US MWS APIの申請でMWS Access Key Additional Info(エクセルファイル)が送られてきた時の対処法(回答サンプル)

Amazonを使った物販をする上でなんらかのツールを使用する人は多いでしょう。ツールを使う場合にはAmazonのAPI、MWS APIが必要になることがあります。

どこで売るか、というのもありますが、アメリカのMWS APIキーを取得する人も中にはいるはずです。

当ブログでは『AsinStocker』というリサーチツールを開発しているのですが、アメリカのMWS APIキーを設定することでアメリカAmazonの商品情報、価格情報、販売手数料などを取得することができるようになります。

ブログ読者様より、アメリカAmazonのMWS API利用申請をしようとしたら『MWS Access Key Additional Info』というエクセルファイルが送られてきた、というご連絡がありました。

わたしのほうで一読してみたところ…

これはツール開発者じゃないと回答できない

という結論に至りました。

なので、今回はMWS Access Key Additional Infoにどのように書いたら良いのか、ということを記事にしてみます。

2018年11月時点ではこの方法では申請が通らないことが判明しています。あくまでも参考程度に…。

US MWS API利用申請時に送られてくるMWS Access Key Additional Infoの書き方

とりあえず、どのような質問が飛んでくるのかを最初に書きます。

No	Field	Valid Values
1	You Company's Employer Identification Number (EIN)
2	State of Incorporation	50 States (standard) + other/international (free text)
3	Number of Employees	Small: 1-5 employees Medium: 6-30 Large: 30+
4	Solution Type	Solution Type: Public - Will be used by other Sellers Private - Developing in-house software for my Selling account Other - need credentials to use in a downloaded desktop or mobile App
5	Describe features of your solution.
6	Do you currently have existing MWS API Access Keys in any locale?	Y/N
7	If so, provide Developer ID and Region
8	What data and APIs will you be accessing?
9	Please describe below the anticipated flow of Amazon data within your environments e.g. how is the data ingested, processed, transmitted and stored, highlighting any related security features.
10	Are all production systems monitored and information security events recorded and preserved for at least 3 months? (choose one)	1. No, we do not have audit logging enabled or event data is not preserved for at least 3 months. 2. Yes, only at the OS level and event data is preserved for at least 3 months. 3. Yes, at the OS level and application levels and event data is preserved for at least 3 months. 4. Yes, at the OS level, application levels, network/security levels and event data is preserved for at least 3 months.
11	Does your company have a security policy that is approved by management, published and communicated to all employees, contractors and relevant external parties? (choose one)	1. No, we do not have a written security policy. 2. We have a written information security policy. 3. We have a written information security policy approved by management. 4. We have a written information security policy, approved by management, published and communicated to all employees. 5. We have a written information security policy, approved by management, published and communicated to all employees, contractors and relevant external parties.
12	Are all production systems monitored and information security events recorded and preserved for at least 3 months?	1. No, we do not have audit logging enabled or event data is not preserved for at least 3 months. 2. Yes, only at the OS level and event data is preserved for at least 3 months. 3. Yes, at the OS level and application levels and event data is preserved for at least 3 months. 4. Yes, at the OS level, application levels, network/security levels and event data is preserved for at least 3 months.
13	Please describe your use of data encryption technologies for sensitive data including customer information and order history information. Select all that apply.	1. Data is encrypted in transit on external public networks, including the Internet. 2. Data is encrypted in transit on internal networks. 3. Data is encrypted using at least WPA2 on wireless networks. 4. Data is encrypted in storage on servers, e.g. databases and fileservers. 5. Data is encrypted in storage on workstations. 6. Data is encrypted on backup media. 7. Data is encrypted on USB devices. 8. Data is encrypted on Laptops. 9.Data is encrypted on Mobile devices including cell phones, tablets used for business purposes. 10. Encryption and digital signing are available to employees for securing email communication, e.g. S/MIME, PGP.
14	What platform are you using for your solution development? Example, AWS, Google cloud, etc.

それぞれの項目について説明していきます。

1.あなたの会社の雇用者識別番号(EIN)

You Company's Employer Identification Number (EIN)

あなたの会社の雇用者識別番号（EIN）

日本ではどう当てはまるかはわかりませんが、法人であれば法人番号で良いのかと思います。

個人事業なら『N/A』と書いておけば良いでしょう。

2.会社の登記地

State of Incorporation

会社の登記地

会社の所在地を聞かれています。

『50 States (standard) + other/international (free text)』という選択肢が用意されていますので、日本で作業をしているわたしたちの場合はother/international側になります。

ゆえに、『Japan』と書けば良いです。

3.従業員数

Number of Employees

従業員数

下記の中から選択します。

Small: 1-5 employees
Medium: 6-30
Large: 30+

従業員数が1人ならば『Small』と回答すれば良いです。

4.ソリューションタイプ

Solution Type

ソリューションタイプ

この『ソリューション』が何を指しているのか？イマイチわかりませんでした。

用意された選択肢を読む限りでは、ここでのソリューションは事業内容ではなくアプリケーション開発のことを指していると判断しました。

以降、そのテイで話を勧めます。

用意された回答は下記です。

Public - Will be used by other Sellers
Private - Developing in-house software for my Selling account
Other - need credentials to use in a downloaded desktop or mobile App

順に下記の意味になります。

公開 - 他の販売者が使用する
私用 - 私の販売アカウント用の社内ソフトウェアを開発する
その他 - ダウンロードしたデスクトップやモバイルアプリケーションで使用するための認証情報が必要

誰かが販売するツールを購入して、使用するためにMWS APIキーが必要ならば『Other』になります。本記事を読んでいる方はたいがいこれかも。

個人的には『Other』を選択していれば以降の回答ってホントは不要なのでは？とか思う

よくわからなくて面倒くさいことばかりするのがAmazonですので仕方がありません。

ランサーズやクラウドワークスで開発依頼するなどして、オリジナルのツールを開発して自分で使うなら『Private』です。でもPrivateを選択していてもなんら問題ない気がします。

そしてこの記事を読んでいる方の中には『Public』を選択する人はまずいないでしょう。わたしみたいな開発者本人がPublicを選択します。Publicの選択は開発者でない限り選択すべきではないです。

5.ソリューションの機能説明

Describe features of your solution.

ソリューションの機能説明

ソリューションがアプリケーション開発のことを指しているというテイで進めます。

おそらくアプリケーションの機能概要でしょう。

というわけで、当ブログのAsinStockerを利用する場合には下記のように回答しておいてください。

Solution acquire product information, price data and fee estimate from ASIN.

ソリューションは、ASINから製品情報、価格データおよび料金見積もりを取得します。

6.他の国でのMWS APIキー所有状況

Do you currently have existing MWS API Access Keys in any locale?

現在、どのロケールにも既存のMWS APIアクセスキーがありますか？

下記の選択肢があります。

Y…Yes
N…No

正直に答えてもいいし、めんどくさいからウソをついてもいい。

わたしだったら迷わず『N』を書きます。

7.他の国でのMWS API 開発者IDと地域について

If so, provide Developer ID and Region

6がYesなら、開発者IDと地域を指定してください

6で『N』と回答する理由がこれです。開発者IDを回答しなければならないというのが面倒です。

6で『N』を選択していれば、ここは『N/A』となります。

8.取得するデータと使用するAPI

What data and APIs will you be accessing?

あなたは何のデータとAPIにアクセスしますか？

さて、ここらから使用するツールに特化した回答になっていきます。

わたしが書くのはあくまでも当ブログで公開する『AsinStocker』を想定した回答です。別のツールを使う場合には必ずツール開発者に問い合わせてください。

AsinStockerの場合は下記の回答になります。

I access products API only.

Data is Product information, price and fee estimate.

Products APIのみ使用します。

データは商品情報、価格、手数料です。

MWS APIは一言でAPIといっても13のセクションに分かれています。AsinStockerが使うのはその中の商品APIのみです。

商品APIしか使っていません！

というのがアピールポイントなんです。

9.アプリケーションの処理詳細

Please describe below the anticipated flow of Amazon data within your environments e.g. how is the data ingested, processed, transmitted and stored, highlighting any related security features.

あなたの環境内のAmazonデータの予想される流れを以下に記述してください。例えばどのようにデータを取り込み、処理し、送信し、保存し、関連するセキュリティ機能を強調表示します。

AsinStockerの場合は下記の回答になります。

1. Import the ASIN listed in the csv file.

2. Create a request from the imported ASIN. (5 to 10 ASIN per request)

3. Access the Product's API.

4. Wait for the response to be received.

5. Save product Information, fee and price.

6. Wait for API recovery. (2 seconds per request)

7. Repeat steps 2 to 6.

8. Use the results as a reference for the selling price at the market place.

9. Delete the acquired results after use.

10. The application is running only "when needed". It is not "always".

Security function described below

I am using the class library provided by Amazon.

The development environment uses C #.

The communication content is the recognition that is encrypted with the time stamp.

The application has a function to save access keys, secret keys, etc.

These are protected by RSA.

It prevents leakage of keys even when there are opportunities for other employees to use it.

1.csvファイルに列挙したASINを取り込みます。

2.取り込んだASINからリクエストを作成します。(1リクエストにつき5～10ASIN)

3.ProductsAPIにアクセスします。

4.レスポンスの受信を待ちます。

5.商品情報と手数料と価格を保存します。

6.APIの回復を待ちます。(1リクエストにつき2秒)

7.手順2～6を繰り返します。

8.結果をマーケットプレイスでの販売価格の参考にします。

9.取得した結果は使用後に削除します。

10.アプリケーションは必要時のみ動作しています。常にではありません。

セキュリティ機能を下記に記述

Amazonが提供するクラスライブラリを使用しています。

開発環境はC#を利用しています。

通信内容はタイムスタンプで暗号化されている認識です。

アプリケーションにはアクセスキー、シークレットキーなどを保存する機能があります。

これらはRSAにて保護しています。

他の従業員に利用させる機会があった場合にもキーの漏洩を防ぎます。

Amazon様がおっしゃる仕様はしっかり守ってますし、データは暗号化してます

ってことをアピールしています。

10.ログの保存について

Are all production systems monitored and information security events recorded and preserved for at least 3 months? (choose one)

すべてのプロダクションシステムが監視され、情報セキュリティイベントは少なくとも3ヶ月間記録され、保存されていますか？（1つ選択）

ロ…ログなんて取ってないよ…

と思われる方も多いと思いますが、下記のような選択肢があります。

1. No, we do not have audit logging enabled or event data is not preserved for at least 3 months.

2. Yes, only at the OS level and event data is preserved for at least 3 months.

3. Yes, at the OS level and application levels and event data is preserved for at least 3 months.

4. Yes, at the OS level, application levels, network/security levels and event data is preserved for at least 3 months.

1.いいえ、監査ログを有効にしていないか、イベントデータが少なくとも3か月間保存されていません。

2.はい、OSレベルでのみ、イベントデータは少なくとも3ヶ月間保存されます。

3.はい、OSレベルで、アプリケーションレベルとイベントデータは少なくとも3ヶ月間保存されます。

4.はい、OSレベルでは、アプリケーションレベル、ネットワーク/セキュリティレベル、イベントデータは少なくとも3ヶ月間保存されます。

これはたぶんサーバ管理のお仕事をやっている人ならわかると思うのですが、デフォルトでログ取っているはずです。

デスクトップのWindowsマーク右クリック
イベントビューアでApplication, セキュリティ、システムの項目を参照

万が一ログを求められるようなことがあれば、上記のログを提供すれば良いかと思います。

つまり、ここでの回答は意図的にログ保存を止めていない限り『4』となります。

11.セキュリティポリシーについて

Does your company have a security policy that is approved by management, published and communicated to all employees, contractors and relevant external parties? (choose one)

あなたの会社は、経営陣によって承認され、すべての従業員、請負業者、関連する外部当事者に公開され、伝達されるセキュリティポリシーを持っていますか？（1つ選択）

選択肢は下記です。

1. No, we do not have a written security policy.

2. We have a written information security policy.

3. We have a written information security policy approved by management.

4. We have a written information security policy, approved by management, published and communicated to all employees.

5. We have a written information security policy, approved by management, published and communicated to all employees, contractors and relevant external parties.

1.いいえ、私たちは書面によるセキュリティポリシーを持っていません。

2.私たちは書面による情報セキュリティポリシーを持っています。

3.私たちには、経営陣によって承認された書面による情報セキュリティポリシーがあります。

4.私たちには、経営者によって承認され、全従業員に公表され伝達される書面による情報セキュリティポリシーがあります。

5.私たちは、経営者によって承認され、すべての従業員、契約者および関連する外部当事者に公表され、伝達される書面による情報セキュリティポリシーをっています。

ここが一番回答むずかしいところですが、『5』推奨です。どこかのコピペでも良いので用意したほうが良さそうです。

以下、参考。

サイバーセキュリティ.com

情報セキュリティポリシー策定のポイントとサンプル例文集と策定しないリスクとは？

https://cybersecurity-jp.com/security-measures/22421

情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールです。企業がセキュリティ体制を構築する上で欠かせませんが、「どうやって作ればいいかわからない」方も多いようです。この記事では、その

要求されてから作るでも良さそうです。まぁ要求されないかもしれませんが。

12.ログの保存について(2回目？同じ質問？)

10を参考にしてください。

13.顧客、注文履歴などの暗号化状況

Please describe your use of data encryption technologies for sensitive data including customer information and order history information. Select all that apply.

顧客情報や注文履歴情報など、機密データにデータ暗号化技術を使用することを記述してください。該当するものをすべて選択。

選択肢は下記です。

1. Data is encrypted in transit on external public networks, including the Internet.

2. Data is encrypted in transit on internal networks.

3. Data is encrypted using at least WPA2 on wireless networks.

4. Data is encrypted in storage on servers, e.g. databases and fileservers.

5. Data is encrypted in storage on workstations.

6. Data is encrypted on backup media.

7. Data is encrypted on USB devices.

8. Data is encrypted on Laptops.

9.Data is encrypted on Mobile devices including cell phones, tablets used for business purposes.

10. Encryption and digital signing are available to employees for securing email communication, e.g. S/MIME, PGP.