ECパッケージと同じ仕様でもECでオープンソース型が不安な理由
2022.10.18
CONTENS
オープンソースはそもそも安全ではない
オープンソースのプログラムは利用するための料金がかかりません。そのためECプラットフォームとしても「十分な機能を搭載可能で、かつ初期費用を圧縮できる」という点で常に注目を集めている構築方法です。
ただし、安全性には問題があるため、第三者の情報を預かることの多いECサイトに利用することには必ずしも向いていないという点が課題になります。
オープンソースのプログラムは誰でも覗ける状態になっている
ではなぜ安全ではないのかというとそれはオープンソースの仕組み自体にその秘密があります。
まずオープンソースとはそもそもECのためだけの仕組みのことではなく、プログラムのあり方を指す言葉です。意識の高い技術者が集ってそのプログラムを発展させる目的でそのプログラムを開示し、自由に使えるもののことをオープンソースといいます。
つまり、作り方が公開されているプログラムをオープンソースと呼びます。ECに利用可能なEC-Cube、CMSとして有名なWordPress、またOSではスマホで使われているAndroidもオープンソースです。
オープンソースの仕組み自体はよくできていてメリットもたくさんあります。
- 無料で活用できる
- 修正やカスタマイズは自由にできる
- 開発元の経営状況にその存在の存続が依存しない
こうしたことは予算はないけれど夢はあるという人に対してはとても魅力的に写ります。
また、フォーラムが活発なオープンソースであればバグが出てきた場合の修正も驚くほど早く共有されることが少なくありません。
多くの技術者が関わることで、めざましい発展を遂げていくものがあるため普及するとその寿命が長いということも特徴です。プログラムの多くは開発元が倒産したりすることでその後のアップデートがなくなり消えてしまうことが少なくありません。そうしたリスクはオープンソースでは圧倒的に少なくなります。
一方で誰でもそのプログラムを覗けるということは、そこに脆弱性を発見されて悪用されるリスクも高いということになります。こうした攻撃を受けた場合もアクティブなオープンソースでは早急に改善されます。
一度の、一瞬のトラブルが命取りになるEC
改善が早いとしてもプログラムの脆弱性を突かれたトラブルの発生はECでは確実に命取りになります。一瞬でもサイトの乗っ取りなどが起こればその損失は莫大なものになるからです。
脆弱性をついたプログラムの悪用は鍵をかけた家がセキュリティが万全と思っていても、壁に穴を開けて侵入者が入ってくるような状況を想像してください。プログラムが公開されているオープンソースではそういったことが起こる可能性が高くなるということです。
実際にEC-CUBEでは脆弱性をついたECサイトへの侵入事件が発生しています。アップデート用のパッチは短期間で配布されましたが、それを怠ったいくつかのECサイトは実際に被害を出しています。
WordPressをECに使うためのプラグインがあり、WordPressでECをするというケースもありますが、WordPressも定期的に乗っ取りによる被害が報告されています。オープンソースの場合、利用者も爆発的に増えていき、ユーザーが多いということが愉快犯の標的になりやすいということも安全性の低下に拍車をかけていることも知っておきたいところです。
どんな形であれ、もし被害にあった場合、ECであればその被害はその運営側だけでなく、ユーザーにも及びます。そしてもし、何か被害にあった場合は転じてその運営側は加害者のように扱われることになります。
ECに関する事業は顔を直接合わせないため、より信頼関係が重要になるのです。その信用を失うと取り戻すことは非常に大変です。
仕組みはオープンソースとECパッケージは同じ
オープンソースとはプログラムのあり方を指す言葉であることを踏まえると、ECプラットフォームの中でオープンソースという構築方法はECパッケージと同じです。そのあたりの説明を省略して別の種類として記載している解説は少なくありませんが、オープンソースとECで読んでいる場合は「オープンソースのプログラムを使ったECパッケージ」ということになります。
ECパッケージはECプラットフォームを構築するための機能がひとまとめになったプログラムです。それをサーバーに格納してECサイトとして利用するものです。ECでのオープンソースという場合、そのプログラムがオープンソースのプログラムであるということになります。
実際のところ、ECパッケージとしてよく名前が上がるEC-CUBEはオープンソースです。こうしたことは少し混乱を生んでいる原因かもしれません。また、通常ECパッケージのライセンス使用料は数十万〜数百万という金額になりますのでその差が大きいことも、分けて記述し詳しく言及しない一因になっているのかもしれません。
実際、EC-CUBEはかなりの機能があり、柔軟な構築も可能です。ただし、基本的にサポートはなく自己責任となり、すべて自己解決が必要です。多機能になるということはそれだけ積極的に自ら進んで学習しなければならないことも多く、管理もとても大変です。こうした部分は安全性について大きなデメリットになります。
一方で通常のECパッケージの中にオープンソースのパッケージを活用してはカスタマイズし販売しているものもあります。実際のところ、オープンソースはECパッケージの中の一つのカテゴリということになります。
ECパッケージとひとまとめにしていても様々なルーツがあり、それぞれに特徴もあるということが言えます。そのため例えば安全面でいっても、オープンソースではなかったとしてもそれぞれの成り立ちによって大きく異なることになります。
ちなみにオープンソースはフリーソフトとは少しだけ立場が違います。フリーソフトも無料で使えるプログラムですが、必ずしも中身にどのようなプログラムが使われているか公開されているわけではなく、また勝手にカスタマイズしたり修正するという前提にはありません。フリーソフトというカテゴリのなかにオープンソースが存在すると考えるとわかりやすいでしょう。
また、オープンソースでも著作権表示が必要であったり、その必要がない場合もあるなど様々です。カスタマイズしてそれを再配布するケースを考えて、それぞれのプログラムごとに取り決めされているのでもし活用する機会がある場合は一応確認しておくとよいでしょう。
ECはそもそも安全性が肝心
ECサイトが管理者にとっても、ユーザーにとっても安全であるということはとても重要なことなのは理解してもらえたと思います。
それでも「オープンソースで」と考える場合、圧倒的な知識をもったエンジニアの助力は必須です。しかもそれは外部に人的リソースを求めるのではなく、内部にいないと少し厳しいかもしれません。そうして考えるとオープンソースの経済的なメリットは高くないということになってきます。
冷静に考えていくと安全面に気を使わず、安価な構築方法ばかりを追求した結果、トラブルになり、より大きな損失を出すというパターンはことは避けたいところです。もちろん、高額だから必ず安全ではなく、管理者のセキュリティリテラシーは今やどんな場面も高く維持される必要があります。しかし、そうしたリテラシーを乗り越えて安全面に問題がある場合は守りようがありません。
オープンソースを含めたECパッケージを求める理由はどこにあるのかといえば、構築の柔軟性や規模拡張性の高さなどでしょう。そうした部分にクオリティを求めるのと同様に安全面にも気をつかっておきたいものです。
さらにその中でも特にオープンソースは技術的なハードルが高くなることは念頭に置いておきたいところです。サポートがないということは意外に工数を増やすことが少なくありません。特にECは幅広い作業が要求されるため、運営を効率的に進めるために構築時の設計への工夫やプラグインなども増えてきやすくなります。
プログラムがわかる、WEBデザインができると一口にいっても、専門家の中でもそれぞれの分業が進んでいる状況のなかで、全てに精通している人材はどこでも人気です。そのためそうした人材の助力を得ることも簡単ではない状況になっていることを忘れてはいけません。
結果的にオープンソースでは構築後の運営負担も重くのしかかる可能性があります。構築時のコストを抑えたけれど結果的にランニングコストが膨大になったということも起こりやすくなります。
運営中の負担はランニングコストの膨張、運営工数の増加、人材確保の問題による離職率の増加、あるいは放置されることでのチャンスロスなどにつながる可能性があります。
こうして考えるとECプラットフォームには適切な初期投資が必要であるということになります。
ECパッケージ「tri-co」の安全性
最後に宣伝も兼ねて私たちがリリースしているECパッケージ「tri-co」を少しだけ紹介させてください。
tricoは技術などではなく、よりECを取り巻く人にフォーカスした新しいプラットフォームです。ブランディング会社としてのマーケティング的知見、そしてECでも社会へのコミットをしてそれぞれのハッピーを高めるためにどうあるべきか考えて設計されたECパッケージです。
tri-coのベースになっているのは安全面で高い評価を得ているW2ソリューションのECパッケージです。W2ソリューションはセキュリティ機能えを豊富に持ち、2020年の日本マーケティングリサーチ機構の調査ではセキュリティに強いECプラットフォームの第一位に選ばれています。
大切な自社の資産だけでなく、顧客の安全も守る義務があるEC事業では、安全性はとても重要です。ECプラットフォームとしてはどのように機能を搭載しようとも安全でなければ意味がありません。
ぜひ費用とのバランスを考えながら安全なECプラットフォームを選択してください。
ABOUT US
この記事を書いた人
鈴木隆太 株式会社かいな
1975年生まれ。会社員から2004年よりライターとして活動。雑誌を中心にネット移行への過渡期を経験。主に音楽、文化、医療、マーケティングなどについて執筆。ライター外ではマーケティング、コーチング等。