この記事はShopifyのNewsroom記事 How trust became Shopify’s biggest defense against security threats を日本語に翻訳しています。
コマースには信頼が不可欠です。Shopifyでストアを運営する立場でも、ストアで買い物をする立場でも、あらゆる行動は信頼の上に成り立っています。つまり、お客様は自身のデータが安全に保護され、取引が確実に処理されることを期待し信頼しています。
「信頼は私たちの事業における通貨のようなものです」と、Shopifyの最高情報セキュリティ責任者(CISO)であるアンドリュー・ダンバーは述べています。
数百万社のマーチャントが集い、数十億ドル規模の取引が日々行き交う「デジタルハブ」であるShopifyにおいて、アンドリューとセキュリティチームは常に先回りして脅威を見極め、コマースがスムーズかつ安全に進むよう支えています。彼らは、脅威が顕在化する前に予測し、コマースがスムーズかつ安全に行われることを可能にすることで、Shopifyはグローバルな取引を支える安全で信頼できるエンジンとして機能し続けています。
インターネット上での信頼の醸成
Shopifyのセキュリティチームの使命は、ただ単にデータを守ることにとどまりません。コマースにおける信頼のあり方そのものを再定義し、小規模なオンラインショップでも、大手事業者と同等のセキュリティレベルを確保できるようにしています。
「Shopifyが成功を収めた点の1つは、数多くのブランドやプラットフォームに対して同時に信頼を民主化したことです」とアンドリューは説明します。「信頼が失われると、人々は、ブランドからの直接購入ではなく、マーケットプレイスでの購入を選択してしまいます。」
この考え方が、Shopify全体のセキュリティアプローチを方向づけています。Shopifyは、信頼がますます希薄化するデジタル経済において、何百万もの独立したビジネスが着実に成長できるよう支えることを目指しています。
「Shopify上の何百万ものマーチャントすべてが信頼に足る存在であり、安心できる体験を提供していると保証する必要があります」とアンドリューは述べています。「Shop Payのロゴを見たとき、人々はここなら安心して購入ができるブランドだと感じられるのです。」
ただ一生懸命にだけではなく、より賢く構築
ここでの考え方は、単により高い壁を築くことではなく、より賢い壁を築くことです。つまり、物事を異なる方法で行うということです。その一例として、多くの企業が基本的なパスワード保護に苦戦する中、Shopifyのセキュリティチームは漏えいが確認されたユーザー名とパスワードの組み合わせを数十億件も収めた膨大なデジタルライブラリを保有しています。これらの認証情報でのログインを防ぐために、このデータベースを活用しています。また、セッションが乗っ取られた可能性を検知した場合は、Shopifyのシステムが即座に対応し、ユーザーに厳重な再認証プロセスを求めることで被害を防ぎます。
より賢く、より強固に守るためのもう一つの手段 - それがShopifyのバグバウンティプログラムです。データ漏えいが日常的にニュースを賑わす昨今、Shopify世界中の研究者と関係を築き、脆弱性を洗い出して防御体制を強化してきました。
世界有数の規模を誇るこのプログラムは、グローバルなクラウドソース型のセキュリティチームを生み出し、累計の報酬金支払いは600万ドルを超えています。
「多くの企業が、バグバウンティを経営陣に導入提案する際の手本としてShopifyの名前を挙げてくださっています。これは大きな成功だと言えます」とアンドリューは述べています。
コマースにおけるセキュリティの再定義
セキュリティチームは守りに徹するだけでなく、コマースのセキュリティそのものを根本から作り替えています。
「Shopifyはコマースにおけるセキュリティの前提を劇的に変えました」とアンドリューは述べています。「ShopアカウントとShop Payの存在により、クレジットカード番号を入力することなくオンラインショッピングが可能な店舗が数百万店にまで広がっています。そして、購入先のストアは、そのカードデータに一切アクセスできません。」
多くの攻撃は、ハッカーがストアに悪意のあるコードを仕込んでカード番号を傍受することで発生します。Shop Payのトークン化の仕組みにより、そのような問題は構造的に発生しません。
「データを保護すればするほど、インターネットはより安全になります」とアンドリューは述べています。
目に見えない脅威への対策
脅威の状況は常に進化し、攻撃者は新たな手口でシステム侵害を狙ってきます。何が最も懸念されているかと尋ねられた際、アンドリューは躊躇なく答えました。
「この1年で、あらゆるウェブサービスにおいてセッションハイジャックが著しく増加しています」とアンドリューは明かしています。
ウェブサイトにログインすると、ブラウザにCookieが配置され、それによってユーザーが識別されます。これにより、訪れるすべてのページであなたが誰であるかが認識されます。多要素認証の普及により、盗まれたユーザー名とパスワードを使用することが難しくなったため、ハッカーはこれらのCookieを盗もうとしています。
「もし何者かがマルウェアを使ってマーチャントのコンピュータに侵入しCookieを盗めば、そのアカウント内での”本人”の情報を実質的に盗んだことになります。」
Shopifyはこの1年、アクティビティの「リスクスコアリング」に多くの投資を行い、乗っ取りの疑いがある場合は、ユーザーに再認証を促す仕組みを強化してきました。
脅威がより高度化する中、ShopifyはAIを全社的に導入し、より質の高いテストの実施、より迅速な展開、そして先手を打つ体制を構築しています。
「AIの価値は、生産性を大きく引き上げる点にあります」とアンドリューは述べています。「AIによって、大規模なデータの解析、スムーズな実用的インサイトの取得、新しいコードの生成が可能になります。私たちはAIを活用して、マーチャントと購入者の保護を強化しています。」
セキュリティの新境地
これらはマーチャントにとって何を意味するのでしょうか?
答えはシンプルです。Shopifyのセキュリティは「当たり前に動く」。つまりそれは、マーチャントは自身の得意分野、つまり、成功するビジネスの構築にエネルギーを集中できることを意味します。
「マーチャントは、Shopifyを選ぶ理由の一つとしてセキュリティを考えるべきです」とアンドリューは述べています。「以前は毎日頭を悩ませていた問題が、全く考える必要がないものになります。」
セキュリティについて何から始めればよいか分からない人々に対して、アンドリューは明確なアドバイスを述べています。「規模に関わらず、誰にとっても最も重要なのはアカウントのセキュリティです。アカウント登録時には必ず多要素認証を設定してください。それだけで脅威の大半を防げます」
また、実用的なアドバイスとして次のように付け加えています。「信頼できるベンダーを利用し、自社のデータの保持を最小限に抑えることで、攻撃者が貴社およびお客様に関する機密データを入手することが難しくなります。」
Shopifyの独自の理念は、チームをセキュリティ分野における最高水準の基準として確立しました。ハイリスクなグローバルコマースでは、たった一度のセキュリティ上の過ちが一夜にして信頼を崩してしまいます。そんな環境でShopifyは、巧みにゲームをこなすだけではなく、そのルール自体を書きかえているのです。
