発注者にとってのオープンソース CMS のメリット・デメリット
サイト構築の発注者にとっての オープンソース CMS のメリット・デメリット についてまとめました。
※以下オープンソースを OS と表記します
ウェブ上には似たテーマの記事がすでにたくさんありますが、その多くには次の問題があります。
- 視点・立場が明確でない
- ポジショントーク
視点・立場が明確でない ―― 企業が OS CMS に関わる方法は大きく 3 つあります。 1) 自社開発の CMS を OS として公開する、 2) OS の CMS を利用してサイト制作を行う、 3) OS の CMS を利用している制作会社に制作を依頼する。このどれにあてはまるかによって得られるメリット・デメリットは異なりますが、この視点・立場が明確になっていません。特に 2) と 3) をいっしょくたに語っているものが多いです。
ポジショントーク ―― 自社の CMS やサービスに直接誘導するための宣伝文句として語られているものです。同業者が見れば明らかにバイアスがかかっていることがわかりますが、専門外の人は必ずしもそうだとわかりません。
というわけで、できるかぎりニュートラルな立場から OS CMS のメリット・デメリットを語ればと思います。
著者の立場
本題に入る前に、私の立場を明らかにしておきます。
私は OS CMS のひとつ Drupal (ドルーパル)の開発経験が多めです。 しかし今は Drupal 推しではありません。
CMS にはそれぞれ向き・不向きがあるので、目的と状況にいちばん合った CMS を使うのがよいと考えています。 さらに言うと、 CMS の選定はウェブプロジェクトの CSFs (成否を左右する要因)ではない という考えを持っているので、 CMS に強いこだわりはありません。
比較対象
今回 OS CMS の比較対象とするのは、特定の企業がクローズドソースで作ったプロプライエタリ CMS です。 OS とプロプライエタリは厳密には対義語ではありませんが、この対比が一般的でわかりやすいので、今回はこれを使います。
では本題です。
発注者にとっての OS CMS のメリット・デメリット
メリット
気軽に試せる。 OS CMS は無償で手に入るので、採用前の事前調査で気軽に試すことができます。 OS CMS の調査では、「これは使えないな」と思ったときに失うのは手間のコストだけです。
ベンダーや制作会社への依存を減らせる。 メジャーな OS CMS であれば多くの制作会社が扱えるので、特定のベンダーへの依存を減らすことができます。 これには「利用継続可能性」と「交渉力」の 2 つの点でメリットがあります。 つまり、制作会社が万が一倒産したときでも他の制作会社に引き継いでもらえる可能性があり、ポーターの「 5Fs 」でいうところの「サプライヤー」の力が強くなりすぎません。
使い方の自由度が高い。 OS CMS はソースコードが公開されているので、機能追加や変更の自由度がプロプライエタリ CMS よりも高いです。 相応の技術力を持つ制作会社に頼めば、プロプライエタリ CMS では実現が難しいさまざまなことが可能になるでしょう。 また、自らあるいは制作会社に頼んでセットアップする形になるので、レンタルサーバ・ VPS ・専用サーバ・クラウド等、設置場所・方法等を自由に選べるという意味でも自由度は高いと言えます。 ただし、もちろん、機能追加や変更にはコストがかかります。 自由度が高いというのは必ずしも「安くできる」ことを意味しないので、その点には注意が必要です。
メリットはこのぐらいでしょうか。 他にメリットとしてよく謳われることの中には疑わしいものがいくつかあるので、それは後でご紹介します。
デメリット
続いてデメリットです。
セキュリティ脆弱性や不具合の対応が自己責任。 セキュリティ脆弱性や不具合があった場合に、それに各自で対応する必要があります。 公式のリリースが出ればそれに対応し、リリースが出ない場合は適宜パッチを見つけてくるか自分で書くかして対応しなくてはなりません。 これは構築を行った制作会社が保守の一環でやってくれることが一般的ですが、どれだけ適切な対応ができるかは制作会社次第です。 私の観察では、適切な標準フローを持って適切に対応できる制作会社はおそらく全体の半数未満です。
攻撃の対象にされやすい。 これはシェアの高い CMS にかぎられますが、OS CMS はクラッカーによる攻撃の対象にされやすいです。 その理由は、シェアが高いことに加えて、ソースコードが見えているので「脆弱性の内容が詳細までわかるから」です。 「セキュリティ脆弱性や不具合の対応が自己責任」というのとあわせて、これは OS CMS の最大のデメリットでしょう。 繰り返しになりますが、これは OS CMS 全般のデメリットというよりも、シェアが極めて高い一部の OS CMS のデメリットとです。
ちなみに、 OS CMS のセキュリティ対策については次の記事も書いているので、興味のある方はご覧になってみてください。
高品質なサポートが受けづらい。 OS CMS はプロプライエタリの CMS に比べて質の高いサポートを受けづらいです。 制作会社のスタッフやコミュニティのボランティアによるサポートを受けることができますが、プロプライエタリ CMS ほどの手厚いサポートは受けられない場合が一般的でしょう。 プロプライエタリ CMS の場合はサポートそのものをビジネスとしていることもあり、回答の質・回答時間等の店でOSよりも高い水準にあります。
ドキュメントの質が低い。 OS CMS はプロプライエタリの CMS に比べてマニュアルやヘルプドキュメントの質が低いです。 原理的に、 OS の場合はどうしてもわからないことがあれば自分でインストールしたりソースコードを見たりして調べることができるので、ドキュメントの質は総じて低いことが多いと言えます。 特に、世界中で使われている CMS の場合は、日本語を含む、英語以外のドキュメントはろくに揃っていないことがほとんどです。 制作会社が独自のマニュアルを用意してくれることもありますが、規模の大きな CMS だととてもすべての機能を網羅することはできません。 そのため、わからないことを自主的に調べる努力をする覚悟が発注者側にも必要です。
望まない進化も受け入れる必要がある。 OS CMS には多くの人たちが開発に関わっているため、多様なニーズを満たすためにさまざまな方面で進化をします。 自社の使い方からしたら望ましくない機能の追加や改善・削除が行われることもあります。 プロプライエタリ CMS でも似たことは発生しますが、 OS CMS の場合はプロプライエタリよりも思わぬ方向に進む可能性が高いと言えるでしょう。 特に活発に開発されている CMS の場合はセキュリティに関する修正アップデートが頻繁に発生するため、バージョンアップを行わず進化を拒むという選択肢は実質ありません。
OS CMS のメリットとしてよくあげられるが必ずしも正しくないもの
OS CMS を取り扱う制作会社がよく謳う OS CMS のメリットのうち、本当にメリットがあるかどうか疑わしいものを挙げます。
ライセンス費が要らないので初期費用が安い? ……確かに OS CMS は無償で入手できますが、無償の代わりに、使い方を調べたりセキュリティ対応をしたりといった部分が自己責任となります。 それを肩代わりしてくれるのが制作会社ですが、制作会社にも当然 OS CMS に習熟するための手間とコストがかかっており、そのコストは制作費で回収する形になります。 つまり、見積もり項目が違うだけで、ライセンス費に相当するコストは OS CMS でもかかるということです。 OS を選んだ方が初期費用が安いとはかぎりません。
バージョンアップの恩恵を無料で受けられる? ……これは「OS CMS はコミュニティの開発者たちが勝手に開発を進めてくれるので、バージョンアップの恩恵を無料で受けられる」という主張です。 反論としては、まず第一に、進化するかどうか、そしてどんな進化をするかはその CMS 次第です。 逆に進化が完全に止まることもあればサポートが短期で切れることもあります。 加えて、バージョンアップには一定の手間がかかります。 バージョンアップに含まれる変更内容を調べ、重大なバグやプラグインへの悪影響はないかといったことを確認し、問題があればそれらに対応する必要があります。 これは通常、制作会社が保守サービスの一貫で行ってくれますが、それにはもちろんコストがかかります。 無料というわけではありません。
企業よりも寿命が長い? ……これは「企業は倒産してなくなることがあるが、 OS は引き継ぐ人さえいればなくならない」という主張です。 これは「 CMS による」としか言いようがありません。 確かに、一般的な企業よりも寿命の長い OS CMS はありますが、それは高々数十個ぐらいです。 むしろ、途中で開発する人がいなくなり終わりを迎える CMS の方が圧倒的に多い状況です。 これは、 OS CMS の特徴というよりも「シェアの高い OS CMS 」の特徴と言えるでしょう。
多くの目に晒されているのでセキュリティに強い? ……コミュニティが大きい CMS の場合にソースコードが多くの人の目に触れることは事実です。 しかしそれはセキュリティの強さには必ずしも繋がりません。 というのは、 OS CMS の中身を正しく理解できているのはほんの一握りの人たちだからです。 例を挙げます。 Drupal は 2018 年時点で 100 万以上のサイトで使われておりアクティブな利用者も 10 万人前後いると言われています。 しかし、コアの開発に関わっている人はそのうちわずか数百人です。 常連となるとさらに数は絞られ、高々数十人です(十数人かもしれません)。 コミュニティの規模が 10 万人ほどあっても、正しくチェックしている人・できる人というのはごくわずかです。 事実、 2018 年に見つかった Drupal の深刻なセキュリティホールは 10 年ほど前から存在し続けていましたが、 Drupal 利用者でそれに気づいた人は一人もいませんでした。 これは決して Drupal に特有の状況ではありません。 OS CMS には「セキュリティ対応は自己責任」「シェアが高いと攻撃されやすい」という特徴があるので、その点も加味すると、 OS CMS のセキュリティが高いとは決して言えません。
まとめ
以上、発注者側視点から見たときの OS CMS のメリット・デメリットについてでした。
まとめです。
- OS だからこう、プロプライエタリだからこう、とは一概には言えない
- それよりも、個別の CMS のシェアや人気度の方が重要
- 結局、 OS かプロプライエタリかというのはあまり重要なポイントではなくて、目的と状況に合ったものを選ぶことが大事
ご参考になれば幸いです。