KurocoはどんなCMSなのか?ヘッドレスCMSの基本から理解する
ヘッドレスCMSとは
従来のCMS(WordPressなど)は、コンテンツの管理画面と表示画面(フロントエンド)が一体化しています。一方、ヘッドレスCMSはコンテンツ管理(バックエンド)と表示部分(フロントエンド)を完全に分離した設計です。
コンテンツはAPI経由で配信されるため、Webサイトだけでなくスマートフォンアプリやデジタルサイネージなど、あらゆるデバイスに同じコンテンツを届けることができます。
この分離構造は、セキュリティの面でも大きな意味を持ちます。管理画面が外部から直接アクセスできないため、WordPressで頻発する改ざん被害のリスクを大幅に低減できるのです。
Kurocoの概要と特徴
Kuroco(クロコ) は、株式会社ディバータが2021年にリリースした国産ヘッドレスCMSです。約20年の提供実績を持つエンタープライズCMS「RCMS」の後継として開発されました。
サイバーエージェント、日本ハム、TBSホールディングスなどの企業に加え、復興庁や東京観光局といった官公庁・自治体での採用実績が、Kuroco公式サイトのポートフォリオ一覧で確認できます。
Kurocoの主な特徴は以下のとおりです。
| 特徴 | 内容 |
|---|---|
| APIファースト設計 | 250以上の機能をREST APIで提供。 コンテンツ管理だけでなく、会員管理・フォーム・メルマガ・CRM・承認ワークフローまでAPIで利用可能 |
| Google Cloud Platform(GCP)基盤 | 東京リージョンを含む複数リージョンから選択でき、3つのアベイラビリティゾーンによる冗長化構成を採用 |
| 完全従量課金制 | 初期費用無料、月1,100円まで無料枠あり。 使った分だけ支払うシンプルな料金体系 |
| フロントエンド自由設計 | React、Vue.js、Next.js、Nuxt.jsなど、あらゆるフレームワークで開発可能 |
| CDNホスティング標準搭載 | 「KurocoFront」による静的コンテンツ配信を標準で提供 |
参考
Kuroco(クロコ)の料金プランは?従量課金制の仕組みと費用目安
Kurocoは他のCMSとは異なり、プランによる機能制限がない完全従量課金制を採用しています。
基本料金の仕組み
| 項目 | 内容 |
|---|---|
| 初期費用 | 無料 |
| 無料枠 | 月額約1,100円(税込)相当まで無料 |
| 課金対象 | APIリクエスト数、データ転送量、ファイルストレージ、コンピューティング、メール送信数 |
| クレジットカード | 無料トライアル開始時は登録不要 |
主な従量課金の単価
| 項目 | 単価 |
|---|---|
| APIリクエスト | 55円/1,000リクエスト |
| キャッシュされたAPIリクエスト | 44円/10,000リクエスト |
| CDNデータ転送量 | 110円/ 5GB |
| ファイルストレージ | 55円 / 1GB(月中最大値で課金) |
参考
利用規模別の費用目安
Kurocoの公式サイトでは以下の参考費用が提示されています。
| 月間100万PVのメディアサイト | 約33,000円/月 ※1ページあたりの転送量1MB想定 ※主に転送量とキャッシュされたAPIリクエストが利用される想定 |
|---|---|
| 会員1,000人の活発な会員制サイト | 約22,000円/月 主にAPIリクエストとメール送信が利用される想定 |
例えば、自治体ホームページの場合、月間10万〜50万PV程度であるため、月額数千円〜30,000円程度で運用できるケースが多いと見込まれます。
参考
また、Kurocoの料金面で特筆すべきは、全機能がすべてのユーザーに開放されている点です。KurocoではSSO・権限設定・監査ログなどのエンタープライズ機能が無料枠内でも利用可能です。また、ユーザー数による課金がないため、多数の職員・社員がアクセスする官公庁・自治体・大企業でもコストが膨らみにくい構造になっています。
なお、定額での見積もりや固定価格契約にも対応しているため、予算編成に合わせた柔軟な契約も可能です。
参考
セキュリティ要件にKurocoはどこまで対応できるか
Kurocoは、開発元の株式会社ディバータがISMS(ISO/IEC 27001:2022)およびISMSクラウドセキュリティ(ISO/IEC 27017:2015)を取得しており、さらにプライバシーマークも保有しています。
セキュリティ認証
| 認証・評価 | 内容 |
|---|---|
| ISMS | ISO/IEC 27001:2022 / JIS Q 27001:2023 取得 |
| ISMSクラウドセキュリティ | ISO/IEC 27017:2015 / JIS Q 27017:2016 取得 |
| プライバシーマーク | 取得済み |
技術的なセキュリティ対策
Kurocoはインフラ・アプリケーションの両面で多層的なセキュリティ対策を実装しています。WAF(Webアプリケーションファイアウォール)とDDoS対策が標準搭載されており、追加費用なしで利用できます。
具体的な対策として、全通信のHTTPS/TLS暗号化、IPアドレスによるアクセス制限、二要素認証(SMS・認証アプリ対応)、SAML/OAuth連携によるシングルサインオン、詳細な監査ログの記録と保管が挙げられます。さらに、VAddy(脆弱性診断ツール)による毎日自動スキャンも実施されています。
データセンターとバックアップ
「データがどこに保管されるか」は重要な要件です。KurocoはGoogle Cloud Platform東京リージョンを選択でき、国内でのデータ保管が可能です。バックアップは毎日午前2時〜6時にフルバックアップを実行し、5日間(5世代)保管。ログデータは最低12ヶ月間BigQueryに保存されます。
情報セキュリティ基準への対応
Kurocoは、IPA(情報処理推進機構)監修の「安全なウェブサイトの作り方」チェックリストおよび経済産業省「SaaS向けSLAガイドライン」のKuroco版を提供しています。これにより、大規模組織の情報セキュリティポリシーへの適合性を客観的に証明できます。
参考
Kurocoが官公庁・自治体・大企業に適している理由
Kurocoは単なるコンテンツ管理ツールにとどまらず、官公庁・自治体・大企業が抱える運用課題に応える機能を標準で備えています。以下に、特に評価されている点を挙げます。
承認ワークフローの標準搭載
情報公開前に上長の承認が必要な組織(官公庁・大企業を問わず)にとって、KurocoはRCMS時代から磨き上げてきたワークフロー機能を全ユーザーに提供しています。
多言語対応
外国人顧客・住民向けの情報提供が求められる組織にとって、Kurocoの多言語コンテンツ管理機能は大きなメリットです。
サイト数・コンテンツ数に上限なし
複数のWebサイトを運営する大企業グループや自治体でも、追加費用なしで制限なく利用できます。
お問い合わせフォーム機能が標準搭載
フォーム機能を持たないCMSも多い中、Kurocoは管理画面からフォームを作成・管理できる機能を標準で備えています。入力データの管理や通知メール送信にも対応しており、外部サービスとの連携が不要なため、運用コストの削減にもつながります。
会員管理・会員登録機能が充実
Kurocoは単なるコンテンツ管理にとどまらず、会員登録・ログイン・マイページ・メルマガ配信・CRM連携といった会員向け機能を包括的に提供しています。社員ポータルや顧客向けログインサービス、住民向け申請サービスなど、ログインが必要な仕組みを構築する幅広いユースケースに対応できます。
Kurocoと主要CMSの比較
大規模組織のCMS選定では、WordPress、microCMS、Contentfulなどが候補に挙がることが多いでしょう。ここでは、官公庁・自治体・大企業利用の観点から各CMSを比較します。
主要CMS比較表
| 比較項目 | Kuroco | WordPress | microCMS | Contentful |
|---|---|---|---|---|
| 種類 | ヘッドレスCMS(国産) | 従来型CMS | ヘッドレスCMS(国産) | ヘッドレスCMS(海外) |
| 月額費用目安 | 数千円〜約33,000円 ※従量課金 |
サーバー代 +保守で数万円〜 |
75,000円(Business) 定額制 |
約$300〜 |
| セキュリティ認証 | ISMS(ISO27001/27017)、Pマーク | なし | ISMS(ISO27001) | SOC 2 Type II |
| WAF・ DDoS対策 |
標準搭載 | プラグイン等で自己対応 | 標準搭載 | 標準搭載 |
| 承認ワークフロー | 標準搭載(全プラン) | プラグインで対応 | Businessのみ | Premiumのみ |
| 日本語サポート | ◎ 完全対応 | △ コミュニティベース | ◎ 完全対応 | △ 英語中心 |
※上記に加え、弊社の導入・運用経験では、Kurocoはサポートへの問い合わせに対する返答が比較的迅速であるという印象を持っています。専任Web担当者が少ない組織にとって、困ったときにスピーディに対応を得やすい点は、実運用上の安心材料となるでしょう。
WordPressからの脱却が進む理由
WordPressは世界シェア60%超を誇りますが、オープンソースゆえにセキュリティリスクが深刻です。プラグインやテーマの脆弱性を突かれた改ざん被害は後を絶たず、実際に官公庁のWebサイトでも被害事例が報告されています。
常時アップデートとセキュリティパッチの適用が必要で、専門知識を持つ担当者が不在の組織では運用負担が大きくなります。
ヘッドレスCMSであるKurocoは、管理画面がフロントエンドから分離されているため攻撃対象面(アタックサーフェス)が限定され、構造的にセキュリティリスクが低いという根本的な優位性があります。
参考
CMS導入を成功させるには—専門パートナーの重要性
Kurocoは高機能なCMSですが、導入を成功させるにはCMS選定だけでなく、要件定義、情報設計、アクセシビリティ対応(JIS X 8341-3準拠)、既存サイトからのデータ移行、運用体制の構築といった幅広い工程を適切に進める必要があります。
EWMジャパン—500件超の実績を持つプロフェッショナル
株式会社イーダブリュエムジャパン(EWM Japan) は、2001年設立のWeb制作会社で、自治体・行政・官公庁・大手企業向けのWebサイト構築における豊富な実績を有しています。
主な実績
EWMが手がけてきたプロジェクトは多岐にわたります。
- 東京都交通局:都営地下鉄・都営バス公式サイトの構築・運用
- 東京都立図書館:公式サイトリニューアル・運用
- 東京都保健医療局:外国人患者向け多言語ポータルサイト構築
- 佐賀県・佐賀市:複数の行政サイト構築
- ネットワンシステムズ株式会社:コーポレートサイトリニューアル
参考
EWMはCMS選定の相談から設計・構築・運用まで一気通貫で対応しています。プライバシーマーク取得済みで、官公庁・自治体・大企業のセキュリティ要件にも対応可能です。入札形式にも対応しており、仕様策定支援の段階から相談可能です。
まとめ
CMS「Kuroco」は、セキュリティ・コスト・機能の3つの観点で、官公庁・自治体・大企業のホームページ運用に高い適合性を持つ国産ヘッドレスCMSです。
ISMS(ISO27001/27017)取得、WAF・DDoS対策の標準搭載といったセキュリティ面の充実に加え、承認ワークフロー・権限管理・会員管理・フォーム機能が追加費用なしで使える点は、大規模組織の業務フローとの親和性が非常に高いといえます。
また、Kuroco料金は完全従量課金制のため、小規模サイトなら月額数千円から始められ、大規模サイトでも月間100万PVで約3.3万円と、コストパフォーマンスにも優れています。ユーザー数に応じた課金がないため、多数の社員・職員がアクセスする環境でもコストが膨らみにくい構造です。
WordPressのセキュリティリスクを踏まえると、Kurocoのような堅牢で長期運用に適したヘッドレスCMSへの移行は、今後の官公庁・自治体・大企業のDXにおける重要テーマとなるでしょう。
ただし、CMS選定はあくまでWebサイト構築の一要素に過ぎません。要件定義、情報設計、アクセシビリティ対応、移行計画、運用設計まで含めた全体最適を実現するには、大規模Web制作に精通したパートナーの支援が欠かせません。