Shopifyアプリ利用の際に気を付けるセキュリティに関すること
こんにちは、フラクタEC局エンジニアのSho-Gunです。
Shopifyアプリを利用する上で、気をつけてくべきセキュリティの話をしたいと思います。
Shopifyはスマホのように必要な拡張機能をサードパーティ性アプリを利用して使っていくという設計思想を持っています。
これにより、必要に応じて機能をつけたり足したりできたり、プラットフォームとしてコアな機能をアップデートしやすくしていることで、我々が安全にかつ迅速に新機能を利用できるというメリットがあります。
機能拡張の鍵はAPI
ShopifyのサードパーティアプリはShopifyのAPIを利用しています。
認証の仕組みとしては、アプリのインストール時に、必要なアクセスする対象コンテンツを提示し、それを許可することで当該アプリに対して、APIのアクセストークンが発行されます。
このAPIキーを使って、サードパーティアプリはShopify APIを通じて、あなたのShopifyストアの情報への参照や変更を行うことができるようになります。
API経由の変更はストアアクティビティログで確認
API経由で行われたストアへの変更は管理画面のストアアクティビティ画面で確認できます。
管理画面にログインしている状態で以下のURLにアクセスするとストアアクティビティ画面が確認できます。
例)
https://{ストアドメイン}.myshopify.com/admin/activity
このアクティビティログを定期的に確認して、見覚えのない変更がなされていないかを確認することをお奨めします。
ただ、このストアアクティビティログですが、我々が確認した限り、現状、API経由で行われた変更の全てが記録されるわけではなさそうなのです。(Pagesの本文変更など)
不審なアクティビティを見つけたら...
アプリ開発元へ問い合わせを行いましょう。
現状、国内のアプリプロバイダーが開発しているアプリがそれほど多くないため、海外製のアプリを使っているケースが多いと思います。その場合、サポートも英語のみの場合が多いので注意が必要です。
アプリプロバイダーによって、サポート体制が整っているところと、そうでないところがありますので、アプリ選定の段階でサポート体制をチェックしておくと安心です。
アプリプロバイダーは問い合わせに真摯に対応することが、ShopifyのAPI利用規約に記載されているため、問い合わせ対応をしてくれるのですが、どのくらいのレベルで対応してくれるのかも、やはりアプリプロバイダーのポリシーによりますのでその点も頭に入れておく必要があります。
APIのアクセスログの提出などは基本的に出してもらえないことが多いので、そこから先の調査は行えないケースもあります。
サードパーティアプリの現状
サードパーティアプリの利用は機能開発をするコストをかけることなく、欲しい機能を手に入れる便利な方法ですが、上記のように、全てをコントロールできるわけではないことや、情報を手に入れることにも限界があるということを理解しておく必要があります。
また、それぞれのアプリがどれくらいのセキュリティレベルを保っているかという点もやはりマチマチとなってしまっている実情があります。
Shopifyとしてもその辺り対応を進めており、審査を厳しくするなど対応を進めており、その一環として、アプリストア掲載の如何に関わらず、複数のストアへインストールするアプリは必ずShopifyによる審査が義務付けられました。
サードパーティアプリ利用で気をつけること
・アプリを選定する際にサポート体制/プライバシーポリシーを確認する
→何かあったときに、どういった対応をしてくれるのか、また、どれくらいのスピード感で対応をしてくれるのかを事前に確認しておきましょう。
・不要なアプリは削除する
→APIアクセス元は必要最小限に止めるようにしましょう。
・アクティビティログを定期的に確認する
→不審な操作が行われていないか定期的に確認しましょう。
まとめ
サードパーティアプリの利用は時間とコストの節約になるのですが、やはり一つ一つの利用がアプリプロバイダーとの契約となるので、それによって受ける制限と天秤にかけて利用の判断を行うことが大事です。
▽Shopifyのお試しはこちらから
フラクタでは、ブランディングやEコマースに関する情報を発信しています。ぜひフォロー、スキをお願いいたします!