「自分で面倒見られる子」だけが CMS を導入しなさい

no extension

私の場合,それまで使っていたオープンソース版 Movable Type (MTOS) を捨ててローカルでサイト管理するようにした1。 直接のきっかけは開発元が MTOS のサポートを打ち切ったことだが,自前でサーバ・サイドの CMS (Content Management System) を導入・運用することが高コストになり,それを個人レベルで運用することに意義を見いだせなくなってきたというのが大きい。

というわけで以下の話題。 いつもは「セキュリティクラスタ」の話題はまるっと無視しているのだが,今回は気になる点があったので。

そもそもセキュリティ以前に「自分で面倒をみる」ことのできない人は自前でサーバ・サイド CMS を導入するのはやめたほうがいい。 ペットを飼うのと同じ2(笑) 「初心者」かどうかはさしたる問題ではない。 誰だって最初は初心者だし,分からなければ訊くなり調べるなりすればいいからだ。

プログラムは家電製品とは違う。 導入すればそれで終わり,とはいかない。 多くの人に使われる製品こそ常に不具合や脆弱性の改修が行われているし3,もちろん機能改善も行われる。 「プログラムは常にベータ版」という名言は一般の方も覚えておいたほうがいいだろう4

面倒を見る気はないが気軽にブログをやりたい,って程度なら SaaS (Software as a Service) 型のサービスがいくらでもある。 さすがに ameblo みたいなのはデザインが古すぎてアレだが, WordPressMovable Type も SaaS を提供している。 最近なら Medium や 日本の note みたいに気軽にオン書きできるものもある。 Tumblr でブログサイトを運用している人は日本語圏にも結構いる5。 最近では esa.io のようにチームで使えるものが流行りらしい。 あるいは私のようにサーバ・サイドの CMS を捨てて GitHub PagesHugo で静的なページとして運用すればセキュリティ上の煩わしさから解放される。 やり方なんていくらでもあるのだ。

今でこそ「セキュリティは投資」とみなされ PDCA サイクルで回されるようになってきたが6,ちょっと前まではセキュリティ管理は典型的なコストセンターだったのだ。 JTB の情報漏えい騒ぎに関する今回の事後の振る舞いには批判が多いが,結局のところ「セキュリティ」を経営レベルでどう捉えるかということに尽きる。 セキュリティ管理をコストとみなすうちは昨年の日本年機構や今回の JTB のような失敗は必ずまた繰り返される。

しかし企業や組織はそれでいいとしても個人レベルでそれを求めるのは酷な話である。 セキュリティと利便性はトレードオフにならない。 利便性を犠牲にしてセキュリティを強化してもユーザはただそこを迂回するだけだ(日本年金機構の事例はまさにこれと言える)。

WordPress のようなサーバ・サイド CMS がセキュリティ的に高コストに見えるのは,製品デザインとセキュリティ管理が齟齬を起こしていて,そこを運用で強引にカバーしようという駄目プロジェクトの典型みたいになっているからである。 あるいは「奥が深い症候群」の末期症状と言うべきか。 SaaS ならそうした面倒をサービス・プロバイダに押しつけることが出来るという意味で次善の策になる。

もう一度繰り返そう。

「自分で面倒見られる子」だけが CMS を導入しなさい。

photo
フルスクラッチから1日でCMSを作る シェルスクリプト高速開発手法入門 (アスキー書籍)
上田 隆一 後藤 大地 USP研究所
KADOKAWA / アスキー・メディアワークス 2014-07-02
評価

サーバ/インフラエンジニア養成読本 ログ収集〜可視化編 [現場主導のデータ分析環境を構築!] (Software Design plus) フロントエンドエンジニア養成読本[HTML ,CSS,JavaScriptの基本から現場で役立つ技術まで満載!] (Software Design Plus) 絵で見てわかるシステムパフォーマンスの仕組み はじめてUNIXで仕事をする人が読む本 (アスキー書籍) すごいErlangゆかいに学ぼう!

既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。

reviewed by Spiegel on 2014/09/21 (powered by G-Tools)


  1. 経緯については本家サイトの「ブログ移転準備中または Take the Hugo!」を参照のこと。 [return]
  2. でも,好きでペットを飼ってる人はそれをコストだと思わないだろうけど。コンピュータ・オタクやセキュリティ・オタクには変態が多いので,そういう「面倒」をわざわざ引き受けて楽しんでいるフシがある。仕事で使うツールを自分のフィールドでも使い倒すってのはあるけど。 [return]
  3. 不具合や脆弱性の報告が全くない製品ってのは誰も使ってないか製品の提供者が怠慢かのどちらかである。 [return]
  4. とはいえ IoT の時代になれば家電製品も「自分で面倒をみる」ことが必要になってくるかもしれない。本当に面倒な時代になったものである。 [return]
  5. Tumblrホワイトハウスの公式サイトがあることで有名である。 [return]
  6. そしてセキュリティへの投資につけ入る「輩」も増えてきた。 [return]