Shopify ブログ

Shopifyを支えるテクノロジーの舞台裏ーセキュリティについて

※編集部注:この記事は、CTOJean-Michel Lemieuxが、Shopify Unite 2019でおこなった講演を元にしています。

Shopifyエンジニアブログを除くと、みなさんはShopifyの技術の舞台裏や意思決定を導く哲学について見聞きすることはあまりありません。Shopify Uniteにおいて、CTOJean-Michel Lemieuxはプラットフォームの技術について詳しく掘り下げました。どのように構築されていて、次に何を作っていこうとしているのか。この記事では、彼が共有した内容を見ていきたいと思います。

トークを観るには、下記の動画をチェックしてください。

 

Shopifyの技術プラットフォーム

われわれのプラットフォームの詳細に入る前に、今までに何があったかを見ておきましょう。数千年前、シルクロードはヨーロッパ、アジア、北アフリカを巨大な貿易ネットワークで結びつけました。商品、知識、人々が、国境を越えて行き交います。このネットワークは、数百年のあいだ、繁栄してきました。

Shopifyに目を移すと、シルクロードとの類似点が色々あることがわかります。シルクロードを生み出し、維持していく過程では、現在もわたしたちが直面しているさまざまな技術的課題がありました。高度なインフラ、土木工学、物理的なセキュリティ・イノベーションは、シルクロードの旅人たちを保護するのに役立ち、現在の事業者も同様に保護しています。

シルクロードの歴史から学べることは、わたしたちがShopifyのインフラを維持する際にも適用されます。実際のシルクロード同様、われわれのプラットフォームは複数の重要なテクノロジーによって構成されています。それを組み合わせることで、あなたのビジネスを支える強固な土台が得られるのです。わたしたちのリテール・オペレーティング・システムを構成しているのは、それらの技術です。それぞれを、1つずつ詳しく見ていきましょう。

 

1. オープン・インターネット

まずはオープン・インターネットと、それを維持するためにShopifyが果たしている役割について話すことから始めましょう。

ビジネスには、道が必要です。その道を通じて、商品や知識は境界線を越えて行き来することができます。世界の一部の地域、またインターネットの一部では、この道が危険にさらされています。人や国、会社が、壁を築いて境界線を引こうとしているからです。しかしShopifyのデジタルハイウェイは、オープン・インターネットという約束事の上に構築されています。

インターネットというのは、DNSBGPTCP / IPHTTPなどの公開標準(オープン・スタンダード)によって成立しています。これらは保護され、強化される必要があります。というのも、クローズドなシステムによる機構を許してしまうと、暗黒時代に逆戻りするという危険が存在しているからです。

われわれと同じ規模のどの企業より、わたしたちが率先して公開標準のために戦っているのには、理由があります。わたしたちがイニシアチブをとっているいくつかのオープン・インターネットについて、さっと確認しておきましょう。

決済

インターネットが最初にできたとき、eコマースの機能は構成要素として考えられていませんでした。最初のブラウザには「戻る」ボタンと「次へ」ボタンがありましたが、「支払う」ボタンはなかったのです。

2016年、わたしたちは W3CWeb Payment Working Groupに創設メンバーとして加わりました。目的は、ウェブ全体にわたるペイメントアクションの標準化に積極的に関与することと、それがチェックアウトのコンバージョンに与える影響をテストすることでした。この新しいペイメントの仕様により、どんなブラウザであってもユーザーはデバイス上で安全な支払い方法を使うことができるようになります。

Payment Request API1.0バージョンのリリースはまもなくの見込みで、メジャーなブラウザで利用できます。もしあなたのブラウザでこの支払いボタンを見ることがあったら、Shopifyが実現に取り組んだことを思い出してください。

3Dモデル

今後、3Dモデルはインターネット上の画像に取って変わるでしょう。ただし、それを完全に受け入れるには、処理速度が最適化されたファイルフォーマットが必要です。また、関連する多様な情報をいかに効率的に保存するか、その方法も求められています。通常の商品画像であれば、商品のバリエーションの画像を追加してもコストはかかりませんが、大量の幾何データ、シーン、マテリアルなどを含んだ大規模な3Dモデルでは、そうはいきません。

だからこそわたしたちは、著名な公開標準団体であるKhronos Groupsと協力し、eコマースのためにウェブで利用できる3Dコンテンツの進化と展開に取り組んでいます。みなさんは、すでにこれを見ることができます。現在、Appleが取り上げた優れた3Dモデルを使用したストア例6店舗中5店舗が、Shopifyストアです。

これらは、オープン・インターネットのためにわたしたちが投資している2つの例に過ぎません。そして今後も、事業者とパートナーのために、インターネットをオープンにする取り組みに対して投資と献身をしていくつもりです。

2. セキュリティとプライバシー

次に、セキュリティとプライバシーについてわたしたちが何をしているかを見てみましょう。シルクロードに盗賊がいたように、今日の事業者や消費者には、気をつけなければいけない脅威が存在します。オープンな商業ネットワークを成功させるには、それを事業者とパートナーが信頼できなければなりません。顧客およびデータと事業者との関係性は、取引のプロセス全体を通して完全なかたちで保護されなければならず、そのような保護策の提供こそが、わたしたちの役割なのです。

Shopifyでは、事業者のデータは事業者に属します。それは彼らの国家機密であり、ビジネス上のアドバンテージです。事業者はデータとそれにアクセスできる人を明示的にコントールできます。

事業者のデータは事業者に属します。

事業者はまた、自らのセキュリティにおいて重要な役割を果たします。わたしたちはプラットフォーム上に事業者の安全を確保するためのツールとサポートを用意していますが、それを使うのは彼らです。Shopifyストアのセキュリティは、作業スタッフや使用アプリなど、ストアに影響を与えられる物事の総和です。生活の安全のために注意深く意思決定をすることは、事業者の仕事の一面といえます。

事業者が利益を守るのを助けるために、わたしたちが取り組んでいるツールのいくつかが、こちらです。

アイデンティティ

事業者のデータに対する大きな脅威の1つが、パスワード侵害やフィッシングなどの不正アクセスです。情報を盗むための悪意あるメールを、人は平均して月に16通受け取っています。多くの場合、パスワードは、悪意あるユーザーとあなたのビジネスの銀行アカウントの間にある唯一の砦です。

先日、われわれのプラットフォームのセキュリティ強化の一環として、新しいID管理方法がスタートしました。事業者とパートナーは今後、1つのアカウント、1つのパスワード、そして1つのセキュリティ設定をもつことができ、それがすべてのショップとプロパティにデフォルトで適用されます。

このID管理には、W3Cが作成した新しいウェブ認証APIのサポートも含まれています。これにより、Windows HelloAppleTouch IDなど、デバイスに組み込まれた強力な認証システムとわたしたちのサーバーとの統合が可能になります。

ID管理は現在すべてのショップに展開されています。複数のログインアカウントを所有している場合は、アカウントを簡単に統合することができます。この機会に、アカウントをより安全にするために2段階認証もオンにしておきましょう。

Shopifyパートナーとセキュリティ

パートナーもまた、セキュリティとプライバシーに重要な役割を果たします。

昨年、わたしたちはさまざまなwebhookとデータ削除リクエストを開発し、データ所有とプライバシーに関するサポートを追加しました。わたしたちはとくにビジネス情報とその認証スコープに関して透明性を実現し、事業者はオプトインしているものやアプリに使われているデータなどを知ることができます。アプリをランク付けして監視することで、アプリ管理者が事業者の代わりに収集しているデータの取り扱いや実装がきちんとされているかを確認しています。

セキュリティを真剣に考えることで、事業者のデータの安全は確保されます。

セキュリティハッカー

わたしたちは毎日、約100億件のイベントを処理し、10PBのデータを保護しています。これができるのは、わたしたちが信頼という土台に基づいた商品開発の重要性を理解しているからです。

みなさんがわたしたちのセキュリティに関する発言をそのまま受け取るとは思っていません。わたしたちは、世界中のセキュリティハッカーコミュニティにおいてShopifyが人気の対象となるような投資をおこなってきました。われわれの世界的なプログラムに参加しているセキュリティリサーチャーのネットワークは約3,000人規模となっていて、わたしたちは100万ドル以上の報奨金を提供しています。

しかし、まだやるべきことがあります。次は、プラットフォームのメタフィールドへの投資を増加します。アプリがデータや個人を特定できる情報を一切保存しないように、簡単にできるようにしたいと考えています。今後のニュースをお楽しみに。

以上は、プラットフォームのセキュリティについて改善とイノベーションを続けている例のほんの一部です。

3. 拡張性

シルクロードの成功の1つが、多様な商品でした。膨大な商品を買い手は手に入れることができました。同じように、Shopifyの個々のストアは多彩な商品を扱っていて、事業者はそれぞれユニークなものを提供します。

あなたがShopifyでネットショップを構築するとき、さまざまな体験を可能とするツールをわたしたちは用意しています。このクリエイティビティのカギとなるのが、Shopifyで利用可能なAPIと拡張機能です。

5年前のエコシステムでは、Shopifyのプロダクトを強化するAPIとアプリのためのAPIは異なっていました。Shopify用のAPI、そしてアプリ用のAPIがあったのです。その時代は過ぎ去り、現在のプロダクトは、アプリを構成するのと同じGraphQL APIによって動いています。また以前には、機能の追加時とAPIがそれを動かすときの間でラグが生じていましたが、現在ではAPIはプロダクトと一緒に提供されます。実際、新しいShopify POSはコア機能がアプリによって構築されています。

4. グローバルなインフラ

グローバルなインフラは、シルクロードにおける重要な構成要素でした。その規模によって広大な地域を貿易圏に巻き込むことができ、2,000年もの間繁栄したおもな理由でもありました。わたしたちがグローバルなインフラを高く評価している理由の1つがここにあります。

Shopifyの覆いを取り外してみれば、グローバルなスケールと国際化を念頭において設計されたインフラが見えてくるでしょう。Shopifyでビジネスを始める人は、越境販売というグローバルハイウェイに接続できます。世界銀行のデータは、グローバルな取引の重要な成長度を示していて、われわれのプラットフォームにおいても同様の傾向が見られます。主要英語圏マーケット以外のShopifyマーチャントによる越境販売は、過去3年で500%成長しています。この勢いをキープするために、わたしたちはグローバルスケールの投資を続けていきます。


Shopifyのグローバルなインフラ

今年、ショップと購入者をつなぐ世界中のShopifyPOPPoints Of Presence)を2から180に拡大しました。上の画像の青い点がそれです。北米以外の地域では、購入者と事業者の待ち時間がPOPによって約50%短縮されました。また北米にはコンピュータリージョンが2つあり、わたしたちは今後18ヶ月で4つの新しいリージョンを追加する予定です。サーバーを購入者に近づけることで、より高速なカスタマーエクスペリエンスを生み出しています。

スケーリングについて

グローバルに展開することで、スケールも変化していきます。この例を詳しく確認するために、20181017日のカナダにズームインしてみましょう。この日、カナダでは95年に及ぶ大麻禁止法が終わりを告げました。Shopifyは政府や全国の認可販売業者と協力して、この新しい業界における安全で信頼性が高くスケール可能なeコマースプラットフォームを提供しました。

この日に何が起こったと思いますか?


20181017日のカナダからのトラフィック

真夜中にドアが開くと、カナダ地域のトラフィックが上昇し、明らかなピークに達しました。しかし俯瞰してみると、これらのことがShopifyプラットフォーム全体に与える影響がわかります。

20181017日の全体のトラフィック

これは、同日のShopify全体におけるトラフィックです。単位は千(K)から百万(M)に変わっています。カナダからのトラフィックは埋もれてほとんどわかりません。これが、われわれのプラットフォームで起こっている商取引の規模です。

とはいえ、これは一例に過ぎません。ほかの観点で見てみましょう。

ビジネスを始めたばかりの事業者のほとんどは、平均して11件の注文を得ます。事業者が勢いに乗り始めると、1日の平均注文件数は520件ほどになります。カナダで大麻が合法化された日、大麻の1分あたりの平均注文件数は100件でした。大量の注文です。しかし、これをフラッシュセールをおこなっているほかの事業者と比較してみましょう。

1分あたりの平均注文件数の比較。左から、新規事業者、取引が増加している事業者、解禁日の大麻の販売、フラッシュセール事業者、2018年のブラックフライデー・サイバーマンデー時のプラットフォーム全体。

上の画像では、フラッシュセール事業者の注文が1分間で8,000件発生していることが示されています。これは、2018年のブラックフライデー・サイバーマンデー時のプラットフォーム全体での平均値とほぼ同じ規模です。

このことを少し考えてみてください。始まったばかりの企業も、IPOに向かっている企業も、全国的な禁止令を終わらせた政府も、同じテクノロジー、同じプラットフォームにアクセスできるということを、このチャートは示しているのです。

スピードについて

重要なのはスケールだけではありません。スピードも同様に大切です。ここ数年、わたしたちはShopifyの高速化に取り組んできました。プラットフォームのパフォーマンス向上や、投資に関する大きな変更など、やるべきことはつねにあります。

新しいグローバルPOPによる遅延対策のほかにも、わたしたちは最近、大きなパフォーマンス上の達成をしました。

画像処理

1つめは、画像処理方法のアップグレードです。すべての事業者はWebPファイルをまもなく使用することができます。ファイルサイズが30%削減され、そのためネットショップの読み込み時間が速くなります。

新たなLiquidレンダリング

また、ラボではまったく新しいレンダリング処理が走っており、いくつかのショップで実装されています。これは、Liquidテンプレートを取得してストアを生成するLiquidエンジンの再構築です。

Shopifyのテーマは、すぐ使えるようにスピードに最適化されていますが、拡張して複雑になるにつれ、レンダリングエンジンのパフォーマンス向上が必要となります。新しいバージョンは、現行レンダリングの7倍高速です。今年後半にこれが実用化されると、すべての事業者はページ読み込み速度において大きなインパクトを体感できるでしょう。

パフォーマンス・ダッシュボード

Shopifyパートナーはショップの高速化に重要な役割を担います。

わたしたちは、パートナーが事業者や購入者の体験をカスタマイズするために必要な柔軟性とパワーを提供します。大きな力には、責任がともないます。まもなく、パートナーダッシュボードに、サイトのスピードランクが表示されます。これにより、パートナーはプラットフォームを高速化する方法について明確に可視化でき、説明責任を果たすことができます。わたしたちはプラットフォーム全体のパフォーマンスデータを収集し、パートナーが活用できるようにします。

こう聞くと不安になるかもしれませんが、われわれは団結して、事業者のために高速なウェブ体験をつねに届けていく必要があります。プラットフォームの改良は、すべての人に無料で継続的に提供されます。しかし、パートナーとして管理する領域のパフォーマンス改善には、パートナーの協力が欠かせないのです。

まとめ ー あらゆるビジネスのための仕組み

たくさんの情報が出てきましたね。重要なポイントをまとめておきましょう。

わたしたちは、

W3CKhronos Groupと協力して、オープン・インターネットを維持します。

ID管理システムのリリースや、大規模なリサーチコミュニティへの投資を通じて、事業者やパートナーのためにセキュリティとプライバシーに関する投資をおこなっています。

APIとそこから生まれる機会創造に長期的な視点で注力します。

・グローバルなインフラ全体の拡張性とスピードに投資しています。

そして、規模を問わずあらゆる企業のために、引き続きサービスを提供していきます。 

原文:Jean-Michel Lemieux 翻訳:深津望

 

Shopifyパートナープログラムでビジネスを成長させる
マーケティング、カスタマイズ、またはWebデザインや開発など提供するサービスに関係なく、Shopifyパートナープログラムはあなたを成功へと導きます。プログラムの参加は無料で、収益分配の機会が得られ、ビジネスを成長させる豊富なツールにアクセスできます。情熱的なコマースコミュニティに今すぐ参加しましょう!

今すぐ登録
トピック: