクト & スキーマ設計
- Chapter 5:CMS テーマ & テンプレート
- Chapter 6:モジュール設計
- Chapter 7:ワークフロー拡張 & Custom Code Action
- Chapter 8:Webhook & イベント駆動設計
- Chapter 9:App & OAuth 2.0
- Chapter 10:HubSpot MCP Server & AI 開発連携
- Chapter 11:セキュリティ・パフォーマンス・本番運用