プラグインユーザー向けの移行ガイド

この移行の適用対象は誰ですか?

サードパーティーシステムとの連携の認証に Stripe のシークレット API キーを利用している加盟店が対象です。このような連携を一般にプラグインといいますが、他の名前で呼ばれることもあります。Stripe では、ユーザーがシークレット API キーを利用して認証しなければならないサードパーティーソリューションと Stripe との連携をプラグインといいます。プラグインは通常、ユーザーの代理で Stripe API イベントに反応するか、API コールを行うことで、Stripe API とやり取りします。多くの場合はプラグイン側でコードを実行し、Stripe と他のソフトウェアの間で (Wordpress で決済を受け付けるなどの) やり取りができるようにしますが、他の形 (オープンソースのライブラリなど) でやり取りする場合もあります。

変更点とその理由は何ですか?

Stripe は、プラグイン開発者とプラグインユーザーのセキュリティ要件を高めています。シークレット API キーはあらゆる種類の API リクエストに制限なしで利用できるため、サードパーティーにユーザーの Stripe アカウントへの全アクセス権を与えてしまいます。シークレット API キーは、ユーザー名とパスワードなどのアカウント認証情報の一形態です。不正行為者がシークレットキーを取得すると、それを使用して加盟店のビジネスや Stripe エコシステム内の他の関係者に損害を与える可能性があります。Stripe ユーザーには、シークレット API キーを安全に保管する責任があります。Stripe では、シークレット API キーが保護されるようにさまざまな予防措置を取っています。

ほとんどのプラグインには、全アクセス権は必要なく、限られたアクセス権で十分です。今日の世界では、ユーザーがアカウントの認証情報をサードパーティーのプラットフォームに手動でコピーしなければならない場面でリスクが発生します。ユーザー、開発者、そして Stripe にとっての不正利用のリスクを減らすために、Stripe は、プラグイン認証に制限付きの API キーまたは OAuth を利用するよう開発者に義務付けるようになります。

2024 年 1 月 1 日に、Stripe は制限付きの API キーOAuth 2.0 による認証のサポートを Stripe Apps に追加し、Stripe エコシステム内でのプラグインのセキュリティを高めました。このセキュリティ更新は、Stripe の最新のセキュリティ標準に準拠するのに役立つと同時に、サードパーティーシステムとの連携を利用している加盟店が自身のビジネスとデータを今まで以上にコントロールできるようになります。

この変更はいつ行われるのですか?

2024 年 9 月 30 日付けで Stripe は、不正利用からユーザーを保護するために、すべてのプラグイン開発者に新しい安全な認証方法 (制限付きの API キーOAuth 2.0、または Stripe Connect) の採用を義務付けます。既存のプラグインと新規プラグインの開発者は、この新しい安全な認証方法のいずれかを使用しなければなりません。Stripe アプリを介して制限付きの API キーまたは OAuth 2.0 を使用する場合、Stripe App Marketplace にアプリを公開する前に Stripe によるレビューと承認を受ける必要があります。

2024 年 10 月 29 日付けで Stripe は、プラグインを利用しているすべての加盟店に対し、制限付きの API キーまたは OAuth 2.0 を利用した認証を使用して接続のセキュリティをアップグレードすることの義務付けを開始します。これは予定されたアップグレードであり、Stripe とサードパーティーシステムとの連携の全体的なセキュリティを強化し、Stripe の最新の基準に従うためのものです。Stripe は、このセキュリティ要件に従わない事業者に対し、2025 年 6 月から手数料を徴収する予定です。

制限付きの API キーまたは OAuth を使用するのはなぜですか?

セキュリティとコントロールを強化するためには、サードパーティーサービスとの連携を認証する際にシークレットキーの代わりに制限付きの API キーまたは OAuth 2.0 を使用することが不可欠です。制限付きの API キーは、事業者がサードパーティーに許可する権限を厳密に制御できるようにし、サードパーティーサービスが必要なデータと操作のみにアクセスできるようにすることで、セキュリティを強化します。OAuth 2.0 は、事業者がサードパーティーとの統合用に提供するトークン化されたワンクリックの認証方式です。制限付きの API キーと同様に、OAuth 2.0 はサードパーティーに許可する権限をこれまで以上にコントロールおよび保護できるようにします。これらの方法は、不正アクセスと不正利用に対する保護を強化するだけでなく、処理を効率化して、連携がより効率的かつ信頼できる形で行われるようにします。

Stripe Apps とセキュアな認証

2024 年 1 月 1 日に Stripe は、プラグインの認証をより簡単でセキュアにするための追加機能を Stripe Apps に導入しました。Stripe Apps では、システム間でシームレスにデータが同期され、認証をシンプルに行うことができます。必要に応じて、関連する UI を Stripe ダッシュボードに表示することもできます。すべての新規プラグインと既存のプラグインは Stripe アプリを利用して OAuth 2.0 または制限付きの API キーによる認証を構築しなければなりません。すべての Stripe Apps は、権限が正しく処理されていることについてのレビュー実施後に Stripe App Marketplace に公開されます。サードパーティー製のアプリをインストール手順に従ってインストールすることで、アプリによる Stripe データへのアクセスが、必要な部分のみに制限されます。

OAuth による認証

OAuth による認証

RAK による認証

RAK による認証

加盟店が自分でセキュリティ更新を行う方法

プラグイン開発者が Stripe アプリを更新していない場合、プラグインユーザーは、サードパーティーとの連携用の制限付きの API キーの生成を自分で行うことができます。新しいキーを設定して連携させるには、以下の手順に従ってください。

  1. Stripe ダッシュボードで API キーセクションに移動します。
  2. 制限付きのキーを新たに作成するか、既存のキーのコピーを作成します。
    1. ゼロから作成する場合は、「制限付きのキーを作成」をクリックします。デフォルトでは、すべての権限が「なし」に設定されています。
    2. コピー元となるキーのオプションから「キーの複製」を選択します。新しいキーには、コピー元のキーの権限がデフォルトで予め設定されています。
  3. 利用しているプラグインが明確にわかるような名前をキー名として指定します。たとえば、rocketrides.com を利用している場合は、「RocketRides Restricted Key」のような名前を付けます。
  4. 各リソースの権限を、「なし」、「読み取り」、「書き込み」から選んで調整します。Stripe Connect を利用している場合は、連結アカウントの権限を指定します。
  5. 「キーを作成」をクリックして、制限付きの API キーを新たに生成します。
  6. メールまたは SMS でアクションを確認し、自分用のコードを入力してプロセスを確定します。
  7. 新たに表示されたキーの値をコピーします。コピーできる機会はここだけですので、ご注意ください。
  8. このキーを保存した場所を書き留めて、「完了」をクリックします。

上記の手順を実行することで、サードパーティーサービスと安全に連携し、Stripe の機能を最大限に活用することができます。

新しい API キーの作成プロセス

ユーザーによっては、API キーの作成プロセスが異なる場合があります。該当する場合は、以下の手順に従ってください。

  1. ダッシュボードで API キーセクションに移動します。
  2. 「制限付きのキーを作成」をクリックします。
  3. 「このキーを別のウェブサイトに提供」を選択し、「続行」をクリックします。
  4. サードパーティーのアプリケーションまたはプラグインの名前と URL を入力します。
  5. 特に指示がない限り、「このキーに対する権限をカスタマイズする」のチェックは外したままにします。
  6. 「制限付きのキーを作成」をクリックします。
  7. メールまたは SMS でアクションを確認し、自分用のコードを入力してプロセスを確定します。
  8. 新たに表示されたキーの値をコピーします。
  9. サードパーティーの設定の該当するフィールドにキーを入力して、連携させます。

Stripe Connect アカウント登録を利用した再認証

代替策として、Stripe Connect アカウント登録を利用して、プラグインから Stripe アカウントに接続することもできます。その方法が提供されている場合、手順は次のとおりです。

  1. Stripe アカウントとリンクさせるプラグインのウェブサイトまたはダッシュボードに移動します。
  2. 決済または統合のセクションを探します。「Connect with Stripe (Stripe との連結)」というオプションを見つけてください。
  3. 「Connect with Stripe (Stripe との連結)」ボタンをクリックします。セキュアな Stripe ログインページにリダイレクトされます。
  4. 自身の認証情報を使用して Stripe アカウントにサインインします。
  5. プラグインに許可する権限が表示された場合は、内容を確認します。この Stripe アカウントでプラグインが実行できることの概要が記載されています。
  6. 「Authorize access (アクセスを承認する)」をクリックして、プラグインにアクセスを許可します。
  7. 承認後、このプラグインが Stripe アカウントに連結されたことを確認するメッセージが表示されます。
  8. 最後に、プラグインのサイトまたはダッシュボードにリダイレクトされます。

WooCommerce の Stripe プラグインを更新する

Stripe と WooCommerce は、両社のお客様が強化されたセキュリティ対策と、WooCommerce の Stripe プラグインの最新機能 (後払いなど) を利用できるように、協力して取り組んでいます。

WooCommerce の Stripe プラグインのすべてのユーザーは、2024 年 10 月 29 日までに以下を完了する必要があります。

  1. WooCommerce の Stripe プラグインを最新のバージョン 8.6.1 に更新する。
  2. サイトから Stripe プラットフォームへの接続を再度認証する。
  3. 新しい決済機能を有効にする。

WooCommerce の Stripe プラグインユーザーの一部は、Sources API を使用して決済手段を受け付けていますが、この古い連携方法は今後利用できなくなります。顧客側で不具合が発生するのを避け、決済を引き続き安全な方法で受け付けるために、2024 年 10 月 29 日までに上記の手順を完了する必要があります。

WooCommerce のドキュメントをご覧になり、手順を実行してください。また、WooCommerce は、WooCommerce の Stripe プラグインに関するよくあるご質問に対する回答を公開サポートフォーラムにピン留めされた投稿として公開しています。