ec-cubeは2008年あたりから、世間で盛り上がってきました。そして2008年~2010年にオープンソースブームが来て、その波に乗って成長した感じがあります。
ec-cubuはロックオン社(現在はイルグルム社という社名)が開発した日本で最も有名なECオープンソースのパッケージです。(正確には株式会社イーシーキューブで、ロックオン社から分社化しちゃってました。。いろいろあったみたいですね。)
オープンソースですから、導入した企業にはライセンス費用がかからず、一見すると導入コスト負担が軽くメリットがあると言われております。しかしec-cubeを導入する企業は下記の要件を満たさないで導入すると、面倒な事になりかねません。
■ec-cubeを導入する企業に必要な要件
要件1:オープンソースを本当の意味で理解している。
要件2:社内の技術力に自信があり、障害や問題に対しても自社で完全に対応できる。
なぜならオープンソースにはEC初心者が気づかない大きな落とし穴があるからです。
本日はEC業界に10年いた筆者がec-cubeについて解説しますが、趣味で書いているブログなので間違っていたらごめんなさい!
ec-cubeはオープンソースなのにどうやって収益を得ているのか?
ec-cubeは無料で一般公開されいるのに、どうやって収益を得いているのでしょうか?株式会社イーシーキューブの親会社のイルグルム社のIR情報によると
・マーケティングプラットフォーム事業
・商流プラットフォーム事業
の2つ事業があります。ここから筆者の推論も混じりますが、どのように収益を得ているか解説いたします。
マーケティングプラットフォーム事業
イルグルム社はec-cubeだけでなく、アドエビスというWEB流入解析ソフトも有名です。というか、イルグルム社にとってはアドエビスの方が主力事業です。
アドエビスの方は、売上が下がっているものの、有望な子会社を買収し、その分売上が伸びております。
商流プラットフォーム事業
商流プラットフォーム事業とは主にイルグルム社の子会社が運営する「ec-cube」のことです。
ec-cubeを無料で提供していますが、国内No.1に普及しているプラットフォームのため、決済会社などのパートナーもec-cubeとの連携が必須になってきます。
そこでこれらのパートナー会社がec-cubeのオーナーズストアに登録し、パートナーはec-cube用のプラグインを開発します。
つまり決済会社などはNo.1に普及しているECプラットフォームに登録しなければ、自社の決済サービスが普及させることが難しいため、ビジネスが成り立たないのです。
このため各パートナー会社がオーナーズストアに登録し、プラグインを開発する事で、パートナー会社同士がec-cubeの中でしのぎを削って開発をするようになるのです。
そしてec-cubeは、オーナーズストアに登録料として、そのプラグインを使っている会社からのキックバックが入ってきます。つまりec-cubeにとってはサブスクリプションのような形で、収益が入ってくるのです。
こうしてec-cubeはフリーミアムの仕組みをうまく使って、ノーリスクで安定した収益を確保しています。
そして、それだけではなく自社EC支援事業者のボクブロック社を買収したことにより、今まではECサイトの導入・構築だったサービスから、ECサイト運営まで一気通貫したサービスを提供できるようになりました。
ec-cubeだけではないのですが、多くのEC構築のベンダー会社が、コンサルや運営までをビジネス領域にしており、各社しのぎを削っている印象です。
ec-cubeの良いポイントは?
ライセンスの費用がないので安価にECサイトを開発をすることが出来ます。さらにオープンソースだから技術力に自身がある場合に限り、自社で開発をする事ができます。
普通は自社で開発を検討する場合は一から作るフルスクラッチか、どこかのパッケージのライセンスを買い取るしかありませんが、ec-cubeはオープンソースなので、一からフルスクラッチでつくるより、ECサイトの必要な機能が最初から実装されているので、ゼロから作るよりは簡単に自社向けにカスタマイズをかけて開発することが可能です。
また技術力のある人だったら個人でも、カスタマイズしたECサイトを独力で立ち上げる事が可能ですし、標準機能だけでいいのなら、技術力がなくても個人でECを立ち上げる事が出来ます。
私の知り合いの会社も、内祝い専門サイトをec-cubeで構築しておりました。その会社は自社エンジニアが多かったため、開発力のある会社であればec-cubeで手軽にECサイトの導入を行うことができます。
ec-cubeの悪いポイントは?
オープンソースであるがゆえの脆弱性
ついこのあいだも、クレジットカード情報の漏洩につながる脆弱性が、ec-cubeから発表されておりました。
重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24)
オープンソースなので、プログラムコードが公開されており、どうしてセキュリティーが弱いという弱点があるのです。しかも、あまりにこんな状漏洩事件が多いもんだから、お上(経済産業省)がec-cubeの使用は気を付けろ!とのお達しがでています。
経済産業省からのお達し:株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)
ただ、こればかりはec-cubeの責任が大きいとは言い切れないところも筆者あると思います。というのも、同じくオープンソースのワードプレスも世界中でサイト改ざんがあります。しかし、そのようなサイト改ざんは、実はバージョンやプラグインをしっかり更新して、サーバーをいいやつ使えばだいたい防げます。
なのにec-cubeは最新がV4(ec-cube4)なのにいまだにV2を使ってるもんだから、改ざんされまくりなんです。ただね。。オープンソースは一度カスタマイズ入れちゃうと、バージョン新しくできないんですよね。。
ec-cubeでの問題発生時の責任の所在
ec-cubeでECシステムを運営している場合、オープンソースであるがゆえに問題が発生した場合、責任をとってくれる会社はどこにもありませんので、完全に自己責任になります。
一般的な企業であれば、この状況は辛いはずです。例えばec-cubeそのものに問題があり、個人情報の漏洩などインパクトの大きい障害があった場合は、誰も責任をとってくれません。問題が企業の責任になるという事は、ec-cubeを導入した担当者の責任につながります。
しかし、有償のパッケージであれば、同様の問題が発生した場合は、システムベンダーの責任になる可能性が高く、担当者にとってみれば、言い訳ができる状況になりますので、特に大企業のEC担当者はこの点も念頭に入れておきましょう。
またec-cubeをベースにして、カスタマイズして自社製品として販売している会社も多くありますが、実はこの問題は解決されません。その証拠は契約書をよーく見ればわかります。
ec-cubeをベースにして製品にしているシステムベンダーもec-cube本体に問題があった場合は責任は負わない契約になっているのです。だから契約する際、契約書をよーーくみると、そのような場合、システムベンダーが責任をとらないようになっているはずです。
どうして責任をとらないのでしょうか?でも、それはいたしかたないことで、ec-cubeを採用したEC企業と株式会社イーシーキューブは商契約をしておらず、株式会社イーシーキューブに責任の所在が発生しません。(株式会社イーシーキューブにとってもお金もらってないのに責任なんてあるわけないですよね?)
株式会社イーシーキューブにしてみれば、フリーで公開しているものを、勝手に採用して何か問題が起きても責任は負えないのは当然です。しかもバージョンアップによる、新しいシリーズが頻繁にリリースされるので、その時導入したec-cubeのバージョンは数年で使えないシステムになります。
なぜなら、ある時期のバージョンのec-cubeを導入すると、その後アップデートしたec-cubeにバージョンアップするのは困難な場合が多いのです。
もちろんバージョンアップのツールも提供していますが、ec-cubeを導入したある程度の規模の企業は必ずカスタマイズをしておりますから、もしカスタマイズしていた場合はそのツールも使うことはできません。
ec-cubeは約3年で新しいバージョンに移行しますが、リリース後1年くらいはバグがあり、ベータ版のようなものです。落ち着くのはリリースから1年くらいの経過を見る必要があります。
落ち着いてから導入すると、導入まで早くて半年かかります。つまりec-cubeのシステム的な寿命は逆算すると1年半程度しかないのです。リリースから3年すぎるとセキュリティーパッチの供給やサポートが完全に切れて、新しいec-cubeを入れる必要があるのです。
ではこのような問題点があるシステムをどうしてシステムベンダーは担いで販売するのでしょうか?それはライセンスが無料であるがゆえに利益率が高いのです。
導入費用が安いec-cubeですが、中長期的に考えるとコストはかえって高くつく事になります。そしてそのシワ寄せは全てユーザーに来ることになります。
ec-cube導入はどういう会社が向いてますか?
社内に信頼できる技術者がいて、自社でECを運営をしたい会社です。ライセンス費用がかからず完全に自社で完結できる技術力のある会社にはec-cubeはおすすめです。またプログラム知識などがあり、個人でec-cubeをやりたい方にも向いています。
あるいはシステム会社が「お客さんがECやりたいんらしいが、どうするか?」という場合は、ec-cubeをベースに開発することで、工数を大幅におさえることができるはずです。
なぜなら標準機能で十分にECの機能が実装されているため、ECの基本的な要件については開発する必要がないためです。実際にec-cubeをベースにして開発する会社は多いです。
ec-cubeが向いていない会社は?
残念ながら上記にあてはまらない技術力のない企業には全く向いていません。コストが安く見えるかもしれないですが、何か問題があれば全部自社にかえってきます。保守が切れてサイトをリニューアルしなくてはならずコストは長期的にみると高くつきます。
クラウド版のec-cube.coがリリース!
筆者もビックリしたのですが、2019年2月にec-cube4をベースにクラウド環境版のec-cubeがリリースされておりました。
ec-cubeのプレスリリース
昨今の流れはオープンソースからクラウドになっているために、ec-cubeも対応してきたのだと思われます。これを導入するメリットはSaaSならではの「ec-cubeの更新」や「サーバー保守」をユーザーが意識する必要がないことです。
ただし、カスタマイズが必要な中規模以上のECサイトでの導入は、従来のオープンソースバージョンのec-cubeでしか対応しておらず、年商1億円未満のECショップが主な対象となります。
また、クラウド版のec-cubeで規模をアップする場合、従来のオープンソース版のec-cubeに移行することを推奨しております。
そして、このクラウド版、なんとオリコと業務提携しており、オリコが持つ顧客網に、ec-cube.coを販売していくみたいです。筆者も実はオリコカード使っており、明細に混じってキューブのチラシが入っていたので驚きました。
2016年頃までは、クラウドECでカスタマイズできる分野はエビスマートさん一択でしたが、昨今はクラウドでカスタマイズできるプラットフォームが増えてきましたね。ビーングさんもメルカートなんてつくってましたし。ただ、言うは易く行うは難しで、クラウドとカスタマイズで相反する考え方なので、それを実現するのは、長い技術の蓄積が重要なんです。だから、クラウドでカスタマイズできる領域で、ずいぶん先行しているエビスマートのメリットはまだまだ大きいと思いますよ。
最後に
では、ec-cubeの今後はどうなるのでしょうか?
V4シリーズからは、Google AnalyticsやSNS対応、運送系プラグインではヤマト運輸 送り状発行ソフト B2や佐川急便e飛伝シリーズ対応といった感じでプロダクトのアップデートを重ねています。最新のV4.2では2023年10月から施行される「インボイス制度」にも対応しました。
しかし、どうでしょうね。。
筆者の考えですがec-cubeのプラチナパートナーであるアラタナ社でも、黒字にできず2014年5億500万円の赤字でZOZOTOWNに買収されました。。
つまり結局は赤字が解消できないまま買収されてしましました。これがすべてを物語っています。ec-cubeを担いでも儲からないのです。
その理由は保守でお金がとれないからです。ec-cubeで保守でやってしまうとオープンソースがゆえに責任はシステムベンダーは責任がとれないのです。
監視くらいはシステムベンダーも引き受けられますが、保守まで引き受けてしまうと、ec-cubeの脆弱性までかかえこむ結果となり、システムベンダーが手は出せないのです。
でも、ec-cubeの2022年の決算書を読むと、構築から保守運営までやっている、ボクブロック社を買収して、今後は構築から保守、カスタマーサクセスまでの一貫したサービスをやっていく方針みたいです。さすがに経営者も対策してますね。
オープンソースの脆弱性が騒がれはじめており、ec-cubeも2013年がピークで今では下火になってきています。コロナ禍で、キューブの売上は伸びましたが、業界全体で見るとやはりオープンソースは脆弱性が怖い面がありますからね。いくらec-cubeがバグバウンティを実施したからといって、世の中の流れを変えることは難しいかなというのが正直なところです。
ec-cubeが今後クラウドに力をいれているように、今後はクラウドベースのECプラットフォームが流行っていくのだと思いますよ。
大手ECシステムパッケージ各社徹底比較 →