この記事を書いた人
- 今村シニアエンジニア(ビジネス・アーキテクツ)
Web制作会社のエンジニアとしてシステム構築・CMS構築などを担当、システムエンジニアとして従事する。2005年よりビジネス・アーキテクツに参画。 現在はシニアエンジニアとしてエンジニアリングUNITに所属。Webシステム全般の提案・要件定義から構築・構築・品質管理など幅広く担当。プロモーションサイトからグローバル企業のホームページまで、顧客ごとに異なる機能・安全性を持ったシステム・CMSの設計・構築を行っている。
CMSはWebサイトを構築・運用・管理をするためのひとつのツールであり、Webサイトを通して目的を達成するための手段です。適材適所、目的に��合ったものを選ぶ必要があります。一方CMSの切り替えは簡単にできず、数年は使う前提で選ぶ必要があります。
この記事では企業のCMS選定担当者に向けて、CMSをWordpressなどブログ系CMSと、エンタープライズCMSの大きく2つに分け、それぞれの特徴を比較し、エンタープライズCMSが効果を発揮しやすいポイントを解説します。
エンタープライズCMSは高価な投資になるため、導入を躊躇するかもしれません。
しかしブログ系CMSを採用したがために
- 運用にコストがかさみ結果的にトータルコストが高額になった
- 運用コストを押さえすぎて脆弱性が放置され改竄のリスクに晒された
という事では、本末転倒です。
ここではエンタープライズCMSを代表してAEM(Adobe Experience Manager)と、他のブログ系CMS(Wordpress や Movable Type)との違いを紹介します。
BAsixs参画企業のビジネス・アーキテクツは、エンタープライズCMSやブログ系CMSの豊富な経験を活かして、ツールの選定から運用まで一貫したサポートが可能です。お気軽にご相談ください。
エンタープライズCMSとは
CMSはいくつもありますが、その中でエンタープライズCMSと言われる種類のCMSがあります。最初からWebサイトのコンテンツ管理をするために設計された、フルスペックのCMSを指していると言って良いと思います。
ここではエンタープライズCMSの特徴、よく普及しているWordPressやMovable Typeなどの安価なCMS(ここではブログ系CMSと呼びます)との違いを、経験を踏まえて紹介します。
エンタープライズCMSの6つの特徴
エンタープライズCMSはWebサイトを管理するために、必要な機能を全て実現できるように設計されています。
一方、安価なブログ系CMSは「Webページを更新して表示する」というコアの機能だけを持ってます。そのため必要な機能については都度プラグインを追加します。
都度追加するプラグインは、作者が個人や会社であったり、費用も無償の場合や寄付推奨・有料など様々で、更新頻度やサポート体制も当然違います。
一見ブログ系CMSでできると思っても、よくよく機能を見てみると思ったことができず、手動運用だったり、追加開発で対応する場合もあります。
1.画像やPDFファイルの公開管理、時間指定公開ができる
画像やPDFファイルなどのデータを「アセット」と呼び、アセットの公開に関する各種管理を行うことを「アセット管理」と呼びます。
ブログ系CMSでもページの公開管理などの機能がありますが、実際にはアセットは先に置いておいてHTMLの公開・非公開だけ管理する場合があります。ページと一緒に登録したアセットは実はアップロードした時点で公開環境に置かれます。
例えば、新製品のページを用意していて製品画像をアップロードすると、HTMLは公開されていなくても画像は見える状態になります。その結果、新製品画像が流出するというトラブルに発展する場合があります。
またIR情報のPDFなどは公開時間が厳密に決まっているので事前に公開環境に置くことは許されません。それを回避するためにサーバ構成を工夫したり、時間指定公開を諦めて人が張り付いて公開することがあります。
エンタープライズCMSではアセット管理も最初から考慮されているので、アセットだけ先に置かれることはありません。HTMLと同時にアセットを公開します。もちろん公開前のプレビューもできます。
アセット管理をどのように使うのか、次の記事で操作方法を紹介していますので、合わせてご覧ください。
AEMのアセット管理でWebガバナンスを強化しよう | BAsixs(ベーシックス)
2.柔軟なワークフロー機能と権限設定
ブログ系CMSには標準ではワークフロー機能はなく、記事作成者と公開担当者を権限で分けて、運用上で工夫する必要があります。プラグインなどでワークフロー機能を追加するケースもありますが、品質はさまざまです。
エンタープライズCMSでは柔軟なワークフローを実現できます。複数段階の承認、グループの誰か一人(または全員)の承認、承認権限の別のメンバーへの委譲、といった事も実現できますし、担当者になった場合の通知や担当者へのメール送信、コメントの追加もできます。
AEMではドラッグ&ドロップで視覚的に確認しながらワークフローを設定できます。さらに記事だけでなく、画像などのアセットの承認フローも実現できます。
承認フローの設計に関する悩みを解決する手法を、次の記事で紹介しています。
サイトガバナンスを強化!承認ワークフローで発信メッセージを統一 | BAsixs(ベーシックス)
3.コンテンツの各国サイト展開が楽
各国のサイトを管理している場合、あるコンテンツを各国のサイトでそれぞれ表示したいと言うケースがあります。
ブログ系CMSで各国サイトを管理する場合、各国サイトが別のブログ(別のWebサイト)になっているので、それぞれのサイトで同じ記事を作ることになります。記事を修正するときは各国サイトの記事を全て修正することになります。
エンタープライズCMSではその点も考慮されています。CMSによって呼び方は違うようですが、AEMでは「ライブコピー」という機能があります。
マスターとなるサイトを作り、各国サイトはそのサイトの子サイトとして作ることで、マスターサイトの記事を各国に展開できます。記事修正時もマスターサイトの記事を修正するだけで、各国サイトに展開することができます。
ライブコピーでは、必要なコンテンツのみ展開して、各国で変更が必要な部分は各国で変更するということができます。ページの一部のみを各国で変更許可するという事もできます。
多言語対応する場合、実際にどのような操作を行うのか、次の記事で詳しく説明しています。
AEMでWebサイトを多言語対応する方法 | BAsixs(ベーシックス)
4.グローバルサイトではワークフローを使って翻訳業者と機械翻訳を記事ごとに指定できる
ブログ系CMSで日英など複数の言語を管理しようとすると、それぞれのブログ(Webサイト)を作ります。同じ記事の翻訳ページを作ろうとするとそれぞれのブログ(Webサイト)に記事を作ることになります。またはサイト全体を機械翻訳してくれるサービスを使うことになります。
エンタープライズCMSは、ワールドワイドで使うことを前提としているので、言語の違うサイトを最初から連携し、ワークフローを使って翻訳方法を指定する機能があります。
英語で書いた記事を翻訳業者に渡すと目的の言語になって返ってきます。機械翻訳で自動的に別言語の記事を作る事もできます。翻訳された記事を公開前にチェックして、修正することもできます。
記事ごとに、翻訳先を変えられるので、速やかに掲載したい情報は機械翻訳、ちゃんと意味や内容を伝えるページは翻訳業者、という使い分けもできます。
5.プラグインは不要なのでセキュリティ面が安心
エンタープライズCMSでは、必要な機能は全て用意されているのでプラグインを使わないため、脆弱性がありません。
ブログ系CMS、特にWordPressではセキュリティの課題があります。WordPress本体はかなり良い意味で「枯れて」いてセキュリティ対応の体制も充実しているようですが、プラグインのセキュリティはまだ大きな課題です。
WordPressではアクセス時に必ずプラグインを見に行くようになっています。プラグインの内、どれか1つに脆弱性があり、例えばファイルを置くことができれば、Webサイトにバックドアを仕掛けることができます。使っていないプラグインでも見に行くので油断はできません。
また、安全に運用したとしても、オープンソースのCMSで、PHPなどのスクリプト言語で動作するWordPressのようなCMSであれば、ゼロデイ攻撃のリスクもあります。脆弱性が報告され、修正版がでて適用するまでの間に攻撃される可能性があります。
お問い合わせいただいたサイトを拝見すると、WordPressサイトで使っている20ほどのプラグインを更新せず放置していた、という事もあります。悪意を持った人がプラグインを引き継ぐという事もないとは言えません。
最低限、プラグイン脆弱性のウォッチと、脆弱性対応の更新は必要です。さらにプラグインがちゃんと管理・更新されているかという判断も必要になります。そもそもプラグインの作者が個人で、プラグインが作ったまま放置されていれば、脆弱性の報告もありません。
余談ですが、こういった脆弱性を悪用するクラッカーはサイトを乗っ取ったりはしません。密かに何かを埋め込みます。相談を受けたことがあるのは「iPhone当選おめでとう」という表示を利用者だけに稀に出すようにして、フィッシングサイトへ誘導するものでした。
該当ファイルを削除しても、しばらくするとバックドアから別のファイルを置かれてしまいます。最悪のケースとしては、身代金要求型マルウェア(ランサムウェア)をダウンロードするページを作られて、サイトの利用者が引っかかってしまうことも考えられます。
エンタープライズCMSでは、必要な機能は全て用意されているので第三者の開発するプラグインはまず使いません。CMSのオプションとして機能追加をするケースはありますが、CMS提供会社の品質、つまりAEMであればアドビ社の品質で利用できます。
AEMに目的とする機能が用意されていない場合は、アドビ社認定パートナーのみ開発が可能です。誰もが勝手に開発・公開できる仕組みではないため、WordPressのプラグインのようにいつの間にか開発がストップしていたなどの心配はありません。
6.運用コストを抑えられる
ブログ系CMSは利用するだけであれば安価に実装できます。
しかし安全に、ミスなく運用しようとすると、プラグイン選定・購入のコスト、更新時の調査・テストのコストが必要になります。
有料のプラグインでも、プラグインを更新したら他のプラグインが干渉して動かなくなった、といったケースもあります。プラグイン更新のたびにテストを行い、問題がないことを確認する作業が必要です。
プラグインの更新で機能が追加されるケースもあります。一般には良いことですが、その機能は既に別のプラグインで実現していて、ユーザーがどちらを使って良いかわからず操作を間違える、という事もありました。
これらを防ぐには、まずはプラグインをきちんと選ぶ必要があります。さらにプラグイン更新時にどんな機能が加わったのかの調査、更新時のテストが必要で、更新のたびにコストがかかります。
そもそもセキュリティ・アップデートの情報を集めるところから必要で、それを怠ると脆弱性を抱えたまま運用することになります。
WordPress本体は、月に1回から2回。プラグインに至っては任意のタイミングで更新されるので、毎週のように何らかの更新があります。全ての更新を常に行うのはコストがかかるためにまとめて更新することになりますが、セキュリティアップデートであればそうはいきません。
エンタープライズCMSでは、そもそもプラグインはつかいません。AEMであればクラウド版という選択肢もあり、CMS本体の更新はインフラ運用側が行い、費用もかかりません。
まとめ:企業で利用するCMSであれば、エンタープライズCMSも候補に入れるべき
CMSはWebサイトを構築・運用・管理するためのひとつのツールです。ブログ系CMSを採用したが機能追加や運用にコストがかかった、脆弱性が放置されていて改竄のリスクに晒されたという事では、本末転倒です。
アセット(画像やPDFファイル)を含めて公開管理したい、安全に運用したい、運用にコストをかけたくない、と言った場合はエンタープライズCMSでないと実現できない場合もあります。
企業で利用するCMSであれば、エンタープライズCMSも検討に入れるのが良いでしょう。
BAsixs参画企業のビジネス・アーキテクツでは、ブログ系CMSからエンタープライズCMSの開発も行っています。例としてWordpress・PowerCMS・AEM(Adobe Experience Manager)の3つのCMS比較表をご用意しています。合わせてご覧ください。
グローバル企業や、複数人・複数部署でサイト更新する担当者におすすめのCMS比較表2022 | BAsixs(ベーシックス)
Webサイトの目的や運用体制に応じて最適なツール・CMSをご案内します。また、運用支援も提供していますので、ツール選定から運用まで一気通貫でご支援することも可能です。ぜひお気軽にお問い合わせください。