Magento1かMagento2か

昨年Magento2がリリースされ2016年11月現在Magento2.1.2がリリースされており、Magento2正式リリースから1年が経過しました。
しかしMagento2のリリース前よりMagentoでECサイトを運営されている弊社のお客様は、Magento2へアップグレードされることなく現在も利用されており、また新規のお客様においても、Magento2の存在を知っていたとしても、結局はMagento1を採用されています。

その理由についていくつか挙げてみます。

Magento2リリース前よりMagento1を利用されているケース

  • Magento1の商品データ等は公式で公開されているスクリプトを用いてMagento2に移行できるが、エクステンション、テーマ、Magento1用にカスタマイズした内容を継承できない。
  • 同機能を提供するMagento2用のエクステンションが使用するデータをMagento2に移行できない。
  • Magento2にアップグレードするメリットがない。

以上のような理由からMagento1を継続利用されるに至っています。これはMagento2のアーキテクチャが根本的に変えられたことで何もかもがアップグレードできない状態でMagento2がリリースされたことに起因しています。
それでもMagento1からMagento2に移行しようとした場合、Magento2を一から構築してさらにデータ移行、ライセンス形態によってはテーマやエクステンションの買い直しなどが発生し、Magentoを初期構築するよりも高い費用が発生するケースが殆どになると思います。このためMagento2にアップグレードする人がいないというのが現状と考えています。


新規でMagento2の導入を検討されているケース

Magento2の存在を知っている状態でMagentoのECサイト構築のご相談をされるお客様が多数いらっしゃいます。(弊社はMagento構築専門の会社ですので、最近はECサイト構築したい、というご要望よりも、MagentoでECサイトを構築したいというお客様の引き合いが多い傾向となってきました。)
しかしそれでも結局はMagento1を現在も採用され新規のECサイト運営を始めるケースばかりです。

Magento1系のサポートは、2018年11月に打ち切られるとわかっていながらも、Magento1を採用されるのは以下のような理由が考えられます。

  • 実現したい機能をエクステンションで実現できず開発になってしまう。
  • テーマが少ない。
  • 採用したい決済代行会社のモジュールが提供されていない。

さらに当社の見解も付け加えると、

  • 機能の充実度合いに関してMagento1とMagento2で大差がない。
  • 日本語化に課題がある。
  • エクステンションが少ないため、(他のECプラットフォームのソフトウェアのように)カスタマイズ前提で、やっと欲しいECサイトを手にすることが出来る。つまりMagento+エクステンションで実現できていた幅広い機能要件を吸収できなくなっている。

以上のような感じでしょうか。
つまりMagento2を採用することは、多くの要望が求められるサイトにおいてはMagentoの良さを引き出せない状態になっていると言えると思います。


今後Magento1を使っていくには

とはいえ、サポートが打ち切られるということはセキュリティパッチの提供も打ち切られるため、その後に発覚する新たなセキュリティ上の教に対する対抗手段が提供されないということです。ECサイトは個人情報を取り扱うだけでなく金銭も取り扱う、非常にセンシティブなデータを持つ宿命にあるため、高いセキュリティを保持することは大変重要であり、対策は不可欠です。

そのタイミングでMagento2へ行こうしなければならないならはじめからMagento2を採用しておいたほうがいいのかと通常考えられるかもしれませんが、MagentoのようなWebアプリケーションをセキュリティの脅威から守る手段は、必ずしもセキュリティパッチの適用を行うことだけではないと考えています。

その具体的な方法ですが、Webアプリケーションを守る専用の機器またはサービスにあたる、WAF(Webアプリケーションファイアウォール)を利用し、WAFの状態を最新にしておくことが上げられます。特にMagentoは世界で最もシェアの高いECサイト構築用のソフトウェアですから、Magentoを守るための専用のルールセットが定義されたようなWAFを提供するサービスが海外には多数あり、これを利用することが、コスト面・安全面の療法において大変効果的であると考えています。

Magento1のセキュリティパッチ公開がされなくなる直前に導入される事も一つの方針として考えてもいいかと思いますが、海外のサービスであれば日本国内のそれとは異なり大幅に低コストで導入が可能で、今の段階でセキュリティを高く保持しておきつつ、サーバの負荷も軽減でき、表示の高速化も可能になるかもしれないという点をメリットとして考えた場合、今すぐに導入されてもいいのではないかと思うところになります。
(WASの機器や日本国内のWAFサービスを導入するとなると、Magentoの仕様に対するルール設定や使用料金、聞き購入費用などが大きくかさみ、導入に踏み切れないケースもあると思いますが、海外のWAFを提供するサービスは月額US20$程度ですぐに利用できるものなどもあります。)

それでもセキュリティにおいて完璧というものはないため破られてしまうことは可能性としては存在します。そのときに、どんな対策を行っていたかということが重要となり、例えばセキュリティパッチがでていたにも関わらず適用していなかった、またはサポートが打ち切られているにも関わらず対策をしていなかったということになると問題が更に大きくなってしまいますので、常に対策しなければいけないのはもはや仕方のないことなのかと思います。

(こういったセキュリティ云々の話は、Windows XPのサポート切れ問題しかり、脅し商売のようで私自身嫌いなのですが、ECサイトはインターネットを経由して世界中からアクセスできるという性質上、最も攻撃を受けやすい対象になるためこればかりは仕方ないとしか言わざるを得ません。。。)

最後に、
Magento用にサービスされている海外のWAF導入のサポートも行いますので、ご興味がございますようでしたら、store @ digital-free.net宛にメール頂くか、こちらのお問い合わせフォームからお問い合わせ下さい。