「自分で面倒見られる子」だけが CMS を導入しなさい

私の場合，それまで使っていたオープンソース版 Movable Type (MTOS) を捨ててローカルでサイト管理するようにした¹。 直接のきっかけは開発元が MTOS のサポートを打ち切ったことだが，自前でサーバ・サイドの CMS (Content Management System) を導入・運用することが高コストになり，それを個人レベルで運用することに意義を見いだせなくなってきたというのが大きい。

というわけで以下の話題。 いつもは「セキュリティクラスタ」の話題はまるっと無視しているのだが，今回は気になる点があったので。

• セキュリティクラスタ まとめのまとめ 2016年6月版：初心者でも気軽にWordPressサイト作成！ して大丈夫なの？ (1/3) - ＠IT

そもそもセキュリティ以前に「自分で面倒をみる」ことのできない人は自前でサーバ・サイド CMS を導入するのはやめたほうがいい。 ペットを飼うのと同じ²（笑） 「初心者」かどうかはさしたる問題ではない。 誰だって最初は初心者だし，分からなければ訊くなり調べるなりすればいいからだ。

プログラムは家電製品とは違う。 導入すればそれで終わり，とはいかない。 多くの人に使われる製品こそ常に不具合や脆弱性の改修が行われているし³，もちろん機能改善も行われる。 「プログラムは常にベータ版」という名言は一般の方も覚えておいたほうがいいだろう⁴。

面倒を見る気はないが気軽にブログをやりたい，って程度なら SaaS (Software as a Service) 型のサービスがいくらでもある。 さすがに ameblo みたいなのはデザインが古すぎてアレだが， WordPress も Movable Type も SaaS を提供している。 最近なら Medium や 日本の note みたいに気軽にオン書きできるものもある。 Tumblr でブログサイトを運用している人は日本語圏にも結構いる⁵。 最近では esa.io のようにチームで使えるものが流行りらしい。 あるいは私のようにサーバ・サイドの CMS を捨てて GitHub Pages ＋ Hugo で静的なページとして運用すればセキュリティ上の煩わしさから解放される。 やり方なんていくらでもあるのだ。

今でこそ「セキュリティは投資」とみなされ PDCA サイクルで回されるようになってきたが⁶，ちょっと前まではセキュリティ管理は典型的なコストセンターだったのだ。 JTB の情報漏えい騒ぎに関する今回の事後の振る舞いには批判が多いが，結局のところ「セキュリティ」を経営レベルでどう捉えるかということに尽きる。 セキュリティ管理をコストとみなすうちは昨年の日本年機構や今回の JTB のような失敗は必ずまた繰り返される。

しかし企業や組織はそれでいいとしても個人レベルでそれを求めるのは酷な話である。 セキュリティと利便性はトレードオフにならない。 利便性を犠牲にしてセキュリティを強化してもユーザはただそこを迂回するだけだ（日本年金機構の事例はまさにこれと言える）。

WordPress のようなサーバ・サイド CMS がセキュリティ的に高コストに見えるのは，製品デザインとセキュリティ管理が齟齬を起こしていて，そこを運用で強引にカバーしようという駄目プロジェクトの典型みたいになっているからである。 あるいは「奥が深い症候群」の末期症状と言うべきか。 SaaS ならそうした面倒をサービス・プロバイダに押しつけることが出来るという意味で次善の策になる。

もう一度繰り返そう。

「自分で面倒見られる子」だけが CMS を導入しなさい。

参考図書