ec-cubeはECサイトを独力で開発するECパッケージとしては、日本で一番普及しているオープンソースです。しかも、そのECとしてのインターフェースや機能はECの基本要件を全て満たしており、さらにオープンソースなので、プラグインを開発したり、カスタマイズも可能です。
しかし、オープンソースがゆえにセキュリティの脆弱性が指摘され、特に企業でec-cubeを採用するには、厳しい時代となりました。今はASPやカスタマイズ可能なクラウドECの時代です。コンプライアンスやセキュリティーが企業でこれほど重要視されている時代はかつてありませんでした。
2021年5月にもクレジットカード情報の漏洩につながる大きな脆弱性が、EC-CUBEより発表がありました。本当に注意が必要です。
そんな中で、ec-cubeは個人や企業で使うべきなのか?詳しく解説してまいります。
ec-cubeはASPですか?パッケージですか?
まず、ec-cubeはオープンソースのパッケージです。つまりサーバーを構築、もしくはレンタルし、そのサーバーにec-cubeをインストールする必要があります。レンタルサーバーなら、ec-cubeの「クイックインストール」というものがあり、ボタン一つでインストールすることができます。
このように、パッケージ製品はサーバーを用意し、インストールする必要があるのです。
それに対してASPサービスとはクラウドのECシステムです。クラウドの管理画面でECサイトを設定していきますので、サーバーはASPサービスの会社が持つので、利用する個人や企業はサーバーを用意する必要がありません。
個人でECサイトをはじめるので、有名な会社「BASE」や「STORES」です。それこそ最短30分もあれば簡単なECサイトを構築することが可能です。
ただし、2019年にec-cubeから「ec-cube.co」というSaaSのプランが発売されました。こちらはオープンソースというよりはASPサービスと同様な形をとっており、オープンソースに必要な「ソフトウェアのメンテナンス」や「サーバー保守」が不要なサービスです。
この記事ではオープンソースのec-cubeについて取り上げていますので、ec-cube.coについては下記の公式ホームページをご覧ください。
ec-cubeは無料というけど?実は費用はかかります。
ec-cubeはオープンソースなので、ライセンス費用はかかりません。しかしサーバーは自分で用意しなくてはいけませんので、サーバー代がかかります。個人でECサイトをつくる場合は、月間数百円~数千円というコストが必要になります。
企業でec-cubeをベースにECサイトを構築するときも同様にサーバー代がかかります。自社でサーバーを持っていないのなら、レンタルサーバーで、個人と同様に借りる事も可能ですが、昨今のセキュリティーが重要視される時代ですから、レンタルサーバーに個人情報を置くのは、会社としては厳しいでしょう。
ですから、会社でサーバー環境がない企業は、新たにセキュア環境のサーバー環境を構築する必要があります。ですので初期費用として数百万円はかかるのです。
ですからec-cubeは無料ですが、ec-cubeを使ってECサイトを作るということは必ずしも無料ではなく、サーバー代を考える必要があります。
個人でECサイトの開業にec-cubeを使うメリットは?
まずec-cubeはパッケージで標準機能でECに必要な機能を実装してありますが、高いITリテラシーを求められます。ですから、自分自身で技術力がある方で、カスタマイズができる方には向いていますが、そうでない方はec-cubeを使うメリットは少ないでしょう。
なぜなら今はBASE(ベイス)のような、無料ではじめられるASPサービスがあるからです。無料と言っても、ECのフロント機能は十分な機能がありますし、決済もBASEが代行して、決済会社と契約済みなので、BASEを導入して、簡単な設定を終わらせれば、それこそ最短30分で、誰でもECサイト開業できます。必要なITリテラシーは“アメブロ”のようなものが作れる程度のリテラシーがあれば作れます。
個人においてはECサイトが成功するかどうかは、プラットフォームにあるのではなく、マーケティングや運営の成否です。BASEやMakeShopのようなASPサービスを使ったほうがECサイトの構築は簡単です。
ですから、個人ではec-cubeを使うメリットとは、様々な機能を自分でカスタマイズできる点ですので、ec-cubeをカスタマイズ可能なレベルの方でなければ享受できません。また、ec-cubeですとサーバーの用意も必要となるので、そういった面からも、クラウドサービスのASPが断然いいでしょう。
企業のECサイトでec-cubeを採用するのは?
オープンソースが流行っていた、ひと昔前ならいいのですが、企業が現在最も気を遣わなければならないポイントはセキュリティーです。ec-cubeを採用できる企業とは、ec-cubeの脆弱性のリスクを抱えることができるのは技術力がある会社に限られます。
自社でそのリスク(脆弱性)を抱えることができないのであれば、他社パッケージベンダーやASPサービスを検討しましょう。
ただここにも気を付ける点があります。ec-cube以外のパッケージを導入したつもりが、実はec-cubeベースという事があります。当然そのベンダーから「ec-cubeをベースに作っています」という説明は受けていると思いますが、「ベンダーがec-cubeを再開発したなら大丈夫だろう」と思っていても実は、その脆弱性は抱えたままです。
なぜなら、ec-cube本体に大きな脆弱性が発見され、それをベースに作ったパッケージ製品が障害を被った場合、そのベンダーは責任をとりません。なぜならそういう場合に責任をとらない契約になっているからです。
その背景には、ベンダーもそのリスクを事前に知っているため、ec-cube本体のバグに関しては責任をとらないような契約になっており、ほとんどの事業者はその事実をよくわからないまま、契約して、後程トラブルになる事が多いのです。
つまり、ec-cubeを採用できる企業の条件とは、技術力があり、自社で全て責任をとることができる会社です。そういった企業であれば、ライセンス費用はかかりませんし、フルスクラッチで開発するより、すでに必要な機能が実装されているec-cubeを使えば、コストを安く開発することができます。
ec-cubeの脆弱性
経済産業省から、古いバージョンのec-cubeは危険というお達しもついに出ました。
下記リンクの記事の通り、クロスサイトスクリプティング脆弱性を悪用したクレジットカード情報の流出が確認されたようです。上場企業であれば、致命的な脆弱性となります。
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24)
同じくオープンソースのCMSである「WordPress」も世界中でサイト改ざん事例が多数あります。オープンソースにとっては、こういったリスクは切っても切れない宿命と言えます。そのため、バージョンやプラグインをしっかり更新して、サーバーはセキュリティに定評があるものを使うことが最低条件となってきます。
もし、EC-CUBEを導入している会社でしたら、EC-CUBE公式Twitterなどをフォローして最新の情報を仕入れた方が良いでしょう。
ec-cubeのまとめ
ec-cubeは無料で、カスタマイズ可能であり、間違いなく国内で一番利用されている実績があるECパッケージシステムです。しかし、ソフトウェア業界では、オープンソースのその脆弱性が問題視されており、時代に合わなくなってきております。下記のフラグをみてください。下記はGoogleトレンドで調べたec-cubeの検索需要のグラフです。
ec-cubeと検索した人のボリューム推移
このグラフを見ればわかるとおり、オープンソースの流行は終わり、年々検索される数も減ってきております。そしてもう一つの落ち込みの理由は、ASP等の他社サービスの普及です。
ASPやカスタマイズ可能なクラウドEC
現在はクラウドシステムの時代です。ASPサービスなども、昔とは違いECのフロント機能はパッケージに見劣りしません。またECのバックエンドは、無理にカスタマイズして自社にあわすよりも、自社のワークフローをASPに合わすとよいでしょう。特に日本企業は独自のフローに、システムを合わせたがる傾向が強いのですが、フローをシステムにあわすべきです。
そうすることができれば、ASPはコストが安く最良のシステムになるからです。
最後に、導入に手軽さと、機能性と拡張性が今後も向上していくことで、ASPサービスやカスタマイズ可能なクラウドECパッケージが今後はシェアを伸ばしていくでしょうが、ec-cubeもライセンス費用が無料で、プラグインも豊富であり、今後も一定のシェアは保っていくと予想します。
おすすめ記事!【ECパッケージ徹底比較】年商10億円以上に最適なECパッケージは?