CMSは「プラグイン隔離が標準」へ：Serverless時代の安全な拡張設計

従来のCMSプラグインは「自由度優先」で発展してきました。しかし、サプライチェーン攻撃や脆弱プラグインの常態化で、この設計思想は限界を迎えています。最近のServerless CMS潮流が示す方向は明確です。拡張は許可するが、権限と実行境界は最初から分離する。

isolate前提にすると何が変わるか

isolate型では、各プラグインはCPU・メモリ・API権限が制約された環境で実行されます。プロセス全体の信頼を継承するのではなく、必要能力だけを宣言して使います。

効果は次のとおりです。

• 脆弱プラグイン侵害時の爆発半径を局所化
• 実行時ポリシー適用を一貫化
• テナント間情報漏えいリスクを低減

推奨リファレンス構成

1. Capability Plane：利用可能APIとデータ範囲を宣言
2. Execution Plane：quota付きsandbox/isolate実行
3. Policy Plane：中央管理の許可・拒否ルール
4. Telemetry Plane：プラグイン単位のログ/メトリクス/トレース
5. Update Plane：署名付き配布と段階展開

既存CMSからの移行手順

• まずプラグインをリスク分類
• 認証・決済・外部通信など高リスク群から隔離
• 完全移行前にCapability Manifestを導入
• 可観測性を「任意」ではなく「必須」にする

性能懸念への現実解

「隔離すると遅い」は半分正しく、半分誤解です。編集ワークフローは多くがミリ秒単位の厳密性を要しません。以下で実用化できます。

• 高頻度プラグインのウォームプール
• 決定的処理のキャッシュ
• 編集時処理と公開時処理の経路分離

まとめ

プラグイン隔離は先進機能ではなく、これからのCMSにおける衛生基準です。権限宣言と実行境界を先に設計した組織ほど、将来の緊急パッチ運用を減らせます。