LINE Harnessは安全? オープンソースのセキュリティリスクと正しい選び方
最近SNSで「LINE Harness」という名前を見かける機会が増えましたよね。
LINE Harnessとは、Lステップなどの有料LINE運用ツールの代わりになる、無料のオープンソースツールだそうで。
こんたしかも5,000人まで実質無料で使えるということで、フリーランスの制作者やWebディレクターの間でも話題になっています!
私も最初に見たとき「これはすごい」と思いました。
でも同時に、こんな疑問が浮かんだんです。
「オープンソースということは、顧客情報のセキュリティ管理は大丈夫なの?」
調べてみると、やっぱり知っておくべきリスクがありました。
なのでこの記事では、LINE Harnessを「否定したい」わけではありません。技術力がある方にとっては素晴らしいツールです。
ただ、「無料で便利」という言葉だけで安易に飛びつく前に、リスクを正しく理解した上で判断してほしい。
だからこそ、「無料で便利」の裏にあるリスクを知った上で、選ぶ人になろうということを伝えたいという気持ちで書いています。
LINE Harnessって何?
話題になっている背景
LINE Harnessは、野田修一氏が開発したオープンソースのLINE公式アカウントCRM(顧客管理)ツールです。
Lステップ、エルメ、Utageなど、これまで月額数千円〜数万円かかっていたLINE運用ツールと同等の機能を、無料で使えるという点で大きな注目を集めています。
何ができるツールなのか
ざっくり言うと、LINE公式アカウントの運用を自動化・効率化するためのツールです。
- セグメント配信(タグやリッチメニューの出し分け)
- ステップ配信
- 顧客管理(CRM)
- リッチメニューのカスタマイズ
- Webhook(自動応答の仕組み)の設定
これらの機能を、Cloudflare Workers(クラウドの実行環境)とD1データベース(クラウドのデータベース)の上で動かします。
また、Claude CodeのMCPサーバーと連携して、自然言語(日本語の指示)で操作できるという先進的な機能も話題の理由のひとつです。
「無料」のからくり
LINE Harness自体はMITライセンスのオープンソースなので、ソフトウェアの利用料は無料です。
ただし、動かすためにCloudflareのアカウントが必要で、Cloudflare Workersの無料枠(1日あたり10万リクエスト)の範囲内であれば実質無料で運用できます。5,000人程度までならこの無料枠で収まるとされています。
オープンソース=危ないは本当?
「オープンソースって、ソースコードが公開されているんでしょ? それって危なくないの?」
この疑問、すごくよくわかります。私も最初はそう思いました。
でも実は、「オープンソースだから危ない」は必ずしも正しくありません。
オープンソースのセキュリティの考え方
オープンソースとは、ソフトウェアの設計図(ソースコード)が公開されていて、誰でも中身を確認・改良できる仕組みのことです。
「設計図が見えるなら、弱点も見えるのでは?」と思うかもしれません。
でも逆に言えば、世界中のエンジニアが設計図をチェックできるということでもあります。問題があれば誰かが見つけて報告し、修正される。この透明性こそが、オープンソースのセキュリティの強みです。
実際、WordPress自体もオープンソースですよね。世界のWebサイトの40%以上がWordPressで動いていますが、「オープンソースだから危険だ」という理由で使わない人はほとんどいません。
じゃあ、何が問題なのか
問題は「オープンソースかどうか」ではなく「誰が、どう設定・管理するか」にあります。
ここからが本題です。
実際のセキュリティリスクはどこにある?
LINE Harnessを使う上で、具体的にどんなリスクがあるのか。ここが一番大切なポイントです。
アクセス権限の管理
LINE Harnessを動かすにはCloudflareのアカウントが必要です。このアカウントが乗っ取られたら、顧客データに自由にアクセスされてしまいます。
- Cloudflareアカウントの二段階認証を必ず設定する
- パスワードは使い回さない
- アカウントの共有は最小限に
これ、当たり前のことに聞こえるかもしれません。でも「設定しましょう」と言ってくれる人がいない状態で、自分で気づいて対策できるかどうか。ここが有料ツールとの大きな違いです。
APIキー・シークレットキーの管理
LINE Harnessの初期設定では、LINE Messaging APIのチャネルシークレットやアクセストークンなどの秘密鍵(シークレットキー)を自分で設定します。
これは「お店の金庫の暗証番号」のようなもの。漏れたら、第三者がLINE公式アカウントを操作できてしまいます。
- 設定ファイル(.envファイル)をうっかりGitHubに公開してしまう
- チーム内で秘密鍵をチャットやメールで共有してしまう
- バックアップファイルに秘密鍵が含まれたまま保存されている
- .envファイルは必ず.gitignoreに追加する(GitHubに上がらないようにする)
- 秘密鍵の共有はパスワードマネージャーなどの安全な方法で行う
- 定期的にキーをローテーション(更新)する
通信の暗号化
CloudflareはデフォルトでHTTPS(暗号化通信)に対応していますが、設定モードによっては暗号化が不完全な場合があります。
顧客のLINEアカウント情報やメッセージ内容がやりとりされる通信ですので、暗号化が正しく機能していることの確認は必須です。
すべてが自己責任
ここが最も大切なポイントです。
LINE Harnessはオープンソースソフトウェアなので、セキュリティ設定は全て自己責任です。
- 設定ミスで顧客データが漏洩しても、開発者やCloudflareは責任を負いません
- セキュリティアップデートが出ても、自分で気づいて適用する必要があります
- 何か問題が起きたとき、サポート窓口はありません
「無料」の裏側には、「自分で全部やる」というコストが隠れています。
有料SaaS(Lステップ等)と比較したらどっちが安全?
「じゃあやっぱり、Lステップみたいな有料ツールの方が安全なんでしょ?」
……実は、そう単純な話でもないんです。
「有料=安全」は幻想
有料のSaaSツールだって、過去にはデータ漏洩の事故を起こしています。大手のクラウドサービスでも、設定ミスや内部不正による情報漏洩は起きています。
つまり、「誰がサーバーを管理しているか」よりも「誰が設定しているか」の方が、実はリスクに直結するんです。
本当の違いはここ
| 比較項目 | LINE Harness オープンソース | Lステップ等 有料SaaS |
|---|---|---|
| 費用 | 実質無料(5,000人まで) | 月額2,980円〜 |
| データの保管場所 | 自分のCloudflare D1 | サービス提供会社のサーバー |
| セキュリティ設定 | 全て自分で行う | サービス側が基本的に管理 |
| アップデート | 自分で適用する | 自動で適用される |
| サポート | なし(コミュニティベース) | あり(メール・チャット等) |
| 事故時の責任 | 全て自己責任 | サービス提供会社にも責任あり |
| カスタマイズ性 | 非常に高い | 限定的 |
ポイントは「責任の所在」
有料ツールの本当の価値は、機能だけではありません。
「何かあったときに、一緒に対応してくれる相手がいるかどうか」
これが、月額料金に含まれている見えないサービスです。
特にクライアントの顧客データを扱う場合、万が一の事故が起きたときに「全て自己責任です」と言わざるを得ない状態は、ビジネスとして大きなリスクです。
フリーランス制作者・Webディレクターはどう使うべきか
技術力がある人には強力なツール
LINE Harnessは、以下のような方にとっては本当に素晴らしいツールです。
- Cloudflareの設定や管理ができる
- APIキーの管理やセキュリティ設定に自信がある
- 何か問題が起きても自分で対応できる技術力がある
- オープンソースのコードを読んで理解できる
こういった方なら、有料ツールにはないカスタマイズ性と、データを自分で管理できる安心感を活かして、とても効率的に運用できるでしょう。
クライアントへの提案にはまだハードルが高い
一方で、クライアントのLINE公式アカウント運用に導入する場合は、慎重になるべきだと思っています。
- クライアントの顧客データを預かる責任がある
- セキュリティ事故が起きた場合、クライアントとの信頼関係に直結する
- 「無料のツールを使っています」という説明では、クライアントの不安を払拭しにくい
- サポート体制がないため、トラブル時の初動が遅れるリスクがある
もちろん、セキュリティ対策をきちんと行い、クライアントにリスクを説明した上で合意が取れるなら、選択肢としてはアリです。
でも、「安いからクライアントにも勧めよう」という動機だけで導入するのは、ちょっと待ってほしい。
「使える人」と「使うべき状況」の整理
| おすすめできる | 慎重に判断すべき | |
|---|---|---|
| 自分のアカウント運用 | 技術力があれば積極的に活用できる | セキュリティ設定に不安がある場合 |
| クライアントへの提案 | リスクを説明し合意が取れる場合 | 「安いから」だけの理由での導入 |
| 個人事業・少人数 | コストメリットが大きい | — |
| 法人・大規模運用 | 専任の技術者がいる場合 | セキュリティ体制が整っていない場合 |
まとめ
LINE Harnessは、間違いなく革新的なツールです。
有料ツールと同等の機能が無料で使えて、データも自分で管理できる。Claude Codeとの連携で自然言語での操作もできる。技術力がある人にとっては、最強のLINE運用ツールになり得ます!
でも、「無料で便利」という言葉だけを見て、安易に乗り換えを決めるのは危険です。
- オープンソースだから危険なのではなく、設定と管理を全て自分でやる必要がある
- 有料ツールの月額料金には、セキュリティ管理やサポートという「見えないサービス」が含まれている
- 特にクライアントの顧客データを扱う場合は、責任の所在を明確にしてから判断すべき
私がこの記事で伝えたかったのは、「LINE Harnessは危険だからやめよう」ということではありません。
「知った上で選ぶ人になってほしい」ということです。
話題に乗っかる前に、リスクを理解する。メリットだけでなく、デメリットも把握する。その上で、自分やクライアントにとって最適な選択をする。
それが、Webディレクターとしての正しい判断力だと思っています。
SEOやマーケティングが
わからないから・・・
ホームページ制作に
自信が持てない方へ
Webディレクターに必要な
スキルのすべて
SEO・マーケティング・
ヒアリング・ライティングが
実践で身につく!
成約率100%の
現役 Webディレクターが
あなたのWebディレクターデビューを
サポートします
クライアントのビジネスに貢献したい!
\事業計画や戦略で応えたい方におススメ/
この記事を書いた人
関連記事
-
これやっとけば安心!がない..「VUCA(ブーカ)時代」とは?|Webディレクターとして大切にしたい考え方 -
ホンモノを見極める力の大切さを伝えておきたいんです。 ― プロもどきが増えた時代に必要な「見極める目と意識」
-
長年お付き合いのあるクライアント様 神谷真綺さんにインタビューしていただき、記事を掲載いただきました -
ホームページ制作に必要な「10年後も残せる」プラットフォームの選び方とは?
-
Webディレクターはどこを見てる?実装後品質チェックの観点をご紹介
-
Webディレクターって何屋さん?制作と運用を統括する重要な役割とは
-
ご招待いただいた社員感謝祭で感じた、介護力の強い地域づくりへの情熱 -
『デザイン=設計』コーダー出身の私が語る、ユーザビリティと導線設計の真実
