Shopifyのセキュリティは大丈夫？安全性や個人情報について検証

「Shopifyのセキュリティって安全なの？」

「個人情報を扱っているから情報漏洩が心配…」

「アクセスが集中したらサイトはどうなるんだろう」

と不安に感じていませんか。

オンラインサイトは多くの重要な情報を管理しているため、セキュリティに不備があった場合、多大な損害が発生する可能性があります。

この記事では、Shopifyのセキュリティについて検証していきます。さらに是非入れておきたい、おすすめのセキュリティアプリも紹介していきます。

この記事を読めば、サイトを安全に運営するための対策や対応について理解できるので、ぜひ最後まで読んでみてください。

Shopifyは危険？個人情報の安全性について

オンラインサイトではショップの商品情報はもちろん、顧客の住所などの個人情報やクレジットカード情報といった多くの重要な情報を取り扱っています。

高いレベルの安全性が求められるオンラインサイトの運営ですが、Shopifyは非常に高いセキュリティでサイトの情報を守り、安全性を高めています。

顧客の個人情報やアカウントを守ることはもちろん、悪意のあるアクセスからサイトを守ったりと、各方面のセキュリティを強化しています。

ユーザーが安心してショッピングを楽しみ、サイトが安心して運営できる環境を整えている点も、Shopifyが世界中で選ばれている理由といえます。

次章より、Shopifyの安全性を裏付けるセキュリティ体制などを説明します。

Shopifyが実施する高いセキュリティ対策

Shopifyは安全にオンラインサイトを運営するために、高いセキュリティ環境を整えています。

Shopifyのセキュリティ対策についてそれぞれ紹介していきます。

PCI DSS

PCI DSSとは、クレジットカード会員のデータを安全に取り扱うことを目的に定められた、クレジットカード業界のセキュリティ基準です。

国際カードブランドのAmerican Express・Discover・JCB・MasterCard・VISAの5社によって運営管理されています。

Shopify上で提供されているPCI DSS レベル1の環境は、以下の6つの条件を満たす必要があります。

• 安全なネットワークの構築と維持
• 脆弱性管理プログラムの維持
• 定期的なネットワークの監視・テスト
• カード保持者のデータの保護
• 強固なアクセス制御対策
• 情報セキュリティポリシーの維持

※参考：Shopify ブログ

Shopifyで開設されたオンラインストアは全て自動でPCI DSS レベル1に準拠しています。

そのため、Shopifyのサイトは安全なセキュリティの元で運営ができるといえます。

ISO27001

ISO27001とは、情報セキュリティマネジメントシステムに関する国際規格です。

ISO27001の取得には情報セキュリティの以下3大要素をバランスよく維持することが求められています。

• 機密性：アクセス権限のある限られた人のみが情報を利用できる
• 完全性：正確で改ざんされていない情報資産であること
• 可用性：保存された情報が要求した際に取り出せること

※参考：日本品質保証機構

Shopifyのサイト環境はISO27001を取得していることから、情報のリスク管理が適切に行われているといえます。

2段階認証とアクセス制限

Shopifyのアカウントはショップ運営スタッフや自分自身のアカウントに2段階認証を設定できます。

2段階認証を有効にすると、万が一第三者がパスワードを入手した場合でもログインが難しくなるため、被害を軽減できます。

また、複数のスタッフでストアを運営する場合に、特定の運営スタッフのアカウントにアクセス制限をつけることも可能です。

制限をつけることで自分や作業に関わる最小限のスタッフのみがアクセスできるので、大事なデータの削除、作業途中の情報の公開など不測の事態を未然に防げます。

常時SSL化

常時SSL化とは、Webサイト全体をSSL化することで保護している状態のことです。

SSLはインターネット上で安全にサーバー間のデータをやり取りするために暗号化することです。

暗号化することで、万が一不正にアクセスをされても個人情報を読み取られる心配がありません。

また、SSL化はセキュリティの強化に加え、検索上位に表示されやすくなるなどSEOにも影響するためサイトの常時SSL化は必須の対応といえます。

Shopifyでは初期設定でSSL化がされているため、詳しい知識がなくても心配は不要です。

24時間体制でホワイトハッカーが監視

Shopifyではホワイトハッカーが24時間体制でサイトを監視・復旧の作業を行っています。

ホワイトハッカーとは、パソコンやシステムに関する知識を善用する目的で使う人たちのことを指します。 

Shopifyのサイト上でセキュリティ上の欠陥やバグを発見した場合、全世界のホワイトハッカーが対応します。

万が一ホワイトハッカーよりも先に問題を見つけた場合も「HackerOne」のページからShopifyに報告ができるので、安全なサイト運営が可能です。

Shopify以外で漏洩した情報も感知

Shopifyでは公開されているデータ漏洩の情報を入手して分析することで、ユーザーの情報を危険から守っています。

ユーザーはShopify以外のサイトでも多くのパスワードやログイン情報を所有しています。

万が一どこかの情報が漏洩した場合、ユーザーのアカウントは危険にさらされます。

そのため、漏洩された情報の中からShopifyユーザーと一致する情報が見つかった場合、Shopifyのアカウントがロックされます。

初回ログイン時には新たなパスワードを設定することで、その後は問題なく継続して使えます。

疑わしいログインアクティビティをロック

Shopifyでは普段のログインデバイスとは違うなどの異常なログインアクティビティが検出された場合、攻撃を阻止するためにアカウントへのアクセスをロックしています。

ロックされた後にログインをする場合は、アカウント登録しているメールアドレスに送られる10桁のコードを入力することでログインが可能です。

非アクティブなアカウントの本人確認

Shopifyのアカウントに3ヶ月以上ログインしていない場合、第三者が悪用することを防ぐため、本人確認を行っています。

アカウントに登録しているメールアドレスに10桁のコードが送信されるため、コードを入力することでログインして利用が可能です。

Shopifyサーバーでアクセス集中時の安全性

セキュリティの安全性以外にも、Shopifyのサーバーが安定して稼働しているのかについてもみていきます。

万が一Shopifyで運営しているオンラインサイトのサーバーがダウンしたり、表示速度が遅くなったりした場合、販売の機会損失にもつながります。

1分間に1万件の注文を処理するスピードと安定性

Shopifyではクラウドベースのインフラを構築しているため、サーバー稼働率は99.98%となっています。

SNSでのバズやニュースの紹介など、予測できない急激なアクセスの増加でも、Shopifyのサーバーであれば問題なく対応できるといえます。

追加料金などなく高性能なサーバーを利用できるので、低コストで安心なサイト運営が可能です。

ページの表示速度を高速化

ShopifyはCDN（コンテンツ・デリバリー・ネットワーク）と呼ばれるネットワーク技術を使うことで、サイトのページ読み込みの最適化がされています。

CDNを使うことで、世界中に分散されているサーバーのうち、サイトにアクセスしているユーザーに最も近いサーバーが対応します。

そのため、世界中のどの国からアクセスしても素早くページにアクセスが可能です。

Shopifyでおすすめのセキュリティアプリを紹介

Shopifyに数多くあるアプリの中には、ショップのセキュリティを強化するためのアプリがあります。

特に注文の受注や商品の販売方法など、ショップ側で対応する作業は、アプリを入れることで安全性が強化されます。

Beacon：不正注文を自動検知

※画像引用：Beacon

■価格

• 0.03米ドル／月

■機能

• 偽の電話番号や誤った情報を検出
• リアルタイム詐欺分析
• 不正アカウントを検知し自動キャンセル

Beaconは、不正注文を自動解析・検知するアプリです。オンラインサイトを詐欺や悪意ある注文から守ってくれます。

ビッグデータやメールアドレスを利用した認証や、機械学習といったテクノロジーを組み合わせることで不正な注文を検知しています。

具体的には、詐欺注文の可能性があるアカウントや、不審な高額注文などの疑わしいデータを監視および分析し、注文の自動キャンセルまでを行ってくれます。

問題のある注文を未然に防げるため、サイトの安全面を強化する上で心強い機能を備えています。

Age Verify with Email Capture：注文前に年齢確認が可能

※画像引用：Age Verify with Email Capture

■価格

• 無料

■機能

• 年齢と認証の設定
• 年齢確認ポップアップ
• ポップアップのフルカスタマイズが可能

Age Verify with Email Captureは、サイト上にポップアップを数秒表示させることで年齢確認が可能です。

タバコやお酒といった、注文前に年齢確認が必要な商品を販売している場合、ユーザーにしっかりと知らせた上で確認ができるため便利です。

難しいコーディングなどは必要なく、どこに表示させたいかやデザインを簡単にカスタマイズして設定ができます。

EasyLockdown – Wholesale Locks：コンテンツのアクセス制限

※画像引用：EasyLockdown – Wholesale Locks

■価格

• 7米ドル／月

■機能

• ワンクリックでサイト全体を非公開
• 価格を非表示
• 特定の商品・ページへのアクセスを制限

EasyLockdown – Wholesale Locksでは、サイト全体を非表示にできるのに加え、ストア上の特定のコンテンツへのアクセス制限ができます。

サイト全体の改修や、税率や送料など基本料金にかかわる変更など、サイトの非表示機能を使えば安全に作業ができます。

また、アクセスの制限はコンテンツだけではなく、配送範囲外にいる地域のユーザーなどの顧客属性によっても制限が可能です。

サービスの対象外となるユーザーのアクセスを制限することで、キャンセル処理の手間削減や不要なトラブルの回避にもつながります。

さらにアクセス制限のフィルタリングは、販促としても有効に使えます。

ログインユーザーにだけ商品の価格やカートを表示させられるので、会員限定サービスとして顧客のロイヤリティを上げられるうえ、新規の会員登録も促すことができます。

他にもメルマガ会員や、特定の顧客にのみ該当商品へアクセスさせることも可能です。

Shopifyアプリのセキュリティは大丈夫？

Shopifyのサイトは強固なセキュリティ環境が整えられていますが、サイトに入れるアプリの安全性はどうでしょうか。

結論から言うと、アプリは必ずしも危険ではありませんが、利用する際には気を付けなければいけません。

Shopifyアプリは簡単にインストールして機能を追加できるため便利です。

しかし、アプリの中には外部のサーバーにアプリを置いて通信を行っている場合があります。中には、外部のデータベースにユーザーの個人情報を保有している場合もあるのです。

外部サーバーに置いていることが全て危険な訳ではありません。

また、Shopifyではアプリの承認プロセスなどの審査を厳しくすることで、アプリの安全性を高める対応もおこなっています。

しかし、アプリを利用する際には、少なくとも以下のことには気を付けましょう。

• アクティビティログを定期的に確認する
• サポート体制・プライバシーポリシーを確認する

アプリのアクティビティログは定期的に確認し、身に覚えのない変更がされていないかなど、しっかりと見ておきましょう。

万が一不審なアクティビティがあった場合は、速やかにアプリ開発元に問い合わせましょう。

ただし、十分なサポートが受けられるかは各アプリ開発元によって異なります。

困った事態にならないためにも、アプリを利用する前にはサポート体制やプライバシーポリシーを確認し、アプリのレビューなども参考にして利用しましょう。

番外編：不正購入されたらどうする？

万が一、サイトで不正購入されてしまった場合、クレジットカード決済では「チャージバック」の対応がされます。

チャージバックとは、クレジットカードの紛失やフィッシング詐欺などの不正利用から消費者を守る仕組みです。

しかし、カードの不正利用が確認されてチャージバックが受け入れられた場合、原則として加盟店が商品代金や手数料の負担をしなければいけません。

基本的にはチャージバックが発生した場合でも、Shopifyによる保障はないため、各ショップでの対策が必要となります。

不正利用によるチャージバックの対策として、ショップにできることは以下が考えられます。

• チャージバック保険に入る
• 不正注文の検知機能を入れる

チャージバック保険に入っていれば、保険の金額内であれば補填が可能です。

しかし金額に限度がある上、補填の条件や保険料がかかるという点では対策としては十分ではありません。

最も効果的なのは、チャージバックされるような不正注文を未然に防ぐことです。

Shopifyのアプリや、外部サービスによって不正注文を分析・検知することで、ショップが被害を受ける前に注文をキャンセルすることをおすすめします。

ショップを健全に運営し守るためにも、ショップごとに出来るセキュリティ対策はしっかりとしておきましょう。

まとめ

Shopifyは高いセキュリティの元、ユーザーが安心して買い物が出来、ショップ側も安全なサイト運営ができる対策がされています。

しかし、Shopifyの高いセキュリティも完璧な訳ではありません。

不測の事態や、ショップと利用してくれる顧客の安全を守るためにも、ショップ毎の対策は必須です。

自身のショップにとって必要な予防策をしっかりと確認し、安全なサイト運営をしてください。