
Nano Banana 2 LiteとGemini Omni Flash登場、高速画像生成と動画編集がAPIで利用可能に
Google DeepMindは2026年6月30日、高速画像生成モデル「Nano Banana 2 Lite」と、動画生成・編集モデル「Gemini Omni Flash」を開発者向けに公開した。どちらもGoogle AI StudioとGemini APIから即日利用できる。
Nano Banana 2 Liteはテキストから画像をわずか4秒で生成し、1,000枚あたり0.034ドルという低コストが売りだ。Gemini Omni Flashは自然言語による動画編集と高品質な動画生成を両立し、1秒あたり0.10ドルで提供される。
この2つのモデルを組み合わせることで、画像を生成して即座に動画化するといったマルチメディア制作のワークフローが一気に加速する。本記事では各モデルの性能、活用シナリオ、連携方法を詳しく見ていく。
Nano Banana 2 Liteの概要と位置づけ

Nano Banana 2 Lite(モデル名 gemini-3.1-flash-lite-image)は、Nano Bananaファミリーの中で最も高速かつ低コストな画像生成モデルだ。主に短時間でのプロトタイピングや大量の画像生成が必要な開発パイプラインを想定している。
旧モデルであるNano Banana(gemini-2.5-flash-image)からの置き換えが推奨されており、差し替えるだけで速度・品質・コストのすべてで改善が見込める。
速度とコストの具体的な数値
- レイテンシ(処理時間) テキストから画像を出力するまでの時間は約4秒。対話的なプロトタイピングや下書き用途に向く。
- 料金 1,000枚あたり0.034ドル。大量生成や予算管理が求められるプロジェクトでコストを抑えやすい。
- 品質のバランス 速度優先ながら、プロンプトへの忠実度・キャラクターの一貫性・画像内テキストの可読性は確保されている。
Nano Bananaファミリー全体の比較
Nano Bananaシリーズには4つのモデルが存在し、用途に応じて使い分ける設計だ。以下が各モデルの位置づけである。
開発者は自分たちのプロジェクトが「速度」を求めるのか「品質」を求めるのかによって、Lite・標準・Proを切り替えられる。たとえば広告バナーの大量生成ならNano Banana 2 Lite、製品写真の精密な加工ならNano Banana Proといった使い分けが現実的だ。
Gemini Omni Flashがもたらす動画編集の変化

Gemini Omni Flash(gemini-omni-flash-preview)は、テキスト・画像・動画を組み合わせたマルチモーダル入力をネイティブに扱い、高品質な動画生成と会話型編集を実現するモデルだ。2026年5月のGoogle I/Oで発表され、今回初めてGemini APIとGoogle AI Studioに公開された。
料金は出力動画1秒あたり0.10ドル。Veo 3.1 Fastと同水準であり、動画生成AIとしては競争力のある価格設定だ。
4つの得意領域
従来の動画生成AIでは「1回のプロンプトで動画を出力して終わり」という単発的な使い方が多かった。Omni Flashは会話を重ねながら微調整できる点が大きく異なる。動画の一部だけを修正したり、複数回の編集を積み重ねたりするワークフローが自然に回せるようになる。
現在の制限事項
- 生成できる動画の長さは現時点で10秒まで。長時間の動画生成は今後対応予定。
- 音声参照のアップロードとシーン延長機能は、今回のAPIでは未サポート。
- APIの仕様上は3秒までの動画参照を受け付けるが、現時点では正しく処理されない。
- シーン切り替えやパン(カメラの横移動)時のキャラクター一貫性に制限あり。改善中。
「10秒制限」は短く感じるかもしれないが、SNS向けショート動画やeコマースの商品紹介動画であれば十分な長さだ。3秒の動画参照制限についても、短いクリップを下敷きにした編集という使い方であれば実用範囲内といえる。
2つのモデルを連携させた実践ワークフロー

Nano Banana 2 LiteとGemini Omni Flashの真価は、両者を組み合わせることで発揮される。具体的には次のような流れだ。
Interactions APIを使うことでセッション履歴とコンテキストが保持されるため、ユーザーは最大3回まで連続した編集を積み重ねられる。1回の生成で終わらない、試行錯誤を前提としたクリエイティブ制作に適した設計だ。
公式デモアプリに見る実用例
Google DeepMindは両モデルを組み合わせた3つのデモアプリを公開している。いずれもGoogle AI Studio上で動作し、ソースコードをリミックスして自社サービスに組み込める。
これらのデモは、画像生成と動画編集を別々のAIに任せるのではなく、一つのワークフローとして統合することで生まれる価値を示している。eコマース事業者であれば、商品写真のバリエーションを大量生成し、その中から選んだ数枚だけを動画化するといった効率的な運用が可能になる。
開発者が知っておくべき安全性とモデル情報

両モデルともGoogleのセキュアなインフラ上で動作し、SynthIDによる電子透かし(ウォーターマーク)が埋め込まれる。SynthIDはAI生成コンテンツであることを検証可能にする技術で、GeminiアプリやChrome、Google検索を通じてコンテンツの来歴を確認できる。
すでにNano Banana 2 Liteは検索のAI Mode、Geminiアプリ、NotebookLM、Google Photos、Stitch、Google Flow、Google Adsなど、Googleの一般向けサービスにも順次展開されている。
API経由での利用にあたっては、各モデルの詳細な機能やリージョン別の制限が公式ドキュメントにまとめられている。開発を始める前に、Google AI Studioのプレイグラウンドで実際の挙動を試すのが確実だ。
この記事のポイント
- Nano Banana 2 Liteは4秒で画像を生成し、1,000枚あたり0.034ドルの低コストで利用できる
- Gemini Omni Flashは自然言語による動画編集と高品質な動画生成を両立し、1秒あたり0.10ドルで提供される
- 両モデルを連携させると、画像生成から動画化・編集までを一貫したワークフローで回せる
- Google AI StudioとGemini APIから即日利用可能で、具体的なデモアプリも公開済み
- SynthIDによるAI生成コンテンツの検証機能が組み込まれており、商用利用にも配慮されている

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

GoogleとMicrosoftがAIエージェント共通仕様ARDを公開、11社が賛同
GoogleとMicrosoftを含む11社が、AIエージェントがウェブ上のツールやスキルを自動検出するための共通仕様「ARD(Agentic Resource Discovery)」を2026年6月17日に公開した。
GitHubやHugging Face、NVIDIA、Salesforceも名を連ねるこの仕様は、各社が公開するAIエージェント向け機能を、事前の手動接続なしに実行時に見つけ出せる仕組みだ。Apache 2.0ライセンスで公開され、同日に複数の参照実装もリリースされた。
この仕様が実用化されれば、AIエージェントは必要なツールを自ら探し出して接続できるようになる。開発者やサービス提供者にとっては、自社のAPIやエージェント機能をAIシステムに自動的に見つけてもらうための新たな方法が生まれることになる。
ARDとは何か

ARD(Agentic Resource Discovery)は、AIエージェントがウェブ上で「使えるツールや機能」を自動的に見つけ出すための共通ルールを定めた仕様だ。Linux Foundationのワーキンググループが管理するAI Catalogデータモデルを基盤に構築されている。
現在のAIエージェントは、あらかじめ各ツールやMCPサーバー、APIとの接続を手動で設定する必要がある。企業が公開する機能が増え続けるなか、この「事前配線」方式では拡張性に限界があった。ARDはこの問題に対処するために設計されている。
ARDの仕組みは、企業が自社ドメインに公開するカタログと、それを収集してインデックス化するレジストリの2層構造で成り立っている。人手による接続設定を実行時の検索に置き換えることで、AIエージェントが自律的に機能を発見できる世界を目指している。
ARDの技術的な仕組み

カタログとレジストリの2層構造
ARDの中核は「カタログ」と「レジストリ」という2つの要素だ。まず、ツールやエージェントを提供する企業は、自社ドメインの定められたパスにai-catalog.jsonというファイルを設置する。このファイルには、公開するツール、MCPサーバー、エージェント、APIの一覧が記述される。
次に「レジストリ」がこれらのカタログを巡回(クロール)してインデックス化する。AIエージェントが「この処理に使えるツールはないか」と自然言語で問い合わせると、レジストリが該当するカタログ情報を返す仕組みだ。
ai-catalog.json を設置カタログが公開者の自社ドメインに置かれることで、ドメイン所有権が公開者の検証手段として機能する。本番運用では、暗号化された信頼メタデータを付与し、接続前に公開者の身元を確認することも可能だ。ツールが選定された後は、ARDの役割は終了し、実際の接続は各ツール固有のプロトコルで直接行われる。
誰に向けた仕様なのか
ARDが主に対象とするのは、APIやMCPサーバー、エージェントといった「呼び出し可能な機能」を提供する企業だ。ツールを公開する企業には、AIエージェントに見つけてもらい、信頼してもらうための明確な方法が提供される。
一方、一般的なコンテンツサイトにとっては、現時点で直接的な活用方法は示されていない。Search Engine Journalの記事でも「典型的なコンテンツサイトに今日すぐ取るべきアクションはない」と指摘されている。
公開当日に登場した参照実装

ARDの草案公開と同日に、複数の参加企業が実際に動作するツールをリリースした。
- GitHub Copilot向けに「Agent Finder」を導入。選択したレジストリからMCPサーバー、スキル、ツール、エージェントを検出し、ユーザーが接続対象を制御できる仕組みだ。
- Hugging Face ARDサービス全体からスキルやMCPサーバーを検索する「Discover Tool」を公開した。
- Cisco Linux Foundation傘下のオープンソースプロジェクト「AGNTCY Agent Directory」にARDを統合した。
GitHubのAgent Finderは特に関心を集めている。Copilotのユーザーがレジストリから必要な機能を見つけ出し、自分の判断で接続を許可できる設計は、エージェントの自律性とユーザー制御のバランスを取る試みといえる。
この流れは、ウェブの「機械可読層」を整備する一連のオープン仕様の延長線上にある。GoogleはARD公開の2日前にも、AIシステム間で組織知識を共有するための「Open Knowledge Format」仕様を発表している。いずれも自社ドメインに構造化ファイルを設置するだけで、AIシステムが人手の配線なしに情報を利用できるようにする考え方だ。
Googleの立ち位置と今後の展開

GoogleはARDにおいて、Gemini Enterprise Agent Platformの一部である「Agent Registry」を中心的な役割として位置づけている。これはエージェント向けリソースのホスティングと検索、企業向けのガバナンス管理を担う基盤だ。
Search Engine Journalの記事によれば、Agent RegistryへのネイティブARD対応は数カ月以内に予定されている。これが実現すれば、組織は内部レジストリを広域ネットワークに接続できるようになる。
ただし現時点でこの対応は稼働しておらず、ARDはあくまで「仕様」であってGoogle検索の機能ではない。検索エンジンとしてのGoogleがARDカタログを直接検索結果に反映するわけではない点は、区別して理解しておく必要がある。
コンテンツ制作者が今考えるべきこと

ARDがもたらす影響は、ビジネスの性質によって大きく異なる。ツールやAPIを提供する企業には、AIエージェントに発見されるための具体的な手段が用意された。一方で、一般的なコンテンツサイト運営者にとっての即効性は限定的だ。
この仕様の価値については業界内でも議論がある。GoogleのJohn Mueller氏は、LLMシステムがllms.txtのようなファイルでサイトを区別することはできないと指摘し、将来のエージェント向け戦略よりも現在のニーズに注力するよう助言している。ARDが対象とするのはツールやエージェントであり、コンテンツではないという点は、こうした議論の背景として押さえておきたい。
仕様はまだv0.9草案であり、GitHubリポジトリで変更提案を受け付けている段階だ。実用性を左右するのは、カタログを大規模にクロールしてインデックス化できるレジストリのエコシステムだが、それもまだ初期段階にある。
エコシステムが成熟した場合に最も恩恵を受けるのは、他者が必要とするツールやエージェントを提供する企業だ。GoogleがUlrtaユーザー向けに展開し始めたエージェント主導の検索機能も、この方向性を示唆している。今すぐ取るべき現実的なアクションは、自社が使っているプラットフォームやツールがARDに対応するかどうか、そして対応時にどのような公開情報が求められるかを注視することだ。
この記事のポイント
- ARDはAIエージェントがツールやAPIを実行時に自動発見するためのオープン仕様である
- カタログ(ai-catalog.json)とレジストリの2層構造で、ドメイン所有権が信頼の基盤となる
- GitHubやHugging Faceが公開初日から参照実装を提供しており、実用化に向けた動きは速い
- 一般的なコンテンツサイトよりも、ツールやAPIを公開する企業に直接的な恩恵がある
- v0.9草案段階であり、レジストリのエコシステム構築が今後の鍵を握る

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

AWS Bedrock刷新、OpenAIとAnthropic API互換コンソールが登場
AWSが2026年6月5日、Amazon Bedrockの管理コンソールを刷新した。この新体験は「bedrock-mantle」エンジン向けに設計されており、Anthropic Messages APIとOpenAI Responses APIに最適化されている。
従来のBedrockコンソールはマネージド機能(AgentsやKnowledge Basesなど)を中心に据えていたが、今回の刷新はAPI直接呼び出しを前提とする開発者向けに設計し直されている。モデル選定からプロダクション実装までの時間を大幅に短縮する狙いだ。
この記事では、新コンソールの主要機能と開発ワークフローへの影響を詳しく見ていく。API互換性を活かしたコードの簡略化や、複数モデルの並列評価がどのように実現されるのかを解説する。
Bedrockの新コンソールが生まれた背景

この図が示すように、新コンソールは「プロジェクト」を軸にした作りになっている。モデルの評価から実装、モニタリングまでをひとつの画面で完結させる狙いだ。
bedrock-mantleエンジンとは何か
bedrock-mantleは、Bedrockの第2世代推論エンジンとして位置づけられる。高速な処理性能と高い信頼性、そしてエンタープライズレベルのセキュリティを兼ね備えている。
最大の特徴はAnthropicとOpenAIのAPIプロトコルに互換性を提供することだ。ClaudeモデルにはAnthropic Messages API(メッセージAPI)を、GPTモデルにはOpenAI Responses API(レスポンスAPI)とOpenAI Chat Completions API(チャット補完API)を使える。これにより、既存のSDKコードをほぼ変更せずにBedrockへ移行できる。
従来のbedrock-runtimeエンドポイントを使う既存機能(InvokeModelやConverse API、Agentsなど)は、引き続き従来のBedrockコンソールから利用できる。両者は併存する設計で、急な移行は求められない。
新モデルカタログが提供する高速な比較体験

新コンソールの目玉のひとつが、刷新されたモデルカタログだ。従来は各モデルの仕様を調べるためにドキュメントや料金計算ツールを行き来する必要があったが、それが1画面で完結するようになった。
最大3モデルを並べて比較
カタログ上で最大3つのモデルを選択し、機能、モダリティの対応状況、コンテキストウィンドウの大きさ、利用可能なリージョン、料金体系を横並びで比較できる。
この比較機能は、チーム内でのモデル選定会議や、PoC(概念検証)フェーズでの迅速な意思決定に力を発揮する。料金と性能のトレードオフを視覚的に把握できるのが強みだ。
プロジェクト単位で完結する開発ワークフロー

新コンソールの中核は「プロジェクト」という概念だ。生成AIアプリケーションの開発ライフサイクルをプロジェクトとして管理し、モデルの割り当てからAPIキーの発行、推論リクエストの送信までを一気通貫で行える。
ダッシュボードでトークン消費を可視化
プロジェクトダッシュボードでは、直近の推論リクエスト数やエラー発生率を日付範囲でフィルタリングできる。さらに、総トークン消費量、1分あたりのトークン使用量、推論リクエストの回数、1リクエストあたりの平均トークン数がグラフ表示される。
このデータは、モデルの選択ミスや過剰なトークン消費を早期に発見する手がかりになる。チームの予算管理にも直結するため、プロダクション環境では特に価値が高い。
サイドバイサイド評価でプロンプトを最適化
プロジェクト内で最大3つのモデルを選択し、同じプロンプトに対する応答を横に並べて比較できる評価モードが用意されている。これにより、どのモデルが自社のユースケースに最適かを実データで判断できる。
評価結果はそのままプロダクション環境へ移行する際の根拠資料としても使える。カスタマーサポート用チャットボットであれば、回答の質と応答速度のバランスを定量的に比較できる。
コード生成とAIアシスタント連携の新機能

最も実務インパクトが大きいのが、プロジェクトに紐づいた「ライブドキュメント」機能だ。コードサンプルやSDKスニペット、APIリファレンスにプロジェクトの変数(モデルID、リージョン、エンドポイントURL、APIキー)が自動で埋め込まれる。
コピーするだけで動くコードスニペット
開発者はコンソール上で表示されたコードをそのままコピーし、ローカル環境のアプリケーションに貼り付けるだけで動作確認できる。環境変数の手動設定やエンドポイントURLの確認といった手間が省ける。
AWS_REGION=us-east-1
ENDPOINT=bedrock-mantle
API_KEY=sk-xxxxxx
client = boto3.client()
response = client.invoke(modelId=MODEL_ID)
この仕組みにより、環境構築のミスが大幅に減る。特に複数プロジェクトを抱えるチームでは、設定の食い違いによるトラブルシューティング時間を削減できる。
AIコーディングエージェントとの統合
新コンソールはAIコーディングエージェントとの連携もサポートする。Claude Code、Cline、Codex、Cursor、OpenCodeといった主要なAIアシスタントをBedrockのmantleエンジンにルーティングする手順がガイドされる。
具体的には、AWS IAM認証情報かBedrock APIキーを使い、環境変数を設定したうえで各エージェントからのリクエストをBedrock経由にする設定が案内される。これにより、AIアシスタントのバックエンドをOpenAIやAnthropicのクラウドからAWS環境に切り替えられる。企業ポリシーでデータの外部送信を制限しているケースで有効だ。
利用可能リージョンと今後の展開

新コンソール体験は、bedrock-mantleエンドポイントが提供されている全リージョンで利用可能だ。2026年6月時点での対象は以下の通り。
AWSのドキュメントにはリージョン互換性の一覧ページが用意されており、将来的な拡大があれば随時更新される見込みだ。フィードバックはAWS re:Post for Amazon Bedrock、または通常のAWSサポート窓口を通じて送ることができる。
新コンソールは既存のBedrockコンソールと並行して運用される。急な切り替えを迫られることはなく、チームの準備が整った段階で徐々に移行できる設計だ。
この記事のポイント
- Amazon BedrockにAPI互換性を重視した新コンソールが登場し、モデル評価から実装までの時間が大幅に短縮される
- bedrock-mantleエンジンはAnthropic Messages APIとOpenAI Responses APIに対応し、既存SDKコードの流用が容易
- 最大3モデルのサイドバイサイド比較と、プロジェクト単位のトークン消費可視化が組み込まれている
- コンソール上のコードスニペットはプロジェクト変数が自動プレフィルされ、コピー後即実行できる
- 東京リージョンを含む複数リージョンで利用可能、既存コンソールとの併存もサポートされる

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

WooCommerce 10.9でデュアルAPI登場、PHPコードからGraphQLを自動生成
WooCommerce 10.9で、PHPコードからGraphQL APIを自動生成する「デュアルAPI」が実験的に導入された。AutomatticのRadical Speed Monthイニシアチブの一環として開発されたこの機能は、開発者がPHPクラスに属性(アトリビュート)を付与するだけで、REST APIとGraphQL APIの両方を提供できるようにするものだ。
本記事では、デュアルAPIの技術的な仕組みと、プラグイン開発者にとっての具体的なメリット、現時点での制限と注意点を詳しく解説する。PHP 8.1以上が必須となるため、サーバー環境のバージョンアップを検討している運営者にも役立つ情報をまとめた。
WooCommerceデュアルAPIの概要と狙い

デュアルAPIの3つの構成要素
WooCommerce Developer Blogの記事によれば、デュアルAPIは大きく3つのパーツで成り立っている。1つ目は、PHP属性で装飾されたプレーンなPHPクラスで表現される「コードAPI」だ。これはコマンドパターンで実行可能なクラスか、データ転送オブジェクト(DTO)として定義される。2つ目は、そのコードAPIから自動生成される「GraphQL API」。そして3つ目が、開発時にコードからGraphQLパートを生成する「ビルドスクリプト」である。
なぜGraphQL APIを自動生成するのか
従来のWooCommerce REST APIは、決められたエンドポイントから必要なデータを取得する方式だった。一方、GraphQLはクライアントが必要なフィールドだけをリクエストできるため、オーバーフェッチやアンダーフェッチを防げる。モバイルアプリやヘッドレスコマース構成との相性も良い。しかし、APIを二重にメンテナンスする手間は大きい。そこで、PHPコードを信頼できる唯一の情報源(ソースオブトゥルース)とし、GraphQL側を自動生成することで、開発効率と一貫性を両立させる狙いがある。
コードからGraphQLを自動生成する仕組み
PHPクラスに定義した属性や型情報が、GraphQLスキーマのクエリ名、引数、返却型へと自動的にマッピングされる。開発者はPHPコードだけを書けば、対応するGraphQLエンドポイントが手に入る仕組みだ。
PHP属性によるメタデータの付与
この仕組みの中核が、PHP 8.0で導入された「属性(アトリビュート)」だ。クラスやメソッド、プロパティに #[Name('coupon')] や #[Description('...')] といった形でメタデータを埋め込める。このメタデータをビルドスクリプトが読み取り、GraphQLの型定義やドキュメントを自動構築する。PHPのコードベースがそのままAPIの仕様書になるわけだ。
コマンドクラスとDTOの変換ルール
実行可能なコマンドクラスはGraphQLのクエリやミューテーションに変換される。引数には #[Description] 属性付きで説明がつき、デフォルト値やnull許容もスキーマに反映される。DTOはGraphQLのインプットタイプやアウトプットタイプになる。PHPの列挙型(enum)や #[ArrayOf('int')] のようなカスタム属性を使えば、スカラー型の配列や独自型も正確に表現できる。
ビルドスクリプトの役割
ビルドスクリプトは開発時に一度だけ実行する。WooCommerceコアに同梱されており、プラグイン開発者も自分のコードに対して実行可能だ。スクリプトがコードAPIを解析し、GraphQLスキーマをファイルとして出力する。実行時にはそのスキーマに従ってリクエストが処理されるため、本番環境で毎回コードを解析する必要はない。
プラグイン開発におけるデュアルAPIの活用方法

独自のデュアルAPIを作成する手順
WooCommerce Developer Blogの記事では、プラグイン開発者がこのインフラを再利用して独自のデュアルAPIを構築できる点が強調されている。手順はシンプルだ。まず、プラグイン内にコマンドクラスとDTOを定義し、必要な属性を付与する。次に、WooCommerceのビルドスクリプトを開発時に走らせると、GraphQLパートが自動生成される。最後に rest_api_init フックを使い、ユーティリティメソッドで任意のエンドポイントURLにGraphQL APIを登録すれば完了する。
認証・認可のカスタマイズと拡張ポイント
コアのインフラは、クラスリゾルバ(デフォルトではWooCommerceのDIコンテナ)や、認証用のプリンシパルクラス、認可用の #[RequiredCapability] 属性を提供している。これらはそのまま使うことも、独自の認証・認可ロジックに置き換えることも可能だ。例えば、外部サービスと連携するプラグインであれば、カスタムのプリンシパルクラスを差し込んでAPIキー認証を実装できる。柔軟な拡張性が意識された設計である。
現時点での制限と実験的機能の注意点

後方互換性の保証がない理由
このデュアルAPIは実験的な機能であり、明示的に有効化しない限り動作しない。WooCommerce Developer Blogの記事でも、インフラ部分とコアAPIのいずれについても、将来のリリースで後方互換性のない変更が加えられる可能性があると明言されている。特に、より徹底したテストの過程で、属性の命名規則やクラス構成に破壊的変更が入るかもしれない。本番環境への導入は、安定版となるまで控えたほうが無難だ。
コアAPIのプルーフオブコンセプト
WooCommerce 10.9に同梱されるコアAPIは、製品とクーポンをカバーする限定的なものだ。記事では、これはあくまで「プルーフオブコンセプト(概念実証)」であり、今後のバージョンでクラスやクエリが大幅に変更されるか、まったく別のものに置き換わる可能性があるとされている。現時点では、開発環境やステージング環境でのテスト利用が推奨される。
PHP 7環境の安全性とバージョンアップの必要性

PHP 8.1依存の技術的理由
デュアルAPIはPHP 8.1以上を要求する。これは、PHP属性と列挙型(enum)に依存しているためだ。属性がなければGraphQLスキーマを自動生成できず、enumがなければDTOの厳密な型表現が難しくなる。WooCommerceとしても、公式にPHP 8.1以上を推奨しており、PHP 7.4や8.0のサポートは将来的に終了する方針が示されている。
PHP 7環境での影響と注意点
WooCommerce Developer Blogの記事によると、PHP 8.1固有のコードは、この機能が無効の場合やサーバーがPHP 7.4/8.0で動作している場合には一切実行されない設計になっている。したがって、機能を誤って有効化しようとしてもエラーは発生せず、GraphQLエンドポイントが機能しないだけだ。ただし、プラグインやカスタムコードから src/Api 配下のクラスを直接呼び出すと、PHP 7環境ではエラーになるため注意が必要である。
将来のPHPバージョンサポート計画
WooCommerceは過去にPHP 7.2/7.3のサポートを段階的に終了してきた。今回のデュアルAPI導入は、PHP 8.1移行を加速させる呼び水となるだろう。WordPress 7.0がPHP 7.2/7.3のサポートを打ち切り、PHP 8互換がベータを脱したことも追い風だ。ECサイト運営者は、セキュリティ面とパフォーマンス面からも、早めのPHPバージョンアップを検討すべき局面を迎えている。
この記事のポイント
- WooCommerce 10.9で実験的デュアルAPIが導入され、PHPコードからGraphQL APIを自動生成できるようになった
- PHP属性とDTOによってコードがAPI仕様を兼ね、プラグイン開発者も独自のデュアルAPIを構築可能
- 現時点では後方互換性が保証されない実験的機能であり、本番利用は避け、テスト環境での検証が推奨される
- PHP 8.1以上が必須で、PHP 7環境では機能が無効化されるが、安全面でのリスクは低い
- PHPバージョンアップの必要性が高まっており、ECサイトの将来的な安定稼働に向けて計画的な移行が望ましい

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

WooCommerce 10.8リリース!レビューメール自動化と各種高速化の全容
WooCommerce 10.8が2026年5月26日にリリースされた。今回のアップデートでは購入後のカスタマーレビュー依頼メールの自動化、カスタム配送業者の設定機能、クーポンコードの動的生成、そして管理画面のパフォーマンス改善が盛り込まれている。
動作条件としてWordPress 6.9以上が必要だ。WooCommerceを更新する前にWordPress本体を最新にしておく必要がある。管理画面の一貫性を保つWordPress 7.0への事前適合も含まれており、今後のスムーズな移行に向けた布石となるリリースだ。
WooCommerce 10.8の主な変更点

WordPress 7.0向けの管理画面スタイル調整
WooCommerce 10.8には約15件のプルリクエストが含まれ、WordPress 7.0の新しい管理画面デザインとの整合性を確保した。対象となったのはフォームコントロールのサイズ、Select2ドロップダウン、ボタンの角丸、通知の色、メタボックス周りのスタイルだ。
従来、WooCommerceの一部画面では青系の管理画面用色が直接ハードコーディングされていた。これがテーマカラー変数に置き換えられ、ユーザーが設定した配色スキームに沿って境界線やホバー状態が変化するようになった。WordPressとWooCommerceを同時に更新すれば、管理画面全体の見た目に統一感が出る。
管理画面の色が選んだテーマに合わせて変化するため、複数サイトを運営している場合でもサイトごとに配色を変えられ、管理ミスの防止にもつながる。
オフライン対応の管理画面
WooCommerceの管理画面がオフラインを検知するようになった。ブラウザのネットワーク接続が切れるとバナーが表示され、保存リクエストがネットワーク喪失で失敗した場合には明確な通知が表示される。
これまで接続の不安定な環境では保存失敗に気づかず、注文データや設定の消失につながるケースもあった。モバイル回線やカフェのWi-Fiなど、接続状態が変わりやすい場所で作業するストア運営者にとっては実用的な改善だ。
パフォーマンス改善の詳細

SQLクエリの削減と高速化
WooCommerce 10.7から続くクエリ削減の取り組みがさらに進んだ。取引IDルックアップ用の索引が wc_orders テーブルに追加され、販売ピーク時の在庫予約に使われる wc_reserved_stock テーブルの索引も改善された。
加えてキャッシュプライミングが商品アーカイブ、商品編集画面、クラシックカート、グループ化商品、Store APIの商品スキーマに拡張された。これにより各パスでデータを1行ずつ取得する代わりにバッチロードできるようになり、データベースへの負荷が大きく下がる。
クーポンの _used_by メタデータは遅延読み込み化された。何千回も使われたクーポンをロードする際に全使用履歴をメモリに展開しなくなり、クーポン読み込み時のパフォーマンスが飛躍的に改善する。レイヤードナビゲーションのフィルターキャッシュにはデフォルトで上限が設定され、wp_options テーブルが無制限に肥大化するのを防ぐ。
ベータ版からの修正点
10.8のベータテスト期間中に見つかった問題も解消された。 WC_Order::payment_complete() に追加予定だったチェックアウト証跡のバリデーション機能は最終版から差し戻され、このリリースには含まれない。
また wc_orders_meta テーブルの meta_key_value 索引から meta_value 列が誤って削除されたパフォーマンス回帰も修正された。注文メタデータの検索速度が低下する問題だったが、10.8で索引構成が復元されている。
新機能の詳細

カスタマーレビュー依頼メールの自動化
10.8の目玉機能の一つが、購入者に商品レビューを依頼する自動メール機能だ。WooCommerceの設定の「メール」タブから有効化でき、Action Schedulerを使って注文完了から設定した日数後に送信される仕組みだ。
注文がキャンセル、返金、削除された場合にはメールは自動キャンセルされる。全額返金された商品はレビュー対象から外されるため、購入者と商品の関係が切れた状態でのレビュー投稿を防げる。顧客はトークン付きの専用読み取り専用ページに誘導され、アクセシブルな5つ星評価のコントロールからレビューを投稿する。投稿されたレビューは「確認済み購入者」の商品レビューとして扱われる。
この仕組みで集まったレビューは確認済み購入者の証跡が残るため、レビュー全体の信頼性を高められる。商品ページの社会的証明を強化したいストアには有効な手段だ。
クーポンコードの自動生成機能
メールブロック内で使えるクーポンコード機能が自動生成に対応した。ストア運営者は割引額やクーポンタイプ、有効期限といったルールを設定し、メール送信時に受信者ごとのユニークなコードを動的に発行できる。
パーソナライズされたクーポンキャンペーンの運用が大幅に簡略化される。全員に同じコードを配布して拡散リスクを抱える必要がなくなり、1人1コードの安全な配布が可能だ。
メールテンプレートの同期とリセット
ブロックメールの投稿にバージョン、ソースハッシュ、同期日時といったメタデータが付与されるようになった。テンプレートが元の配布状態からどれだけ変更されたかを自動検知できる。さらに管理画面からワンクリックでメール本文をプラグイン配布時のオリジナル状態に戻せるリセット機能も追加された。
カスタマイズを重ねたメールテンプレートの管理は煩雑になりがちだが、変更箇所の可視化と即時リセットで運用負荷が下がる。
カスタム配送業者の設定
独自の配送業者を定義できるUIが追加された。業者名と追跡URLテンプレートを登録すれば、注文画面で業者ごとのフィルタリングや、カスタマイズされた追跡リンクを使って出荷状況を確認できる。
国内の小規模な配送業者や地域限定の物流サービスを使っているストアでも、統一された画面から追跡情報を管理しやすくなる。
APIの更新

REST APIとGraphQL
注文APIでは shop_order でないレコードの変換が拒否されるようになり、チェックアウトドラフト注文はデフォルトクエリから除外されるようになった。より明示的なデータ操作が求められる変更だが、意図しないデータ混入を防ぐ点でAPIの堅牢性が増した。
注目すべきはGraphQL APIの導入だ。デュアルコードとGraphQL APIがWooCommerceに組み込まれ、管理画面の「詳細設定」タブにGraphQL設定セクションが追加された。GETエンドポイントのトグル操作で有効にできる。ヘッドレス構成やモダンなフロントエンドスタックからWooCommerceのデータを柔軟に取得したい開発者にとって重要な布石となる。
そのほか商品公開時に発火する product.published ウェブフックトピックの追加や、商品管理権限のないユーザーに対する機密フィールド(ダウンロード、売上原価、仕入メモ)の除外など、セキュリティ面の強化も図られている。
データベースの更新と注意点

このリリースにはデータベース更新が含まれている。自動実行されるスケジュール更新の中では、ブロックメール投稿への同期メタデータ付与、WooCommerce 10.5で名称変更された分析データのインポート設定復元、meta_key_value 索引の調整、レビュー依頼用の専用ランディングページ作成などが行われる。
10.8の更新前には必ずサイト全体のバックアップを取得し、ステージング環境での事前テストを推奨する。またWordPress 6.9以上が必須条件となるため、WordPress本体のバージョンも事前に確認しておく必要がある。
この記事のポイント
- WooCommerce 10.8は購入後のレビュー依頼メールを自動化し、確認済み購入者のレビュー収集を効率化する
- 管理画面のオフライン検知機能が追加され、ネットワーク不安定環境でのデータ消失リスクが低減した
- クーポンコードの自動生成やメールテンプレートのリセット機能で運用負荷を下げられる
- SQLクエリの削減とキャッシュプライミングの拡大により、ストアフロントの応答速度が向上する
- GraphQL APIの導入はヘッドレス構成やモダンフロントエンド開発への対応を見据えた布石となる

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

Google APIキーを守る3つの基本手順、悪用と高額請求のリスクを下げる
Google Geminiを含むAIサービスやGoogle Cloud APIを利用する上で、APIキーの安全な管理は避けて通れない課題だ。適切な対策を怠ると、キーの漏洩や悪用により、高額な請求やプロジェクト環境の侵害を引き起こす可能性がある。
APIキーは「使うのは簡単だが、安全でない方法で使うのも同じくらい簡単」とGoogle Cloud Blogの著者Leonid Yankulin氏は指摘する。この記事では、Googleが提供するAPIキーのリスクを大幅に下げるための、すぐに実践できる具体的な手順を解説する。
これらの対策の多くは、Googleに限らず他のサービスで発行されるAPIキーやプロダクトトークンにも応用可能だ。個人開発者から組織の管理者まで、キーの取り扱いを見直すきっかけにしてほしい。
Step 1. 新しいAPIキーは「隔離」と「制限」が大前提

APIキーを作成する際、最初からセキュリティを考慮しておくことで、後々のトラブルを未然に防げる。「とりあえず作成」して放置されている無制限のキーが、組織における最大のリスク要因の一つだ。
キーは専用プロジェクトで作成する
新しいAPIキーを生成する最初のルールは、他の目的に使っていない独立したGoogle Cloudプロジェクト内で作成すること。これにより、仮にキーが漏洩しても、被害がそのプロジェクトのリソースに限定される。
プロジェクトを分けることは、問題発生時の原因特定と影響範囲の調査を大幅に容易にする。本番環境と同じプロジェクトで実験用のAPIキーを発行するといった行為は避けるべきだ。
API制限で「できること」を絞る
APIキーを作成する際、デフォルトではAPI制限がかかっていない。これは、そのキーが有効化されているすべてのサービスにアクセスできる状態を意味する。Google Cloud Blogの著者は「制限のないキーを絶対に作るな」と強調する。
API制限を設定することで、キーがアクセスできるサービスを特定のAPIだけに絞り込める。たとえば、AI Studioで利用するなら「Gemini API」のみ、地図機能だけが必要なら「Maps API」だけに制限する。漏洩時の攻撃範囲を最小化する考え方だ。
注意すべき副次的なポイントとして、AI StudioやFirebaseなど間接的なUIからキーを作成した場合、意図しないAPI群が自動で許可されているケースがある。Firebase経由で作ったキーは24ものAPI(DatastoreやFirestore、Cloud SQLなど)へのアクセスが許可されるため、不要なものは手動で外す必要がある。
制限したいAPIが一覧に表示されない場合は、そのAPIが対象プロジェクトで有効化されていない可能性が高い。APIライブラリから事前に有効化しておく必要がある。
アプリケーション制限で「使う場所」を縛る
API制限が「どのサービスを使えるか」を制御するのに対し、アプリケーション制限は「どのアプリからキーを使えるか」を制御する。こちらも併用することで、セキュリティは飛躍的に高まる。
たとえばAI Studio専用のキーなら、許可するウェブサイトを aistudio.google.com に限定すれば、他のスクリプトや自動化ツールから大量のトークンを消費されるリスクを防げる。指定できる制限タイプは以下の4種類だ。
- ウェブサイト、許可するURLのリストを指定
- サービス(IPアドレス)、IPv4やIPv6アドレス、サブネットマスクで指定
- iOSアプリ、バンドルIDで指定
- Androidアプリ、パッケージ名と証明書フィンガープリントのペアで指定
注意点として、1つのキーに設定できるアプリケーション制限タイプは1種類だけ。複数のアプリ種別で利用する場合は、それぞれ専用のAPIキーを発行する。キーをアプリごとに分けておけば、利用状況の監視や侵害発生時の調査も容易になる。
ウェブサイト
https://aistudio.google.com自動化スクリプトからの呼び出し、不明なIPアドレスからのリクエスト、許可リストにないWebサイト
Step 2. APIキーは「誰でも使える」前提で保管する

APIキーの最大の特性は、特定の個人アカウントと紐づかない点にある。Google Cloud Blogの記事で「誰でも使える」と強調されているように、キー文字列を知っていれば誰でもその権限でAPIを呼び出せる。保管の安全性の重要性はAPI制限と同等だ。
「APIキーを絶対に、見えやすい場所に保存してはいけない」という基本ルールはシンプルだが、実際の開発現場ではしばしば破られている。ソースコードへのハードコードや、Gitリポジトリへの平文でのコミットは典型的なミスだ。
自社アプリケーションではSecret Managerを使う
Google Cloudを利用しているなら、Secret Manager(シークレットマネージャー)のような専用の機密情報管理サービスにキーを格納するのが鉄則だ。Secret Managerを使えば、APIキーをCloud RunやGKEの実行環境に安全に注入できる。
さらに保護レベルを上げたい場合は、キーを環境変数に渡すのではなく、アプリケーションコード内でSecret Managerから直接読み取る方式も選択肢になる。これによりランタイムメモリへの露出時間をさらに短縮できる。
外部アプリケーションではキーの取り扱いを事前調査する
サードパーティ製のツールやサービスにAPIキーを入力する場合、そのアプリケーションがキーをどのように保管し、通信しているかを確認する必要がある。
Webアプリケーションであれば、ブラウザの開発者ツールを使ってトラフィックを調査し、キーが暗号化されていない通信経路で送信されていないかを確認する。「Google AI Studioは暗号化されたローカルストレージを使用し、TLS暗号化チャネル経由でのみキーを送信する」とYankulin氏は具体例を挙げている。こうした設計を満たしていないツールへのキー提供は避けるべきだ。
異常を検知したら「即削除」、調査の手順も把握する

どんなに対策を施しても、キーが侵害される可能性はゼロにはできない。迅速な初動対応が被害を最小化する鍵を握る。Yankulin氏は「クレジットカードを無くしたときと同じように、まずキーを削除すること」と述べている。
Cloudコンソール、または gcloud services api-keys delete コマンドで即座にキーを無効化する。誤報だったと判明した場合でも、削除から30日以内であれば undelete コマンドで復元が可能だ。
侵害されたキーを特定する2段階調査
どのAPIキーが侵害されたか不明な場合は、以下の2段階で調査を進める。
第一段階、組織またはプロジェクト内のすべてのAPIキーを洗い出す。Cloudコンソールの「Asset Inventory」でリソースタイプを apikeys.Key に絞り込む方法と、gcloud services api-keys list コマンドを使う方法がある。組織全体を横断検索する場合は gcloud asset search-all-resources コマンドでJSON出力をフィルタリングする。
第二段階、API消費量のグラフを確認する。Cloud Monitoringの指標 serviceruntime.googleapis.com/api/request_count を使い、credential_id ラベルで特定のAPIキーIDに絞り込む。リクエスト数が異常に急増している場合、そのキーが悪用されている可能性が高い。
APIキーIDは、Cloudコンソールの「Credentials」ページでキーを選択した際のURL(/key/[KEY_ID] 部分)から、または gcloud services api-keys list --format='value(displayName,uid)' コマンドで確認できる。
1時間あたり数千リクエスト。日次グラフはなだらかで安定した波形
1時間あたり数十万リクエストに急増。短時間で不自然なスパイクが出現
Step 3. 日常的な「APIキー衛生管理」を習慣化する

エンジニアだけの話ではない。クラウドをかじり始めたばかりの個人ユーザーも、今すぐAPIキーの「衛生管理」を始めるべきだ。放置されたキーは、知らぬ間に悪用の温床となる。
Yankulin氏が推奨する即時実行すべきアクションは以下の5つだ。
- 自分が保有するすべてのAPIキーを洗い出す
- 使っていないキー、見覚えのないキーはすべて削除する(30日以内なら復元可能)
- 残すキーは、利用するAPIだけに制限し、可能ならクライアントも絞り込む
- 組織の管理者は
apikeys.googleapis.com/Keyの組織ポリシーを設定し、キーの乱立と制限設定の抜けを防ぐ - 定期的なキーのローテーション(再発行と差し替え)を検討する。ただし、既存キーを削除する前に、すべての利用箇所を特定して新しいキーに更新する周到さが必要だ
キーローテーションの際に「既存キーがどこで使われているのか把握しきれていない」という問題に直面するケースは多い。日頃からキーの利用箇所をドキュメント化しておくこと、そして新しいキーの発行時点から適切な制限をかけておくことが、結果的にローテーションのハードルを下げる。
この記事のポイント
- APIキーは「誰でも使える」クレデンシャル。見える場所に保管しないことが大前提
- 新規キー作成時は、API制限とアプリケーション制限を両方設定して攻撃の範囲を狭める
- 保管にはSecret Managerなど専用の機密情報管理サービスを使い、コードへのハードコードを避ける
- 使っていないキーや制限のないキーは即座に削除し、組織ポリシーで乱立を防ぐ
- 侵害が疑われる場合はクレジットカードと同じ感覚で「まず削除」。監視データで異常を検知する

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

WooCommerce 10.7リリース。HPOS高速化と注文フルフィルメントAPIの進化を解説
WooCommerce 10.7が2026年4月14日に正式リリースされた。今回のアップデートでは、大規模サイトの運用に直結するパフォーマンスの劇的な改善と、開発者向けの新しいAPIが導入されている。
特にHPOS(High-Performance Order Storage)におけるデータベースクエリの51%削減は、バックエンドの負荷軽減に大きく寄与する。注文処理の効率化を目指す運営者にとって、見逃せない内容となっている。
本記事では、パフォーマンス向上、新設されたフルフィルメントAPI、そして管理画面のアクセシビリティ改善など、主要な変更点を技術的な視点で解説する。
HPOSのクエリ削減とパフォーマンスの劇的向上

WooCommerce 10.7における最大の焦点は、データベース処理の最適化だ。特にHPOS(High-Performance Order Storage / 高性能注文ストレージ)を利用している環境での改善が目覚ましい。HPOSとは、注文データを従来の「投稿(posts)」テーブルではなく、専用のカスタムテーブルに保存することで検索や更新を高速化する仕組みだ。
REST APIにおけるN+1問題の解消
Developer WooCommerce Blogの報告によると、注文データを取得するエンドポイント(/wc/v4/orders)において、キャッシュプライミング(事前読み込み)が導入された。これにより、いわゆる「N+1問題」が解消されている。
N+1問題とは、1回のデータ取得(1ページ分の注文リストなど)に対して、関連するデータを取得するために何度も追加のクエリを発行してしまう非効率な状態を指す。今回の改善により、リクエストあたりのSQLクエリ数が271個から132個へと、約51%も削減された。これは、サーバーのCPU負荷を抑え、APIのレスポンス速度を向上させることに直結する。
チェックアウトと配送設定の高速化
チェックアウト(決済)プロセスにおいても、下書き注文を保持するためのSQLクエリ数が削減された。オブジェクトキャッシュが有効な環境では、クエリ数が127個から115個程度まで減少する。わずかな差に思えるかもしれないが、同時アクセス数が多い大規模セール時などには、この積み重ねがサイトの安定性に寄与する。
また、配送ゾーンのメソッド管理テーブル(woocommerce_shipping_zone_methods)に新しいインデックスが追加された。インデックスとは、本でいう「索引」のようなもので、データベースが特定のデータを素早く見つけるための目印だ。これにより、配送オプションの読み込み速度が向上している。
注文フルフィルメントAPIのベータ版導入

開発者にとって大きな前進となるのが、注文の「フルフィルメント(注文から配送までの業務)」を管理するための専用APIが整備されたことだ。これまで、配送追跡番号などの管理はプラグインごとに独自の実装がなされることが多かったが、WooCommerceコアレベルで標準的な手法が提供されるようになる。
型定義されたPHPメソッドの提供
新しいAPIでは、PHPの型が明示されたメソッドを使用して、配送追跡データにアクセスできるようになった。これにより、コードの補完が効きやすくなり、開発時のミスを減らすことができる。以下のようなメソッドが利用可能だ。
$fulfillment->get_tracking_number();
$fulfillment->set_tracking_number( '1Z999AA10123456784' );
$fulfillment->get_shipping_provider();
$fulfillment->set_shipping_provider( 'ups' );カスタム配送業者の管理
設定画面(設定 > 配送 > 配送業者)から、独自の配送業者を定義できるようになった。これは新しいタクソノミー(分類機能)によって管理されており、各業者ごとに追跡URLのテンプレートを設定できる。注文一覧画面には新しい配送業者で絞り込むためのドロップダウンも追加され、運用効率が向上している。
アナリティクスとUIの改善

ストア運営者が日々利用する分析ツールやチェックアウト画面にも、細かな修正が加えられている。特に、データの正確性と使いやすさに重点が置かれている。
分析レポートのエクスポート機能強化
これまでのアナリティクス機能では、レポートをエクスポートする際に通貨設定やフィルタ条件が正しく反映されないケースがあった。WooCommerce 10.7では、バックグラウンド処理にこれらのパラメータが正しく引き継がれるよう改善された。また、フィルターフックを利用して、エクスポートするCSVに独自の列を追加することも可能になった。
チェックアウト画面のUX修正
カートおよびチェックアウトブロックにおいて、支払い方法の選択肢が1つしかない場合でも、ラジオボタンが常に表示されるように変更された。従来は1つしかない場合にボタンが非表示になっていたが、これでは支払い方法の名称と説明が視覚的に混ざってしまい、ユーザーが混乱する原因になっていた。この修正により、現在どの支払い方法が選ばれているのかが明確になる。
カード情報を入力してください。
カード情報を入力してください。
この変更により、ユーザーは「自分がどの手段で支払おうとしているのか」を直感的に理解できるようになり、コンバージョン率の低下を防ぐ効果が期待できる。
アクセシビリティとセキュリティの強化

WooCommerce 10.7では、多様なユーザーがストレスなく利用できるようにアクセシビリティ(利用しやすさ)の改善も進められている。また、バックエンドの堅牢性を高めるためのセキュリティ強化も含まれている。
WCAG 2.2 AA準拠への対応
システムステータス画面などの緑色のステータスインジケーターが、WCAG 2.2 AAのコントラスト比要件を満たすように調整された。コントラスト比とは、文字の色と背景の色の明暗差のことで、これが不十分だと視覚に制限のあるユーザーが情報を読み取ることが困難になる。今回の修正により、より多くのユーザーがシステムの健全性を正確に把握できるようになった。
REST APIとAJAXハンドラの保護
セキュリティ面では、v4 REST APIの注文ノートエンドポイントに wp_kses_post() によるサニタイズ(有害なコードの除去)が追加された。これにより、XSS(クロスサイトスクリプティング)攻撃のリスクを低減している。
また、商品の並べ替えなどを行うAJAXハンドラにCSRF(クロスサイトリクエストフォージェリ)対策の check_ajax_referer() が追加された。これにより、意図しない不正なリクエストによって設定が書き換えられるのを防いでいる。さらに、決済ゲートウェイのパスワードフィールドにおいて、特定の記号(%)が誤って削除される問題も修正され、パスワードの整合性が保たれるようになった。
独自の分析:WooCommerceは「エンタープライズ」への道を歩んでいる

今回のWooCommerce 10.7のアップデートを俯瞰すると、単なる機能追加ではなく「基盤の成熟」に重きを置いていることがわかる。特にHPOSにおける51%ものクエリ削減は、数千、数万の注文を抱える大規模ストアにとって決定的な意味を持つ。データベースの負荷が半分になるということは、同じサーバー構成でもより多くのトラフィックを捌けるようになるということだ。
また、フルフィルメントAPIの整備は、WooCommerceが単なる「カートプラグイン」から、外部の物流システムやERP(企業資源計画)とシームレスに連携する「プラットフォーム」へと進化しようとしている証左だ。開発者が型定義されたメソッドを使えるようになったことで、サードパーティ製プラグインの品質も底上げされるだろう。
WooCommerceは、小規模な個人商店から大規模なEC企業までをカバーする柔軟性を持っている。今回の10.7アップデートは、特に「成長し続けるストア」にとって、将来の拡張性と安定性を担保するための重要なステップだと言える。今後、フルフィルメント機能がベータ版を脱し、さらに洗練されることで、物流管理の自動化がより身近なものになるだろう。
この記事のポイント
- HPOS環境でのAPIクエリ数が51%削減され、大規模ストアのレスポンスが高速化された
- 注文フルフィルメント専用のAPI(ベータ版)が導入され、配送追跡番号の管理が標準化された
- アナリティクスのエクスポート機能が改善され、通貨設定やカスタムフィルタが正しく反映されるようになった
- アクセシビリティが改善され、WCAG 2.2 AA基準のコントラスト比に対応した
- REST APIやAJAXハンドラにセキュリティ強化が施され、XSSやCSRFへの耐性が向上した

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

WooCommerceの決済・配送APIが遅い?サードパーティ障害からサイトを守る技術
WordPressサイト、特にWooCommerceを利用したECサイトの表示が急に重くなったとき、多くの運用者はまずホスティングサーバーの性能を疑う。しかし、実際にはサイトが依存している「外部サービス」が真の原因であるケースが少なくない。
決済ゲートウェイの応答待ち、配送キャリアの送料計算APIの遅延、あるいはアクセス解析スクリプトの読み込み停滞など、サードパーティの不調はサイト全体のパフォーマンスを道連れにする。これらの要素はホスティング側の制御を超えた場所にあり、適切な対策なしにはサイト全体の「連鎖的な崩壊」を招くリスクがある。
本記事では、WordPressにおけるサードパーティ依存の障害がどのようにサイトを停止させるのか、その仕組みを解明する。また、コンテナ隔離技術による保護や、アプリケーションレベルでのタイムアウト設定、フォールバック(代替処理)の実装など、プロが実践すべき具体的な防御策を詳しく解説していく。
サードパーティ依存が引き起こす「連鎖的障害」の正体

現代のWordPressサイトは、単体で完結していることは稀だ。特にWooCommerceを運用している場合、チェックアウトのプロセスだけでも多くの外部APIと通信している。決済処理のためにストライプ(Stripe)やペイパル(PayPal)とやり取りし、リアルタイムの送料を算出するために配送会社のシステムへ問い合わせ、税金の計算サービスと同期するといった具合だ。
これらの依存関係のうち、たった一つでも応答が遅くなると、その影響は特定の機能だけに留まらない。WordPressが外部APIのレスポンスを待っている間、サーバー内の「PHPスレッド」と呼ばれる処理の枠組みが占有されたままになるからだ。これは、レジで客が財布を忘れて取りに戻っている間、後ろに並んでいる全員が待たされる状態に似ている。
PHPスレッドの枯渇と504エラーの相関
PHPスレッドとは、サーバーが一度に実行できる作業の単位だ。例えば、ある決済APIがタイムアウトするまでに30秒かかるとしよう。その間、一つのスレッドはその通信を待つためだけに拘束され、他のリクエストを処理できなくなる。もし複数のユーザーが同時にチェックアウトを試みれば、利用可能なスレッドはあっという間に使い果たされてしまう。
スレッドがすべて埋まると、新しくサイトを訪れたユーザーのリクエストは順番待ちになる。そして一定時間を過ぎても処理が始まらない場合、ブラウザには「504 Gateway Timeout」などのエラーが表示される。このエラーはサーバーのスペック不足で起きるものと見た目が同じであるため、本当の原因が外部APIにあることを見逃しやすいという問題がある。
可視性のギャップ:インフラか外部要因か
504エラーが発生した際、多くの管理者はCPU使用率やメモリ残量といったインフラのメトリクス(指標)を最初に確認する。しかし、外部APIの遅延が原因の場合、インフラ側の負荷はそれほど高くないにもかかわらず、サイトが停止しているという矛盾が生じる。この「可視性のギャップ」が、問題解決を遅らせる大きな要因となるのだ。
↓ API応答待ち(30秒間スレッド占有)
× 後続のユーザー全員がエラーになる
↓ タイムアウト設定(5秒で切り上げ)
○ 予備の送料を表示して処理を続行
外部APIの遅延がサイト全体を停止させる仕組みと、タイムアウト設定による保護のイメージだ。
ホスティング環境による「被害の局所化」:コンテナ隔離の重要性

外部サービスの障害による影響範囲を最小限に抑えるためには、ホスティング側のアーキテクチャが重要になる。一般的な共有サーバーでは、一つのサイトで外部APIの遅延によるスレッド枯渇が起きると、同じサーバーに同居している他の無関係なサイトまで道連れにして停止させてしまうことがある。これは、すべてのサイトが共通のスレッドプールを奪い合っているからだ。
対照的に、Kinstaのようなモダンなホスティング環境では、各WordPressサイトを「隔離されたコンテナ」の中で実行している。この方式の最大のメリットは、障害の「爆発半径」をそのサイト内だけに閉じ込められる点にある。
専用スレッドプールによる防御線
コンテナ技術を採用している環境では、各サイトに専用のPHPスレッドプールが割り当てられている。たとえ自サイトで決済APIの不調によりスレッドがすべて埋まったとしても、同じサーバー上の他のサイトには一切影響が及ばない。また、スレッドが一時的に不足した場合でも、リクエストはNginxやPHP-FPMのキュー(待ち行列)に保持され、スレッドが空き次第順次処理されるため、即座にエラーを返さず踏みとどまることが可能だ。
実行時間制限とタイムアウトの落とし穴
サーバーには通常、max_execution_time という設定があり、PHPスクリプトの実行時間を制限している。しかし、ここに大きな落とし穴がある。Linux環境では、PHPが外部APIとの通信(ストリーム操作)を待っている時間は、この実行時間としてカウントされない仕様なのだ。
つまり、たとえサーバーの制限が30秒に設定されていても、外部APIからの返答を待っている間は、その制限時間を超えてスレッドを占有し続ける可能性がある。このため、サーバー側の設定だけに頼るのではなく、WordPressのアプリケーション側で明示的なタイムアウトを設定することが不可欠となる。
Kinsta APMを活用したボトルネックの特定手順

「サイトが重い」と感じたとき、それがサーバーの問題なのか外部サービスのせいなのかを切り分けるには、APM(Application Performance Monitoring)ツールが威力を発揮する。Kinstaが提供しているAPMツールは、PHPのプロセス、MySQLクエリ、そして外部へのHTTPコールを時系列で詳細に記録してくれる。
「External」タブで外部通信を監視する
APMの管理画面にある「External」タブは、サードパーティ依存の問題を特定するための鍵となる。ここには、プラグインやテーマが実行したすべての外部HTTPリクエストがリストアップされる。各リクエストの平均所要時間、最大所要時間、そして1分あたりのリクエスト数が表示されるため、どのAPIが足を引っ張っているかが一目瞭然だ。
例えば、特定の決済APIの最大所要時間が数秒以上に達していれば、そのサービスがボトルネックであることは疑いようがない。ホスティング環境自体は正常に動作していても、外部の特定のピースが欠けているために全体が遅くなっていることがデータで証明できるのだ。
トランザクショントレースによる詳細分析
さらに詳しく調査したい場合は、個別のリクエストをクリックして「トランザクショントレース」を確認する。これは、一つのリクエストが完了するまでに行われた全処理をタイムライン形式で表示するものだ。処理全体の90%以上を外部APIとの通信が占めているような場合、サーバー構成の変更やキャッシュの調整よりも、そのAPIの利用方法を見直す方が遥かに効果的だと言える。
サイトの表示を止めないための非同期読み込みとタイムアウト戦略

インフラ側での隔離ができたら、次はアプリケーション側での防御策を講じる。最も基本的なのは、スクリプトの「非同期読み込み」だ。WordPressはデフォルトでスクリプトを同期的に読み込むが、これは外部サーバーからスクリプトがダウンロードされるまで、ブラウザがページの描画をストップ(ブロック)してしまうことを意味する。
asyncとdeferの使い分け
アクセス解析やマーケティング用のスクリプトなど、ページの表示に直接関係ないものは、async または defer 属性を付けて読み込むべきだ。WordPress 6.3からは、wp_enqueue_script() 関数でこれらの属性を簡単に指定できるようになった。実行順序が重要なものは defer、順不同で即座に実行して良いものは async を選ぶのが鉄則だ。
add_action( 'wp_enqueue_scripts', function() {
// 解析スクリプト:表示をブロックしないようdeferを指定
wp_enqueue_script(
'google-analytics',
'https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX',
[],
null,
[ 'strategy' => 'defer', 'in_footer' => false ]
);
// マーケティングツール:順不同で良いのでasyncを指定
wp_enqueue_script(
'marketing-tool',
'https://example.com/script.js',
[],
null,
[ 'strategy' => 'async', 'in_footer' => false ]
);
} );APIタイムアウトのフィルタ設定
PHP側で行うAPI通信についても、待ち時間の上限を厳格に定める必要がある。WordPressには http_request_timeout というフィルタが用意されており、これを使って外部リクエストのタイムアウト時間を制御できる。デフォルトの5秒でも長すぎる場合があるため、重要度に応じて短縮を検討すべきだ。
add_filter( 'http_request_timeout', function( $timeout, $url ) {
// 特定のAPIに対しては、最大3秒までしか待たない設定にする
if ( str_contains( $url, 'api.shipping-service.com' ) ) {
return 3;
}
return $timeout;
}, 10, 2 );障害を「なかったこと」にするフォールバックの実装パターン

タイムアウトを設定して通信を遮断するだけでは、ユーザーにはエラーが表示されてしまう。そこで重要になるのが「フォールバック(代替処理)」の仕組みだ。外部APIが死んでいても、サイトとしての最低限の機能を維持するための工夫である。
具体的には、WordPressの「トランジェント(一時的なキャッシュデータ)」を活用する。APIとの通信が成功した際のレスポンスを一定期間保存しておき、APIがエラーを返したりタイムアウトしたりした場合には、その保存されている「古いデータ」を代わりに使うという手法だ。
二段構えのキャッシュ戦略
より堅牢なシステムにするなら、通常のキャッシュ(1時間程度)とは別に、より長期のバックアップ用キャッシュ(24時間程度)を保持する「二段構え」の構成が推奨される。APIがダウンしている間、ユーザーは昨日時点の送料データを基に買い物を続けることができる。全く注文が受けられない状態に比べれば、多少のデータの古さは許容範囲内であることが多い。
優雅な劣化(Graceful Degradation)
もしキャッシュすら存在しない場合は、あらかじめ設定しておいた「一律料金」などのデフォルト値を返すように設計する。これを「優雅な劣化(Graceful Degradation)」と呼ぶ。システムの一部が壊れても、全体を停止させずに、機能を縮小しながら稼働し続けるという考え方だ。この設計思想があるかないかで、障害時の売上損失は劇的に変わってくる。
外部APIの状況に応じた、段階的なフォールバック(代替処理)の優先順位だ。
この記事のポイント
- サードパーティAPIの遅延は、PHPスレッドを占有し、サイト全体の504エラーを引き起こす。
- サーバー側の実行時間制限(max_execution_time)は、API通信の待機時間には効かない場合がある。
- コンテナ隔離技術を採用したホスティングなら、他サイトのAPI障害による巻き添えを防げる。
- 非同期読み込み(async/defer)やHTTPタイムアウト設定により、アプリ側で防御線を張るべきだ。
- キャッシュ(トランジェント)を活用したフォールバック実装が、障害時のビジネス継続性を左右する。

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験

WooCommerce 10.7リリース:HPOS高速化とFulfillment API刷新の全容
WooCommerce 10.7の正式リリースが、2026年4月14日に予定されている。今回のアップデートは、ショップの表示速度に直結するパフォーマンスの劇的な改善と、開発者が配送情報をより柔軟に扱える新しいAPIの導入が柱となっている。すでにベータ版が公開されており、開発コミュニティでは新機能の検証が進んでいる状況だ。
特筆すべきは、データベースクエリの大幅な削減である。HPOS(高性能注文ストレージ)環境における注文データの取得効率が向上し、特定の条件下ではクエリ数が半分以下にまで減少した。これは大規模な注文を抱えるストアにとって、サーバー負荷の軽減とレスポンスの向上をもたらす重要な変更といえる。
本記事では、WooCommerce 10.7で導入される主要な機能やAPIの変更点、そして開発者が注意すべきセキュリティの強化項目について詳しく解説していく。サイト運営者やエンジニアが、次期バージョンへの移行準備をスムーズに進めるためのガイドとして活用してほしい。
パフォーマンスの劇的な向上とクエリの最適化

WooCommerce 10.7における最大のトピックは、システムの根幹に関わるパフォーマンスの最適化だ。特に、注文データを効率的に処理するための仕組みであるHPOS(High-Performance Order Storage / 高性能注文ストレージ)において、目覚ましい成果が得られている。
HPOSにおけるクエリ削減とN+1問題の解消
WooCommerce Developer Blogの報告によれば、REST APIの /wc/v4/orders エンドポイントにおけるクエリ数が、従来の271から132へと大幅に削減された。これは「キャッシュプライミング(Cache Priming)」と呼ばれる手法を導入したことによる成果だ。キャッシュプライミングとは、データが必要になる前にあらかじめキャッシュを準備しておく仕組みを指す。
具体的には、APIが注文データをシリアライズ(データ転送用の形式に変換)する際に発生していた「N+1問題」が解消された。N+1問題とは、1つの親データ(注文)を取得した後に、それに関連する複数の子データ(注文項目やメタデータ)を個別に取得するために大量のクエリが発行されてしまう現象だ。今回の改善により、必要なデータが一括でキャッシュされるようになり、データベースへの負荷が劇的に減少している。
データベースインデックスとストアAPIの高速化
データベースの検索効率を上げるための「インデックス」も強化された。新しく woocommerce_shipping_zone_methods テーブルにインデックスが追加されたことで、配送ゾーンの検索処理が高速化されている。配送設定が多い複雑なストアほど、その恩恵を強く感じられるはずだ。
また、フロントエンド向けの「Store API」では、商品エンドポイントにおいて Last-Modified タイムスタンプのキャッシュが導入された。これにより、データに変更がない場合はデータベースへの問い合わせ自体をスキップできるようになり、キャッシュヒット時のレスポンスがさらに速くなっている。さらに、高トラフィックなサイト向けに、注文数のカウント更新を一時的に無効化できる新しいフィルター woocommerce_pre_refresh_order_count_cache も追加された。
配送・フルフィルメント機能のAPI刷新(ベータ版)

注文を受けた後の「フルフィルメント(発送業務)」に関するシステムが、今回の大規模なアップデートで刷新された。現在はベータ版という位置づけだが、配送情報をプログラムから制御するための強力なAPIが提供されている。
新しい配送プロバイダー用タクソノミーの導入
これまでのWooCommerceでは、配送業者の情報を管理するための標準的な仕組みが不足していた。10.7では、新しく wc_fulfillment_shipping_provider というタクソノミー(分類機能)が導入された。これにより、開発者はカスタムの配送プロバイダーをシステムに登録し、管理画面の「設定 > 配送 > 配送プロバイダー」から一元管理することが可能になる。
この変更により、外部の配送サービスや独自の追跡システムとの連携がよりスムーズになる。これまで独自のメタデータとして管理していた配送情報を、WooCommerceの標準的なデータ構造に乗せることができるようになるため、プラグイン間の互換性も向上するだろう。
PHP APIによるトラッキング情報の操作
開発者向けのPHP APIも強化され、型定義されたメソッドが利用可能になった。例えば、注文の追跡番号を取得する get_tracking_number() や、設定する set_tracking_number()、配送業者を取得する get_shipping_provider() などが追加されている。これにより、コードの可読性が高まり、バグの混入を防ぎやすくなる。
また、フルフィルメントの進捗状況(ライフサイクルイベント)が、自動的に注文ノートとして記録されるようになった。新しい定数 FULFILLMENT を使った注文ノートグループが導入され、いつ発送準備が整い、いつ追跡番号が発行されたのかといった履歴が管理画面から一目で確認できるようになる。
Store APIの強化:フロントエンド開発の効率化

モダンなフロントエンド開発(ヘッドレス構成など)で利用される「Store API」にも、実用的な新機能が多数追加されている。フロントエンドアプリケーションがより少ないリクエストで、必要な情報を取得できるように設計が工夫されている。
商品スペックの取得とリレーションの埋め込み
Store APIで取得できる商品データに、新しく「重量(weight)」と「寸法(dimensions)」のフィールドが追加された。これらはフォーマット済みの値も含めて提供されるため、フロントエンド側で複雑な計算や整形処理を行う必要がない。1回のリクエストで商品の詳細な仕様をすべて取得できるのは、ユーザー体験の向上に寄与するだろう。
さらに、アップセル、クロスセル、関連商品のデータを _links フィールドに埋め込むことが可能になった。リクエスト時に ?_embed パラメーターを付与するだけで、関連商品の詳細データも同時に取得できる。これにより、関連商品を表示するために追加のAPIコールを行う必要がなくなり、ページの読み込み速度が向上する。
カート・チェックアウトブロックの安定性向上
ブロックベースのカートページで発生していた、特定のキャッシュ環境下での403エラーが修正された。これは「nonce(一度だけ使われる使い捨てのトークン)」の有効期限が切れてしまうことが原因だったが、10.7ではページ読み込み時に最新のnonceを自動で再取得し、その完了を待ってから処理を継続する仕組みに改善された。
また、支払い方法の選択画面において、支払いオプションが1つしかない場合でもラジオボタンが常に表示されるようになった。これにより、ユーザーは「現在どの支払い方法が選択されているか」を視覚的に確信できるようになり、UIの一貫性が保たれる。ダークモードを採用しているテーマ向けの配色調整も行われており、フォームの視認性が向上している。
支払い方法が1つの場合でも、選択状態を示すラジオボタンが表示されるように改善された。
ブロックベースのメールエディターと分析機能の拡張

WooCommerceが現在注力している「ブロックベースのメールエディター」にも、将来のフルサイト編集を見据えた改善が加えられている。この機能はまだ実験的な段階だが、メールのカスタマイズ性を大きく広げる可能性を秘めている。
メールレイアウトの自由度向上
最新バージョンでは、ブロックをメールの幅いっぱいに表示する alignfull 設定のサポートに向けた基礎工事が行われた。これにより、将来的にインパクトのあるヒーロー画像や背景色の塗りつぶしなどが、メール内でも実現可能になる。また、WordPressの投稿をメール内に埋め込む際、単なるリンクではなく、アイキャッチ画像や抜粋が含まれた「リッチなカード形式」で表示されるようになった。
テンプレート管理機能も強化され、カスタマイズした内容をいつでも初期状態に戻せる「デフォルトにリセット」アクションが追加された。開発者向けには、リセット時のコンテンツをカスタマイズするための woocommerce_email_block_template_html フィルターなども用意されている。なお、これらの機能を利用するには、現在も機能フラグを有効にする必要がある点に注意してほしい。
分析レポートのエクスポートフィルター
ストアの運営状況を把握するための分析機能(Analytics)では、データのエクスポート処理に新しいフィルターが追加された。収益統計、税金、バリエーションなどのデータをCSV等で書き出す際に、特定の列をカスタマイズしたり、出力内容を調整したりできるようになった。
特にマルチ通貨(多通貨)対応のショップを構築している場合、通貨パラメーターやカスタムフィルターの情報をバックグラウンドのエクスポート処理に正しく引き継げるようになった点は大きい。これにより、特定の通貨のみに絞った詳細なレポート作成などが、外部ツールを使わずともスムーズに行えるようになる。
開発者が注意すべき変更点とセキュリティ強化

WooCommerce 10.7へのアップデートにあたり、開発者が必ず確認しておくべき重要な変更点がある。特に名前空間の変更は、既存のプラグインやカスタマイズコードに影響を与える可能性がある。
名前空間の変更と後方互換性
フルフィルメント(Fulfillments)機能に関連するクラスの名前空間が変更された。以前の Automattic\WooCommerce\Internal\Fulfillments から、Automattic\WooCommerce\Admin\Features\Fulfillments へと移動している。もし独自の拡張機能でこれらのパスを直接参照している場合は、リリース前にコードを修正する必要がある。
こうした名前空間の変更は、内部構造の整理と将来的な機能拡張のために行われるものだ。開発環境でデバッグモードを有効にし、非推奨の警告が出ていないかチェックすることをお勧めする。
セキュリティ対策の強化
セキュリティ面でも、複数の箇所で「ハードニング(堅牢化)」が行われている。まず、v4 REST APIの注文ノートエンドポイントに、XSS(クロスサイトスクリプティング)対策として wp_kses_post() によるサニタイズ処理が追加された。これはすでにv1からv3までのAPIには導入されていたものだが、最新のv4でも同等の保護が適用される形となった。
また、商品やカテゴリーの並び替えを行うAJAXハンドラーに対して、CSRF(クロスサイトリクエストフォージェリ)検証が追加された。これにより、悪意のある第三者が管理者に代わって商品の表示順を不正に操作するといった攻撃を防ぐことができる。さらに、支払いゲートウェイのパスワードフィールドで % 文字が含まれている場合に値が壊れてしまう問題も修正されており、認証情報の取り扱いに関する信頼性が向上している。
この記事のポイント
- HPOSの最適化:キャッシュプライミングにより注文クエリが約50%削減され、表示速度が向上した。
- Fulfillment API刷新:配送プロバイダーを管理する標準的な仕組みが導入され、開発効率が高まった。
- Store APIの強化:商品スペックの追加や関連データの埋め込み(_embed)により、フロントエンドの開発がよりスムーズになった。
- セキュリティの堅牢化:REST APIやAJAX処理におけるXSS・CSRF対策が強化され、ストアの安全性が向上した。
- 名前空間の変更:フルフィルメント関連のパスが変更されたため、開発者は既存コードの確認が必要だ。

・ 複数業界における17年間のデジタルビジネス開発経験
・ ウェブサイト開発のためのHTML、PHP、CSS、JavaScript等の実用的知識
・ 15ヶ国語対応の多言語SaaSの開発経験
・ 17年間にも及ぶ、Eコマース長期運営経験
・ 幅広い業界でのSEO最適化の豊富な経験





