他の記事で、トランスフォームはWordPressを使ったwebサイト制作が得意だと書いていますが、もちろんWordPress以外のCMSを使ったサイト制作も承っております。

今回の記事ではWordPressに並ぶ代表的なCMS「MovableType（ムーバブル・タイプ）」を紹介したいと思います。

※この記事には専門的な内容が含まれます。
現在「CMS選びで迷っている」「Movable Typeの運用に行き詰まっている」などのお悩みがある方は、読むより直接ご相談いただく方が解決への近道かもしれません。
最適なCMS選定から運用サポートまで、すべてお任せください！

Movable Typeとは？

本社機能を日本に本社を置くシックス・アパート株式会社が開発したコンテンツ・マネジメント・システム（CMS）です。

CMS（Contents Management System）とは、簡単にホームページの作成・更新・運営ができるシステムです。

ブログ形式で簡単にコンテンツを作成・更新することができるMovable Typeは、小規模な個人サイトから大企業のコーポレートサイトまで幅広い規模のサイトに利用されています。

WordPressのようなCMSと比較してセキュリティに強いと言われており、上場企業や教育機関でも多数導入されています。

つまり、安全性の高い更新機能のあるwebサイトを作りたい方におすすめのツールです。

Movable Typeがセキュリティに強い・安全性が高いと言われる理由

静的なHTMLファイルをサーバーに置く

Movable Typeでは、コンテンツを静的なHTMLファイルとして生成し、それをサーバー上に保存します。静的なHTMLページはユーザーからリクエストを受けるとサーバー上に保存されたファイルを返すだけでデータベースにアクセスする必要がありません。

そのため、SQLインジェクションやクロスサイトスクリプティング（XSS）などデータベースを狙った攻撃による被害のリスクを軽減できるのです。

これがMovable Typeがセキュリティに強いCMSである大きな理由なのですが、動的ページと静的ページの違いがイメージできるようにもう少し具体的に説明します。

動的ページ・静的ページ、それぞれがユーザーのリクエストを受けた場合の動きを比較してみましょう。

動的ページはリクエストを受けるたびにサーバーがリアルタイムでページを生成します。
このときこのリクエストの際に悪意のあるコードを埋め込まれると、データベースから不正にデータを抽出されたり、データを改ざんされる恐れがあります。

これに対し、静的ページはリクエストのたびにデータベースへアクセスすることなく、すでに生成されたHTMLファイルをサーバーから直接配信します。
そのためサーバーサイドでのコード実行がなく攻撃が成立しづらいため、被害を受けるリスクが低いのです。

CMSをフロントに置かない

Movable Typeでは生成済みのHTMLページをユーザーに提供するだけで、CMSのバックエンド（管理画面）はフロントエンドに公開されていません。
フロントエンドを通じてCMSの管理画面にアクセスすることができないため、不正アクセスのリスクが低くなります。

Movable Typeで作られたことが分かりづらい

WordPressなど他のCMSで作成されたサイトの多くでは、使用しているCMSを特定できる情報（バージョン情報や特定のCSSクラス名など）がコードに含まれていることがあります。
一方、Movable Typeで作られたサイトはフロントエンドにCMS特有の痕跡を残しません。

つまり、サイトを見ただけではMovable Typeを使っているかどうかがわかりづらいのです。
悪意のある攻撃者の多くは、そのサイトがどんなCMS・テーマ・プラグインを使用しているかを事前に調べてから攻撃を仕掛けます。
なぜなら、使用しているプラグインなどに一般によく知られた脆弱性が存在する場合、そこを突くことで効率的に攻撃を仕掛けられるからです。
そのため、使用しているCMSを特定されないことはセキュリティ上で大きなメリットなのです。

そこで、Movable Typeでサイトを作成する際の注意です。
CMSを特定されづらいという利点を生かすために、

• クラス名にMovable Typeを連想させる文字列を使用する
• コメントアウトでMovable Typeに関する情報を含める

といったことは避けるようにしましょう。

セキュリティ機能や脆弱性に対するアップデートがある

Movable Typeは複数のセキュリティ機能を備えています。その一つに複数回ログインに失敗するとアカウントをロックする「認証ロックアウト機能」があります。
これにより万が一管理画面のURLを知られた場合にも辞書的・総当たり的な攻撃に対応できます。
また、Movable Typeは定期的にセキュリティリリースが行われる他、セキュリティに関する問題が発見された場合は修正パッチを提供してくれます。

Movable Typeの特徴

セキュリティの強さはMovable Typeの大きな特徴ですが、特筆すべきことはそれだけではありません。

表示速度が速い

コンテンツ内容や使用サーバーなどの条件が同じ場合、Wordpressで作成したサイトよりもMovable Typeで作成したサイトの方が表示速度が速く、アクセスが集中してもパフォーマンスを維持しやすいです。

なぜならセキュリティについての項目でも説明した通り、Wordpressはリクエストを受けるたびにページを生成して表示させますが、Movable Typeは静的ページを返すだけで済むからです。

柔軟なテンプレートシステム

・データの表示に使われるテンプレートタグ
（例：<MTEntryTitle>と挿入することで記事のタイトルを表示させることができる）

・条件分岐やループ処理、変数の設定など、コンテンツを動的に処理・制御するファンクションタグ
（例：<MTIf> と <MTElse>で条件分岐させ、任意の条件に基づいて表示するコンテンツを切り替える）

があり、柔軟でカスタマイズ性の高いサイトを効率的に作成できます。

複数サイトの管理が可能

Movable Typeでは複数のブログやサイトを一元管理できる機能があり、異なるサイトを同一の管理画面で運営することが可能です。

権限設定が可能

細かく権限設定ができるので、どのユーザーにどこまでの権限を与えるかを自由にカスタマイズできます。

充実したサポートやメンテナンス

公式サポートが受けられます。日本語で問い合わせできるので安心です。
（クラウド版では利用料金にサポートが含まれますが、ソフトウェア版はライセンス購入時に1年間のサポートが付帯し、サポートを延長したい場合は1 年ごとに年間メンテナンス料金33,000円の支払いが必要となります。）

Movable Typeの利用料金

Movable Typeは個人利用の場合は無償ですが、商用利用の場合は有償となります。

料金の一例をご紹介します。詳細・最新の内容は公式サイトでご確認ください。

Movable Type クラウド版	月額5,500円～	クラウド環境にインストールされた最新版の Movable Typeを利用できます。月額の利用料にメンテナンス（テクニカルサポートと最新バージョンの提供）が含まれます。
Movable Type ソフトウェア版（インストール型）	99,000円	ソフトウェアをダウンロードし、自社で用意したサーバーで利用します。 1インストールごとに1ライセンスが必要です。ドメインごとに Movable Type の管理画面を分けて運用する場合、ドメインごとにインストールする必要があります。（開発用であっても購入が必要）
Movable Type Premium	825,000円	エンタープライズ向けの機能強化版。
Movable Type　Advanced	1,320,000円	1ライセンスで社内で複数インストールすることができるエンタープライズ向け上位版。

Movable Typeのデザイン

標準で複数のデザインテンプレート（例：シンプルなブログテンプレートやニュースサイト向けのテンプレート）が用意されています。HTMLやCSSを使ってデザインを自由にカスタマイズできます。

ただし、オリジナルデザインのサイトを作ろうと思うと、デザイン・コーディングの知識やスキルが必要となります。

トランスフォームはMovable Typeを使ったwebサイトの制作実績があります

弊社では、WordPressを中心にサイト制作を行っていますが、お客様のご要望に応じてMovable Typeでの制作も対応可能です。
ご相談やご質問がありましたら、お気軽にお問い合わせください。