企業サイトへ
  • TOP
  • 記事一覧
  • 「Drupalなら保守費がかからない」は本当か?

「Drupalなら保守費がかからない」は本当か?

しんは2022.05.24
#セキュリティ#OSS#CMS

とある日のプレゼンのこと。

「Drupalなら保守費がかからない、と伺いました」

お客様からこのような発言をいただきました。どうやら他社のコンペティターからインプットされた情報のようです。

果たして、これは事実なのかファクトチェックを行ってみました。

それ、誤解です

確かに、オープン・ソース・ソフトウェア(OSS)であるDrupalにライセンスフィーはかかりません。しかし、保守費がかからない=保守(メンテナンス)が不要と考えるのは誤解です。

どういうことでしょう?

例えば、OSSのDrupalは深刻な脆弱性(セキュリティ上の弱点)が、たびたび報告されています。IPA(情報処理推進機構)からも、次のような注意喚起が出ています。

本脆弱性を悪用する攻撃コードが公開されております。また、Drupal のバージョンを調査する試みが確認されているとの情報があるため、至急、アップデートの実施をご検討下さい。

2019年2月26日 Drupal の脆弱性対策について(CVE-2019-6340)

CVE-2018-7602 の脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、アップデートやパッチの適用を実施して下さい。

2018年4月26日 Drupal の脆弱性対策について(CVE-2018-7602)

本脆弱性を悪用する攻撃コードが公開されました。対策済みのバージョンへのアップデートを大至急実施してください。

2018年3月29日 更新:Drupal の脆弱性対策について(CVE-2018-7600)

こうした脆弱性情報が公開された際、取るべき対応はCMSの「至急のアップデート」です。DrupalやWordPressのように、攻撃者もアクセスする公開環境にCMS本体を配置するタイプは、公開状態で脆弱性という「弱点」をさらしてしまうため緊急性も求められます。

つまり、導入後にメンテナンスしなくていい=体制も予算も不要=保守費がかからない、ということは決してありません。むしろ、定期バージョンアップから不定期アップデートまで頻繁な保守対応が求められる分、本来のメンテナンスコストは過大となります。

保守なしの裏にある現実

オープンソースCMSの利用に「保守費がかからない」の裏には、「導入後の面倒はみません(=自前で面倒をみてください)」という不都合な真実が隠されています。残念ながら本邦では、CMS保守への認識不足や誤解のために、CMSをそのまま放置してしまうケースが後を絶ちません。

企業のWebサイト運営でも、「入れっぱなしでメンテナンスせずに放置 ⇒ 脆弱性突かれる ⇒ 改ざんされてウィルスをバラまく、サーバーを乗っ取られて攻撃の踏み台になる ⇒ 被害だけでなく加害者にもなる」といった事例がたびたび観察されています。

こうした国内の状況を受けて、情報処理推進機構(IPA)から定期的に注意喚起やガイドラインが出されています。以下は、「ウェブサイト運営のファーストステップ~ウェブサイト運営者がまず知っておくべき脅威と責任~ 」からの引用です。

ウェブサイトの責任者は、ウェブサイト運営者である。開発を外部の事業者に委託したウェブサイトであったとしても、情報漏えいなどの問題が発生した場合は、ウェブサイト運営者の運営責任が問われる。

ウェブサイトの構築を委託すると、全て委託先が対応してくれると錯覚してしまいがちですが、委託先とのトラブルを避けるためにも、双方の責任範囲を明確にしてウェブサイトを運営することが重要ですね。

特に保守契約がない場合は、基本的にウェブサイト運営者自らが問題に対処しなければなりません。先ほどおっしゃられていたように、ウェブサイトで問題が発生しても、ご自身での対応が難しい場合は、技術的なサポートが受けられる保守契約を結んでおくことが基本となります。

つまり、もし脆弱性公表後もメンテナンスせずに放置すれば、企業として「責任」を問われかねません。反面、専門業者の支援なしにCMSやサーバー環境を自前で保守できる企業は多くありません。こうしたお客様が抱えるリスクを考えると、CMSをメンテナンスしない保守契約なしの提案はできないわけです。

本場のOSS事情

ちなみに、欧米のエンタープライズ用途では、コミュニティベースで配布される「素のままDrupal」や「生(き)のままWordPress」をセルフホスト利用するケースはあまり聞きません。専門的な技術サポート付きのマネージドサービスをクラウド利用するのが一般的ではないでしょうか。

例えば、Drupalの生みの親であるドリスさんのアクイア社が提供する、Drupalのホスティングサービスもその1つ。ガートナーのマジック・クアドラントでリーダーに選出されますが、素のままDrupalとは似て非なるもの、アップデートプロセス自動化など企業利用で必要なリッチな運用機能などが標準装備されます。

それゆえDrupalのライセンスフィーこそ発生しませんが、OSSの経済性を売りにするのは、あくまで他のリーダー格の商用CMSとの比較優位です。

以上、現場からお伝えしました。

ミツエーリンクスTSD ではエンジニアを積極採用中です!

少しでも気になった方はカジュアル面談も可能ですのでお気軽にお問い合わせください。ご連絡をお待ちしています。

この記事を書いた人

しんは

人生は山あり谷あり、モハメド・アリ、いい思い出は人生のキャラメル

#セキュリティ#OSS#CMS

この記事をシェアする

この記事の目次

Related Articles

関連記事

Hot Tags

タグ一覧