ドキュメントCommerceセキュリティとコンプライアンス

[PaaS のみ]{class="badge informative" title="Adobe Commerce on Cloud プロジェクト(Adobeが管理する PaaS インフラストラクチャ)およびオンプレミスプロジェクトにのみ適用されます。"}

責任セキュリティと運用モデルの共有

Last update: Sat Mar 28 2026 00:00:00 GMT+0000 (Coordinated Universal Time)
  • トピック:

作成対象:

  • 経験者
  • 管理者
  • 開発者

Adobe Commerce on cloud infrastructureは、共通の責任セキュリティと運用モデルに依存するPaaS (Platform-as-a-Service)製品です。 これらの責任は、Adobe、マーチャント、クラウドサービスプロバイダー、コンテンツ配信ネットワーク(CDN)プロバイダー間で共有されます。 Adobe Commerceアプリケーションと、クラウドインフラストラクチャにデプロイされたマーチャント固有のコードおよび拡張機能のセキュリティと運用については、各当事者が明確な責任を負います。

この共有モデルにより、販売者は、運用上の責任とコストを最小限に抑えながら、ビジネス要件を満たす柔軟性が高く、カスタマイズ可能で、スケーラブルなソリューションを設計および導入できます。

https://video.tv.adobe.com/v/3458393/?captions=jpn&learn=on&enablevpops

一般的に、Adobeは次の責任を負います。

  • セキュアコアアプリケーションコードの開発と保守
  • プラットフォームのセキュリティの維持
  • プラットフォームがSOC 2およびPCIに準拠し、PCI準拠のテクノロジーコンポーネント(PHP、Redisなど)と互換性があることを確認する
  • コアプラットフォームに関するセキュリティ問題への対応
  • クラウドサービスプロバイダーやCDN パートナーと協力して発生した問題を解決する

販売者は次の責任を負います:

  • カスタムコードのセキュリティとサードパーティアプリケーションとの統合を維持する
  • 安全なアプリケーション開発の確保
  • 加盟店の決済代行会社から要求された場合、PCI認証を取得する
  • セキュリティインシデントへの対応と対応

Adobeの責任

Adobeは、Adobe Commerce on cloud インフラストラクチャ環境とコアソリューションコードのセキュリティと可用性を担当します。 さらに、Adobeは、次のようなAdobe Commerce on cloud インフラストラクチャソリューションのセキュリティを維持するために必要なアクティビティと仕組みを担当します。

  • クラウドデータストレージや検索機能など、Adobe Commerceがクラウドインフラストラクチャ上でサポートするアプリケーションに対するサーバーレベルのセキュリティとパッチの適用
  • クラウドインフラストラクチャコード上のコアAdobe Commerceの侵入テストとスキャンの実施
  • パブリッククラウドサービスプロバイダーのIDおよびアクセス管理(IAM)ソリューションと権限管理(PCI コンプライアンス要件)に関する半年ごとのレビューと監査の実施
  • Adobeの従業員および請負業者を含む、許可されたユーザーに対して半年に1回のレビューと監査を実施(PCI認定の要件)
  • バックアップ/リストア機能に関する年間テストとドキュメント作成
  • サーバーおよび境界ファイアウォールの設定
  • Adobe Commerce on cloud infrastructure リポジトリの接続と設定
  • Adobeの担当範囲内の地域に関する災害復旧(DR)計画を定義、テスト、実施、文書化する
  • グローバルプラットフォーム web アプリケーションファイアウォール(WAF)ルールの定義
  • オペレーティングシステム(OS)の強化
  • Adobe Commerce on cloud infrastructureを使用した、コンテンツ配信ネットワーク(CDN)ソリューションとアプリケーションパフォーマンス管理(APM)ソリューションの統合の実装と維持
  • コアのAdobe Commerce on cloud インフラストラクチャコードに対して、定期的にセキュリティやその他のアップデートを発行する(パッチの適用は販売者の責任です)
  • 加盟店サポートおよびサポートアクセス制御の管理(例:Zendesk)
  • Adobe Commerce on cloud infrastructure インフラストラクチャに関するセキュリティインシデントの監視、ログ記録、および修復
  • Adobe Commerce on cloud infrastructureを利用するマーチャントは、プラットフォームの運用を監視し、いつでもサポートを提供できます
  • 実稼動環境とステージング環境のプロビジョニング
  • プラットフォームの運用とインフラに対する潜在的なセキュリティ脅威を評価する
  • 加盟店とのSLA (サービスレベル契約)で説明されているように、コンピューティング、ストレージ、グリッドなどのリソースの拡張
  • DNSの設定(クラウドインフラストラクチャインフラストラクチャ上のAdobe Commerceのみ)
  • セキュリティ脆弱性に対するプラットフォームのテスト

Adobeでは、Adobe Commerce ソリューションに使用されるインフラストラクチャとサービスに対するPCI認定を維持しています。 加盟店は、カスタムコード、システムおよびネットワークプロセス、組織のコンプライアンスに責任を持ちます。

Adobeは、該当するSLAで合意されている加盟店のインフラストラクチャの可用性も保証します。

加盟店の責任

Adobe Commerce on cloud インフラソリューションの特定のカスタムインスタンスについて、次のセキュリティのベストプラクティスを実施します。

  • 必要なAdobe Commerce on cloud infrastructure設定ファイルをリポジトリに追加する

  • Adobeによるリリース直後に、カスタムのAdobe Commerce on cloud infrastructure ソリューションにセキュリティやその他のパッチを適用する

  • ベンダーによるリリース後すぐに、あらゆるカスタム拡張機能とコードにセキュリティやその他のパッチを適用する

  • カスタム Varnish VCL ファイルの作成、デプロイ、テスト

  • あらゆるカスタム拡張機能やコードを含む、カスタマイズされたAdobe Commerce on cloud インフラストラクチャソリューションの設計、テーマ設定、インストール、統合、保護

  • Adobe Commerce on cloud infrastructure configuration, application, and platformのマーチャントのインスタンスへのユーザーアクセス権の付与と取り消し

  • Adobe Commerce on cloud infrastructure プラットフォーム上で構築された、加盟店の内部ネットワーク、サーバー、インフラストラクチャ、およびカスタムアプリケーションに関連するセキュリティ問題を処理します

  • Adobe Commerce on cloud infrastructure コマンドライン統合(CLI)ツールのインストール

  • PCI-DSS ガイドラインで定義されている、カスタマイズされたアプリケーションやその他の社内プロセスのPCI コンプライアンス要件を維持する

    note note
    NOTE
    確認が必要な項目を最小限に抑えるために、Adobe CommerceのPCI認証とクラウドホスティングプロバイダーに基づいて、加盟店のPCI認定を取得する必要があります。

  • PCI ASV スキャンを実行し、クラウドインフラストラクチャのコードとプラットフォーム上のコア Adobe Commerceの問題を修正する

  • 侵入テスト、脆弱性スキャン、ログなど、潜在的なセキュリティ脅威を明らかにする可能性のあるすべてのアプリケーションアクティビティを監視します

  • 加盟店のAdobe Commerce on cloud インフラストラクチャソリューションとユーザーアカウントに関連するフォレンジック、修復、レポートなど、セキュリティインシデントの監視と対応

  • DNS プロバイダーを取得し、マーチャント固有のDNS レコードを設定および管理する

  • カスタマイズされたアプリケーションでのパフォーマンステストの実行

  • プラットフォームアカウント、インスタンスへのアクセス、アプリケーションへのアクセスの保護

  • カスタムアプリケーションのテストとQA

  • Adobe Commerce on cloud インフラストラクチャアプリケーションに接続するシステムやネットワークのセキュリティを維持する

Cloud Service プロバイダーの責任

Adobeは、Adobe Commerceのクラウドサーバーインフラストラクチャをクラウドインフラストラクチャ上でホストするために、確立されたクラウドサービスプロバイダーに依存しています。 これらのプロバイダーは、ファイアウォールシステムや侵入検知システム(IDS)を介したルーティング、スイッチング、周辺ネットワークのセキュリティなど、ネットワークのセキュリティを担当しています。 クラウドサービスプロバイダーは、Adobe Commerce on cloud インフラストラクチャソリューションをホストするデータセンターの物理的なセキュリティと、データセンターの環境セキュリティにも責任を負います。

クラウドサービスプロバイダーには、次のような責任もあります。

  • クラウドサービスのPCI DSS、SOC 2、ISO 27001認証を維持する
  • ハイパーバイザの保護
  • 物理アクセスとネットワークアクセスの両方を含むデータセンターの保護

CDN プロバイダーの責任

Adobe Commerceのクラウドインフラストラクチャソリューションは、CDN プロバイダーを利用して、ページの読み込み時間を短縮し、コンテンツをキャッシュして、古いコンテンツを即座に削除します。 また、これらのプロバイダーは、CDNに直接関連する、または影響を与えるセキュリティの問題、およびCDN WAF ルールの定義と保守についても責任を負います。

セキュリティ責任の概要

recommendation-more-help

次のサマリーテーブルでは、RACI モデルを使用して、Adobe、マーチャント、およびCloud Service プロバイダー間で共有されるセキュリティ責任を示します。

R – 責任
A – 説明責任
C — コンサルテーション済み
I – 通知

style
shade-box
タスク
Adobe
加盟店
クラウドサービスプロバイダー
CDN プロバイダー
Adobe Commerce オンクラウドインフラストラクチャのパッチの適用
C
R
サポートサービスへのパッチの適用
(例:NginxまたはMySQL)
R
I
オリジンWAF ルールの定義
R
CDN WAF ルールの定義
A
R
Platform WAF ルールのデプロイ
R
I
CDN WAF ルールのデプロイ
A
I
R
クラウドインフラストラクチャコード上のAdobe Commerceのコアバグの修正
R
I
Adobe Commerce on cloud インフラストラクチャのパッチのリリース
R
I
スケーリング(計算とストレージ)
R
I
拡大・縮小(PaaSとグリッド)
R
repo.magento.comを含むソースコードへのアクセスの確保
R
I
Adobe Commerce on cloud infrastructure CLI ツールのインストール
R
クラウドインフラストラクチャ設定ファイルへのAdobe Commerceのリポジトリへの追加
C
R
マーチャント向けプロジェクトの作成(オンボーディング UI)
R
I
クラウドインフラストラクチャ上のAdobe Commerceへのリポジトリの接続
R
I
ソースリポジトリの設定1
R
I
リリースマネージャーのユーザーの作成(オンボーディング UI)
R
本番環境へのコードのデプロイ
R
ステージングへのコードのデプロイ
R
外部アプリケーションや拡張機能の統合
R
拡張機能のインストール
R
クラウド基盤でのAdobe Commerceのカスタマイズ
R
クラウド基盤でのAdobe Commerceのカスタマイズされたパフォーマンスのテスト
R
カスタマイズしたアプリケーションのテスト
R
カスタムアプリケーションのテーマとデザイン
R
カスタム Varnish VCLの作成、デプロイ、テスト
C
R
DNSの設定(プラットフォームインフラストラクチャのみ)
R
C
CDN拡張機能の開発とバグの修正
A
C
R
オンボーディング CDN
R
I
サポートしているCDN2
R
I
C
New Relic APMおよびインフラストラクチャアプリケーションの設定
R
New Relic APMおよびインフラストラクチャアプリケーションのインストール
R
I
New Relic APMおよびインフラアプリケーションをサポート
R
C
Nginx3の設定
R
R
DNS プロバイダーの取得(Proのみ)
C
R
OSの強化
R
実稼動環境とステージング環境のプロビジョニング
R
I
Zendesk for Adobe Commerce on cloud infrastructureへのアクセス
R
C
加盟店のセキュリティ問題を解決する
C
R
C
クラウドインフラストラクチャのセキュリティ問題に対するAdobe Commerceの解決
R
CDN セキュリティの問題を解決する
A
R
APMのセキュリティ問題の解決
A
セキュリティ調査によるAdobeの支援(ソフトウェア)
R
C
セキュリティ調査(スキャン/監査)によるAdobeのサポート
R
C
PCI ASV スキャンの実行
R
クラウドインフラストラクチャ上のAdobe CommerceのPCI スキャンの修復4
R
R
PaaS PCI スキャンの修復
R
OSとプラットフォームのシークレットの管理
R
クラウドインフラストラクチャ暗号化キーでのAdobe Commerceの管理
R
カスタマイズされたAdobe Commerce on cloud infrastructure インスタンスのスキャン
R
セキュリティログの監視
R
クラウドインフラストラクチャでのAdobe CommerceのIAMと権限の管理
R
サポートアクセス制御の管理(Teleport)
R
マーチャントのサポートとアクセスの制御
R
I
Adobe DRの計画とバックアップおよび復元に関する年間テストとドキュメント
R
災害復旧計画の年間テストと文書化
R

1 Adobe Commerce オンクラウド インフラストラクチャ リポジトリがメイン リポジトリとして使用されている場合のみ。 その他の外部リポジトリの使用は、販売者の唯一の責任です。

2 Adobeは、CDN プロバイダーの問題に対してレベル 1のサポートを提供します。

3販売者は、アプリケーション用に構成するNgnix コントロールを担当します。

4 PCIの場合、Adobeと販売店の間で侵入テストの要件が共有されます。

運用上の責任の概要

次の概要表は、クラウドインフラストラクチャ上のAdobe Commerceの開発、デプロイ、保守、保護におけるAdobeとマーチャントの運用上の責任を明確に示しています。

style
shade-box

コーディングと開発

コア Adobe Commerce コード

Adobe
加盟店
アップデートとパッチのAdobe Commerce コアへの公開
R
ファイルシステムの可用性とパッチ適用
R
ECE-Toolsへのアップデートとパッチの公開
R
Core Adobe Commerceのアプリケーション品質
R

コードリポジトリ

Adobe
加盟店
repo.magento.comの可用性
R
Cloud Git Server上のAdobe Commerceの可用性
R
その他のマーチャントが選択したコードリポジトリ(GitHub、Bitbucket、ホストされているGit サーバー)
R

Cloud Docker

Adobe
加盟店
Cloud Docker コンテナをダウンロード可能にする
R
Cloud Dockerのデプロイとセットアップ(オプション)
R
その他のローカル開発設定
R

COMMERCE CLOUD CLI

Adobe
加盟店
ECE ツールの継続的な品質と更新
R
最新バージョンのECE ツールのインストール
R

カスタマイズ

Adobe
加盟店
カスタム Adobe Commerce モジュールとコード
R
拡張機能
R
カスタム統合
R

展開

Adobe
加盟店
コードを構築およびデプロイするためのインフラストラクチャの可用性
R
インフラストラクチャのビルドとデプロイの設定パイプラインの継続的な品質
R
ビルドと静的コンテンツのデプロイメントの設定
R
デプロイメントガバナンスプロセスの構築と実行:基準と変更管理
R
ステージング環境へのデプロイ
R
実稼動環境へのデプロイ
R
実稼動ロールバック
R

環境の同期

マーチャントは、環境間でデータを同期する責任があります。

パッチ

Adobe
加盟店
ECE-Toolsへのアップデートとパッチのインストール
R
Adobe Commerce コアへのアップデートとパッチのインストール
R

web サイトの可用性

Adobe
加盟店
カスタマイズされたAdobe Commerce アプリケーションと関連するweb サイト
R

パフォーマンス

Adobe
加盟店
主要アプリケーションの調整と最適化
R
カスタムコードの調整と最適化
R
カスタム Adobe Commerce コード
R
負荷テスト
R
パフォーマンステスト
R

ログと監視

Adobe
加盟店
ログの回転
R
カスタム Adobe Commerce アプリケーション
R
New Relic サービスの可用性:
APM アプリケーションとエージェントの統合、インフラストラクチャ アプリケーション、
ログと統合
R
New Relic アラートの設定
R
PaaS サーバーへのNew Relic エージェントのデプロイ
R

デバッグと問題の分離

Adobe
加盟店
デバッグと問題の分離
R
R
デバッグと問題分離プロセスのタイムリーなサポート
R

アプリケーションとサービスの設定

Commerceアプリ

Adobe
加盟店
アプリケーション設定
R
Adobe Commerce アプリケーションへのドメインの追加(ベース URL)
R
デプロイされたAdobe Commerce バージョンでサポートされているサービス バージョンを使用するようにPaaSを設定する

例えば、様々なCommerce バージョンは、特定のバージョンのPHP、Redisなどに対応しています。
R

cron ジョブによるタスクのスケジュール設定

Adobe
加盟店
デフォルトのcron ジョブの可用性
R
カスタムクローンジョブの継続的な品質
R

メッセージキューフレームワーク用メッセージブローカー

Adobe
加盟店
RabbitMQ サービスの可用性
R
デフォルトのRabbitMQ設定の設定
R
RabbitMQの継続的な品質とパッチ適用
R
インストール済みのAdobe Commerce バージョンと互換性のあるRabbitMQ バージョンをインストールするには、サービスリクエストを送信します
R

PHP サービス

Adobe
加盟店
PHPの可用性
R
デフォルトのPHP設定の設定
R
カスタム PHP設定の設定
R
インストールされているAdobe Commerceのバージョンと互換性のあるPHPのバージョンを整列させるYAML ファイルの設定
R

データベースサービス

Adobe
加盟店
GaleraおよびMariaDB サービスの可用性
R
既定のデータベース設定の継続的なメンテナンス

(インデックス作成とコア テーブルの最適化、既定のsys-admin設定の最適化)
R
マーチャント データの継続的なメンテナンスと変更された設定

(正規化されたテーブルとフラット テーブルの設定、カスタム テーブルとサードパーティ テーブルのインデックス作成と最適化、データのアーカイブまたは削除、システム管理設定の設定)
R
GaleraとMySQLの設定
R
GaleraとMariaDBの継続的な品質とパッチ適用
R
インフラの継続的な最適化
R
スロークエリの特定と修正
R
インストール済みのAdobe Commerce バージョンと互換性のあるMariaDB バージョンをインストールするには、サービスリクエストを送信します
R
加盟店固有のデータ保持ポリシーの設定と管理(Adobeのデータ保持ポリシーは、加盟店契約で定義されています)
R

CDN サービス

Adobe
加盟店
CDNの可用性と品質
R
Fastly サービス設定(拡張機能/API経由)
R
Fastlyの拡張品質
R
Fastly統合VCL スニペット(Fastly拡張機能にバンドル)品質
R
ページキャッシュの最適化
R
サービス、CDN、インフラストラクチャへのドメインの追加
R
カスタム VCL スニペット
R
WAFとWAF ルール
R

キャッシュサービス

Adobe
加盟店
Redis サービスの可用性
R
デフォルトのRedis設定の設定
R
Redisの継続的な品質とパッチ適用
R
インストール済みのAdobe Commerce バージョンと互換性のあるRedis バージョンをインストールするには、サービスリクエストを送信します
R

検索サービス

Adobe
加盟店
ElasticsearchまたはOpenSearchの可用性
R
ElasticsearchまたはOpenSearchのデフォルト設定
R
インストール済みのAdobe Commerce バージョンと互換性のあるElasticsearchまたはOpenSearch バージョンをインストールするには、サービスリクエストを送信します
R

メールサービス

Adobe
加盟店
SendGrid メールサービスとその統合の可用性
R
制限に対する加盟店のSendGrid使用状況の監視
R
販売者は、送信するトランザクションメールに対してのみサービスを使用する責任があります
このサービスでは、マーケティングメールの送信はサポートされていません。
R
オプションのサードパーティのメールサービスの設定
R

サードパーティサービス

Adobe
加盟店
サードパーティサービスの可用性と品質
R

Commerce Servicesの拡張機能

Advance Reporting サービス

Adobe
加盟店
Advanced Reporting Serviceの可用性
R
高度なレポートの設定は、高度なレポートの利用条件に準拠しています
R

Commerce Intelligence

Adobe
加盟店
Adobe Commerce Business Intelligenceのサービスの可用性
R
MBI データ同期プロセス
R
MBI同期の問題を検出しています
R
Adobe Commerce Cloud Pro、Starter、On Premises、またはAdobe Commerce以外の
(API、データの品質とフォーマット、マーチャント ネットワーク、Adobe Commerce DBの内外の
DB接続、データしきい値を介した)へのMBI データ同期の設定
R
Adobe Commerce Cloud ProへのMBI データ同期の設定
(Adobe Commerce Cloud データベース設定)
R
NOTE
販売者は、最高レベルの安定性、機能、サポート資格を保証するために、最新バージョンのライブサーチ、商品レコメンデーション、決済サービスを利用する必要があります。
Adobeは古いバージョンをサポートしておらず、アップグレードすると、最新の機能強化とバグ修正の恩恵を受けることができます。
サポートされているバージョンについて詳しくは、Commerce サービスの製品可用性マトリックス ​を参照してください。

商品レコメンデーション

Adobe
加盟店
商品レコメンデーションサービスの可用性
R
製品レコメンデーションモジュールのアップグレード
R

ライブサーチ

Adobe
加盟店
ライブサーチサービスの可用性
R
ライブ検索モジュールのアップグレード
R

ストアフロントイベントの品質(データ収集)により、商品レコメンデーションとライブサーチの出力を強化

Adobe
加盟店
コアテーマ(Luma)
R
カスタムテーマ
R
PWAの導入
R
PWAのカスタム実装
R
コア AEM EDSの実装(Commerce Boilerplate)
R
カスタム AEM EDSの実装
R
その他のカスタムストアフロントの実装
R

決済サービス

Adobe
加盟店
決済サービスの可用性
R
支払いモジュールのアップグレード
R

ネットワークサービス

画像の最適化

Adobe
加盟店
画像の最適化の可用性と品質
R
画像の最適化の設定
R

SSL証明書

Adobe
加盟店
SSL専用証明書 – 有効期限
R
SSL証明書のプロビジョニング
R
EV/Specific SSL cert (提供されるデフォルト以外)の購入と管理、およびAdobeへの提供
R

Web Application Firewall (WAF)

Adobe
加盟店
WAFの可用性と設定
R
WAF ルールの偽陽性への対処
R
WAF ルールの誤検出の報告
R
WAF ルールの調整(サポートされていません)
WAF/CDN ログ
R

DDOS

Adobe
加盟店
プロアクティブ IP ブロック
R
ボット保護
R
DDOS検出 – レイヤー3-4
R
DDOS検出 – レイヤー7
R
DDOS対応
R

プライベートリンク

Adobe
加盟店
Adobeが所有するVPCを使用したPrivateLink接続の設定と管理(使用する場合)
R
マーチャントが所有するVPCでのPrivateLink接続(使用する場合)の設定とメンテナンス
R
SSH (非プライベートリンク)の可用性
R
Adobe Commerce Cloud Service エンドポイントへのPrivateLink インバウンドの設定
R
Adobe Commerce Cloud Service エンドポイントへのPrivateLink インバウンドの受け入れ
R
MerchantのVPC サービスエンドポイントへのPrivateLink インバウンドの設定
R
加盟店のVPC サービスエンドポイントへのPrivateLink インバウンドの受け入れ
R
PrivateLink統合の設定(エンドポイントからアカウントへ)
R
PrivateLink エンドポイント

用のマーチャント所有のVPCの設定(すべてのVPN接続を含む)
R

システムとインフラ

App Server

Adobe
加盟店
Nginxの提供開始
R
Nginxの設定
R
Nginxの継続的な品質とパッチ適用
R

オペレーティングシステム

Adobe
加盟店
オペレーティングシステムの可用性
R
オペレーティングシステムの継続的な品質とパッチ適用
R

バックアップ、高可用性、フェイルオーバー

Adobe
加盟店
スナップショットとバックアッププロセスの可用性
R
Cloud Pro ステージング環境および実稼動環境のバックアップのスケジュール設定
R
Cloud Starter環境とPro統合環境のバックアップのスケジュール
R
HA/フェイルオーバーの可用性
R

クラウドサーバーと拡張

Adobe
加盟店
CPUのリソース、データセンター、ディスク容量の可用性
R
サージキャパシティまたは緊急アップグレードの可用性と実行
R
サージキャパシティの要求
R
制限に対するvCPU使用率の監視
R
6ad2ec8d-4e70-43dd-8640-a894018d6404