9月30日で製品サポートが終了するMovable Type 5.2。今のMTはどうなる?
まもなく、Movable Type 5.2のサポートが終了します。
バージョン5.2がリリースされたのが約3年前なので、偶然にもおよそcherry-pickが創業したのと同時期でした。
「サポート終了で具体的にどんな影響があるの!?」
「バージョンアップは絶対にしないといけないの!?」
具体的な内容と対処方法についてまとめてみました。
脆弱性が発見されても修正されない!
製品サポートによる影響が大きいのがこれです。バージョンアップしなければ脆弱性を放置したままになってしまいます。
どうしてもバージョンアップが難しい場合は、MTプラグインなどでパッチを当てるなどの対応が必要となりますが公式には提供されないため、ベンダーに開発依頼をする必要があります。
販売終了したバージョンでもセキュリティパッチが当たったソースコードが提供されてたよ?
確かにその通りですが、これはサポート期間内だったからです。
いつまでがサポート期間なのか、これにはMTの製品ライフサイクルを理解する必要があります。
製品ライフサイクルを意識しなくても、SixApart社からのメルマガを購読したり、例えばGoogle Alertなどと使って最新のセキュリティ情報を常にウォッチしておけば対応は可能です。
私はGoogle Alertなどでサーバ関連も含めて幅広く脆弱性情報を拾うことで、必要な対応を随時行なっています。
でもこれさえ理解しておけば、直前で焦る必要がなくなるので安心して導入計画をたてることができます。
Movable Type の製品ライフサイクルではサポート終了は販売終了から12ヶ月
Movable Typeには、正式リリース(GA)、販売終了(EOS)、メンテナンス終了(EOM)、製品ライフサイクル終了(EOL)という区切りがあります。
GA - (期限なし) - EOS - (12ヶ月) - EOM - (12ヶ月) - EOL
ご利用の製品バージョンと販売終了次期を確認すれば、あらかじめバージョンアップも視野に入れて計画することができます。
過去のバージョンは次のとおりです。
- Movable Type 3: 2008年7月31日
- Movable Type 4: 2010年11月26日
- Movable Tyep 5.0x: 2012年5月25日
- Movable Type 5.1x: 2013年9月26日
- Movable Type 5.2x: 2015年9月30日
バージョンアップしないといけないの?
最も影響が大きいのは、脆弱性対応がなくなるという点です。
安全はお金で買うものです。「リスク」と「コスト」を天秤にかけて、「リスク」に傾けば対応しなければならないのが大人の事情というもの。
バージョンアップすべきかどうかについて「リスク」と「コスト」の判断ポイントを整理してみました。
セキュリティ事故につながる「リスク」のポイント
踏み越えた時の損害が大きい境界線は「個人情報を取り扱っているか否か」です。
次のような使い方をしている場合は、「リスク」を小さく見積もらないように気をつけなければいけません。
- コミュニティ機能などで会員情報を多数保有している
- 多数の更新者の個人情報を保有している
- 今後上記2点を計画に入れたサイトを改善していく計画がある
- アカウントは管理者だけだが、管理画面にIP制限や基本認証をかけられない
- 個人情報は扱ってないが、匿名ユーザーによるコメント/トラックバック、その他の投稿(フォームなども含む)を受け付けている
上から順に「万が一」のダメージが大きいでしょう。
バージョンアップに伴う「コスト」
MTをシンプルに使っているだけならファイルを上書きしてしまえば良いのですが、便利なMTプラグインを使わずに運用しているケースはかなり少ないはずです。
MTプラグインも新しいMTのバージョンに合わせて対応していなければ、利用できないこともあれば、再構築エラーを発生させることもあります。
MTバージョンアップをご依頼いただいたときは、次の点を踏まえた事前調査を元にお見積りしています。
万が一を回避する!MTバージョンアップのための検証環境があるか
いきなりぶっつけ本番でやって失敗するわけにはいかないので、本番と同様の環境を構築して試し、問題があればそれに対応します。本番へのリリースを想定して手順を同時にまとめておくことで、スムーズに本番反映を実施します。
クラウドサーバを使っていれば、複製するだけなので環境構築費用はかからずに済む場合もあります。
どんなMTプラグインを使っているか
MTプラグインは、MT本体の機能を補完するために導入されます。
MTがバージョンアップされると当然機能が追加されています。
この新機能とMTプラグインの機能が重複する場合があり、どちらの機能を活用するか、そのためにどのような改修が必要か、を考慮する必要があります。
MTプラグインに関連する対応が大きく費用がかかりうるポイントです。
たいていは有償・無償の代替プラグインを導入することで対応できます。
使用してるMTプラグインは新バージョンに対応しているか
新しいバージョンに対応していないものは、代替可能な別のプラグインを探したり、同じ機能を持つプラグインを新たに開発する必要があります。
費用としては、ケースバイケースなのですがバージョン5.1以上からのアップグレードであれば、あまりかからないことが多いです。
バージョン5.0以下から6へのアップグレードになると、MTの仕様が大きく変わっているところも多く、10〜30万はザラにかかる場合もあります。
MTテンプレートにMTプラグインが使われてるか
使用しているMTプラグインの影響が大きい部分です。
新しいバージョンに対応していないMTプラグインがあると、テンプレートの改修が必要になるケースが有ります。
MTテンプレートの改修は、ブログ数やテンプレート数、テンプレートの作りに応じて金額が変わってきます。
ざっくりですが、1テンプレート当たり数千円〜1万円程度で換算できるでしょう。
cherry-pickに相談の多いMovable Typeバージョンアップとその問題点とは
MTバージョン4から6にアップしたい
Movable Type 4を使用していて、これを機にバージョンアップやリプレイスをしたい、クラウド版に乗せ換えたいといった話が増えています。
公式にはMovable Type 4から6へと、一気にアップデートすることが可能となっています。
過去のバージョンで構築されたデータを最新の構造にアップグレードできるように配慮されています。
ところが、意外と怖い落とし穴もあるので実は注意が必要です。
アップグレードがうまくいかない失敗例
一気にバージョンアップしようとしてアップグレードが途中で失敗したり、DBの文字コードの違いで文字化けしてしまったり、うまくいかない事例も過去にはありました。
cherry-pickでは、段階的なバージョンアップを推奨しています。
MT4系からMT5.0系、MT5.1系、MT5.2系、MT6系といった流れでアップグレードをしていくことで、これまでに失敗したことが1度もありません。
MTバージョン5.0xのコミュニティサイトを最新のMTにバージョンアップしたい
コミュニティ機能を使用したサイトを運営されているお客様もいらっしゃいます。
個人情報を扱う会員サイトではセキュリティはユーザーに長く使ってもらうための生命線ですね。
コミュニティ機能がリリースされ、コミュニティサイト構築の相談が増えたのがMT4〜MT5.1系くらいまででした。
もちろんMT6.0にもコミュニティ機能はあるのですが、安易にバージョンアップしようとすると罠にハマることがあります。
MTプラグインで機能拡張してることも多いコミュニティ機能の失敗例
MTのコミュニティ機能は、コミュニティサイトとしてはちょっと機能が足りない部分も多くMTプラグインで機能補完している場合もあります。
個々のコミュニティサイトごとに作りこんでいたり、セッション管理をシングルサインオンとして外部システムと連携しているケースもあり、MTテンプレートやコミュニティ機能の拡張プラグインの改修が必要なケースもあるので事前調査が重要です。
読んでみたけどわからない!うちのサイトの場合は実際どうなんだろう?
cherry-pickでは、無料で事前調査とお見積りしております。
ぜひともお気軽にご相談ください。
