こんにちは!ツクセルブログのゆうへいです。
Shopifyをこれから使おうかな、と検討している人にとって、顧客情報や売上データがすべて載っている「Shopify」って安全なの?セキュリティ的に大丈夫?ということが気になりますよね。
今回は、ネットショップの作成を検討している皆さん向けに、Shopify yのセキュリティ対策について解説していきます。
Shopifyとは?
Shopifyは、2004年に設立されたECサイトを簡単に作れるサービスを提供しているカナダのオタワに本社がある企業です。日本で言えば、BASEやカラーミーショップなどが近いサービスになります。
従業員数は5000人を超えており、2019年時点で175カ国100万店舗以上がShopify上でECサイトを運営しています。日本語にも当然対応しており、他言語・多通貨・海外配送にも対応している「Amazonキラー」と呼ばれているサービスです。
特徴としては、「簡単に作れる」だけでなく、 Shopifyにあるさまざまなアプリケーションを使ってECオーナーが実現したいことが簡単に作れてしまうことがあげられます。
例えば、「月額決済」「カスタマーレビュー」「自動でSNSでメッセージを送信」「領収書の自動作成」「オリジナル商品の作成」「デジタル商品の販売」「カゴ落ち防止」「リファラルプログラム(アフィリエイト)」「QRコード」「データ分析」「ヒートマップ分析」「アップセルやクロスセルなどおすすめ提案」「商品のパーソナライズ化」「インフルエンサーマーケティング」「他の人が一緒に購入している物を表示する」など、ここでは紹介しきれないほどです。
Shopifyのサーバー負荷
ECサイトの運営で最も大事なのはサーバー負荷とも言われています。
例えば、セールやテレビでの紹介を見越して在庫を大量に仕入れていたのに、サーバーが落ちてしまって思ったように売上が立たなかった…などあったらどうでしょうか。非常に困りますよね。
そうでなくても、毎日100万円など売り上げのあるECサイト、あるいは、数日しか賞味期限のない食べ物を扱っているサイトの場合、数日サーバーが機能しなかったとなると、それだけでかなりの損失になってしまいます。
もし落ちづらいサーバーを使っていたとしても、その日はサーバー代が高騰してしまい、利益率を圧迫しかねません。それだけ「サーバーの強さ」は非常に重要なのです。
稼働率99.8%!24時間365日監視
Shopifyでは、当然ですが24時間365日エンジニアが張り付いてサーバーを監視しています。稼働率も99.8%となっており、ほとんど落ちることはありません。
また、世界中で1分間に1万件もの注文処理がされているようです。また帯域幅やトランザクションに制限がないため、急激にアクセスがひとつのサイトに増大しても、サイトが落ちないような仕組みになっています。
世界中にCDNを配置しページビュー速度も超高速
Amazonの調査によれば、ページビューの速度が0.2秒変わるだけで1日の売上が7000万円も変わるそうです。Shopifyでは、世界中にCDN(コンテンツデリバリーネットワーク)を配置しています。
CDNとは、分散されたネットワークで、日本向けのコンテンツを一時的に日本サーバーで保存されており、いちいちカナダなどにある海外サーバーから情報を取得せず0.1秒でもはやく情報を表示できるようにしています。
東京にもCDNが配置されており、日本での表示速度に関してもトップレベルで速いです。
Shopifyのセキュリティ対策
国際基準でもトップレベルのセキュリティ
ECサイトは、顧客情報の中でもクレジットカードや住所など、非常に重要な情報を扱っています。
そのため一度漏洩すれば、それだけで会社が潰れたり逮捕されるほどのダメージを負ってしまいます。
Shopifyでは、PCI DSSという国際的なデータセキュリティ基準の中でも、レベル1を取得しています。
PCI DSSとは、Payment Card Industry Data Security Standardの略称で、クレジットカードの会員情報を保護することを目的としているセキュリティ団体です。
レベル1は最も基準の高いレベルで、年間の取引件数が600万件以上となっています。(参考:https://www.icms.co.jp/pcidss.html)
また、ISO27001を取得しており、情報セキュリティに力を入れている会社として、ISO(国際標準化機構)から審査を受けています。
会社として、機密性(限られた人しか情報にアクセスできないこと)、完全性(正しい情報が正しく保存されていること)、可用性(保存された情報が正しく取り出せること)などを審査員がチェックしています。
2段階認証や常時SSL対策
Shopifyでは、管理画面への切り替えに二段階認証を導入することが可能です。パスワードやIDが漏洩しても、この二段階認証をSMSや指紋などを通じて行うことで、簡単に解除できなくなっています。
また、常時SSL化もすべてのページでされており、暗号化通信で顧客情報を行う為セキュリティ面で安心です。また、SEO対策でも重要視されており、こういった対策をしていないサイトよりもより安全なサイトとしてGoogleに認識されやすくなります。
こうした手続きを自前でやろうとすると、かなりの手間や費用がかかってしまいます。
ホワイトハッカーによる監視
Shopifyでは脆弱性を発見したハッカーに報酬金をあげるプログラムを採用しています。
これによって、ハッカーがShopifyを攻撃するよりも、脆弱性を発見したときには報告したほうが良いという判断をしやすくなります。
もちろん、Shopifyの敵対企業や、愉快犯などが発生する可能性もゼロではありませんが、こういった取り組みを通じて、できるだけハッキングやセキュリティ漏洩などのリスクを低減させています。
Shopifyの推奨するセキュリティ対策
パスワードボールトで固有パスワードを生成する
パスワードを生成するサービスを利用して複雑なセキュリティ万全なパスワードを設定しましょう。
各パスワードは一意である必要があります。
複数のアカウント間に関係がある場合でも、複数のアカウントで同じパスワードを使用しないでください。
多くの人が複数のアカウントで同じパスワードを使用しています。
同じユーザー名やメールアドレスと組み合わせている場合も少なくありません。
固有パスワードがなければ、ユーザー名とパスワードの組み合わせの漏洩により、攻撃者がこれらの資格情報を使用する別のアカウントにアクセスする可能性があります。
パスワード管理ソフトウェアの使用は、パスワードの生成と管理に最適です。
パスワードボールトを使用する場合、覚えておく必要があるのはボールトのマスターキーだけです。
他のパスワードは、文字、数字、記号を混ぜ合わせて自動生成されます。
一般的なパスワードボールトには、LastPass、Dashlane、1passwordがあります。
2段階認証を有効にする
単純にIDやパスワードだけでログインするのではなく、二段階認証を導入しましょう。特に売上が増大してくるとリスクが高くなるので気をつけてください。
Shopifyアカウントで2段階認証を有効にすると、パスワードを入手した人物が被害をもたらす可能性を軽減できます。
スタッフも、自身のアカウントに2段階認証を設定できます。
できるだけ他のアカウントにも2段階認証を使用することをおすすめします。2段階認証をサポートする主なサービスは次のとおりです。
Amazon
Apple
Dropbox
Microsoft
Yahoo!
危険にさらされたアカウントを保護するアカウントが危険にさらされた場合は、すぐにデータ保護手順を実行してください。
手順:
Shopifyへのログインに使用するメールアカウントにログインし、パスワードを変更します。
Shopifyにログインし、Shopifyアカウントのパスワードを変更します。ログインできない場合は、パスワードをリセットしてください。パスワード再設定メールが届かない場合は、Shopify サポートにお問い合わせください。
ログイン時にセキュリティを強化するために2段階認証を有効にします。2段階認証がすでに設定されていて、攻撃者がそれを突破した場合は (デバイスを盗んだ場合など)、デバイスを変更して2段階認証を再度設定します。
Shopify ペイメントの銀行情報を確認し、必要に応じて更新します。
PayPalや設定した他の決済サービスの銀行情報を確認し、更新します。
一般アカウント設定を精査し、他のすべての情報が正しいことを確認します。
政府指針に従って、個人識別情報と機密情報を保護してください。
ブロックされた資格情報をリセットする。
多くの人が複数のアカウントで同じパスワードを使用し、同じユーザー名またはメールアドレスと組み合わせているため、ユーザー名とパスワードの組み合わせが漏洩すると、攻撃者は同じ資格情報を使用する他のアカウントにアクセスする可能性があります。
このような事態におけるリスクを軽減するため、当社は公開されているデータ漏洩の情報を入手して分析しています。
こうした漏洩のいずれかであなたの資格情報が見つかった場合は、アカウントがロックされます。
ログインしようとすると、危険にさらされていないパスワードにパスワードをリセットするまで、エラーメッセージが表示されます。
メモ
データ漏洩で自分の資格情報が危険にさらされているかどうかを、Have I Been Pwnedで確認できます。
また、2段階認証とパスワード管理ソフトウェアを使用して、すべてのアカウントをできるだけ安全にする必要があります。
疑わしいログインアクティビティ
定期的にログインアクティビティをチェックして、怪しいログインなどがないか確認しておきましょう。
Shopifyアカウントログインへの攻撃を阻止するために、Shopifyのセキュリティシステムは、異常なアクティビティが検出されたときにアカウントへのアクセスをロックします。
このような場合は、ログインプロセスの一環として、自分の身元を確認する必要があります。
10桁のコードがアカウントのメールアドレスに送信されます。このコードを入力して本人確認とログインを行います。
手順:
身元を確認するページで、メールに送信されたコードを入力して [ログイン] をクリックします。
身元が正常に確認されたら、以前の疑わしいログイン情報について、[はい、これは私です]、[いいえ、これは私ではありません] をクリックして、そのログインを自分が行ったかどうかを示します。
[いいえ、これは私ではありません] をクリックした場合、Shopifyではアカウントを安全に保つため、アカウントにログインする前にパスワードのリセットを求めます。
非アクティブなアカウントにログインする
非アクティブなアカウントは自動的にロックされるので安心です。
アカウントに3か月間以上ログインしていない場合は、ログインプロセスの一環として、本人確認を行う必要があります。
10桁のコードがアカウントのメールアドレスに送信されます。このコードを入力して本人確認とログインを行います。
手順:
ログインページで、メールアドレスに送信されたコードを入力します。
[ログイン] をクリックします。
まとめ
基本的にはShopify自体は、世界中の優秀なエンジニアがセキュリティを強固にしており、世界でもトップレベルの基準をクリアしていることがわかります。
すでに100万店舗以上が開業しているので、この顧客データや店舗のログイン情報などが流出してしまったら大変な自体ですね…。とてもじゃないけれど、これほどの大企業が用意しているセキュリティ以上に安全なシステムを個人や中小企業が用意することは難しいと思いますので、Shopifyを利用するほうが安全だとは言えると思います。
とはいえ、二重認証や、ユーザーの管理などみなさんが利用するときに注意するべきことをしっかりと怠らなければ、基本的に情報流出などの危険性は薄いと言えるでしょう。
ツクセルのサービスについて
弊社は、Shopifyを使ってネットショップを運営している事業者・個人の方向けのコンサルティングや制作代行を沖縄で行なっております(全国対応可)。制作費用 29万円からと業界でも最安値で、完全オリジナルテーマを制作させていただきます。
なぜオリジナルテーマがいいの?
無料・有料などのすでにあるテンプレートを利用してショップを運営することもできますが、やはり「別のサイトで見たことあるな」とお客様に思われてしまいます。いくら作り込まれたテンプレートでも、商品やブランドの世界観にあったオリジナルテーマほどはお客さんにとって買い物したいと思えるサイトにはなりません。
みなさんが作りたいサイトの構想をお伝えいただければ、弊社にてShopifyを使って制作代行させていただきます。
売上アップにつながるマーケティング施策をご提案
また弊社では制作代行だけでなく、Shopifyの運用代行・Instagramの運用代行なども行なっております。「Shopifyの最新動向」や「Instagmの最新動向」を常に私たちが追いかけながら、みなさんはECショップ運営に集中していただける仕組みです。
現役ECサイトオーナーだから悩みがわかる
弊社では、すでにいくつかのECサイトをShopify上にて運営しております。だからこそ、Shopifyでどうすれば売上が上がるのか?管理コストを下げれるのか?ということを常に本気で取り組んでいます。
WEB制作会社・コンサルティングのみを行なっている会社ではなく、現役のECサイト運営者だからこそ、ECショップ運営されている方の悩みや課題がしっかりとわかります。
まずは無料でお問い合わせください
現在「運営代行費 初月無料キャンペーン」も実施中です。もし、Shopifyでのネットショップ開業にご興味ございましたらお問い合わせください。
