タグアーカイブ エンタープライズ

CiscoとOpenAI、Codexでエンタープライズ開発を再定義

CiscoがOpenAI Codexを実際のエンタープライズ開発ワークフローに組み込み、大幅な成果を上げている。AI Defenseをはじめとする新製品の開発スピードは数四半期から数週間に短縮され、1,500時間超の工数が毎月削減された。

新規AI機能の95%以上をCodexが生成し、C/C++の大規模コードベースにおける欠陥修正の処理速度は従来の10〜15倍に達した。大規模リポジトリ間のビルド最適化やフレームワーク移行も短期間で完了している。

単なるコード補完ツールではなく、自律的にコンパイルやテストを繰り返しながら修正を加えるエージェントとして機能する。CiscoはCodexを「もう一人のAIエンジニア」と位置づけ、プロダクション環境全体に組み込んだ。

Codexのエージェント性がもたらす変化

Codexのエージェント性がもたらす変化
従来の開発支援ツール
コード補完 補完候補を表示
エンジニアが毎回判断し手動で適用する必要がある
OpenAI Codex(エージェント型)
自律実行 コンパイル → テスト → 修正を自動ループ
レビューやガバナンスの枠組み内で動作しつつタスクを完結させる

Codexが従来の開発支援ツールと一線を画すのは「エージェント性」だ。Ciscoのエンジニアリングチームは、Codexが単なるコード提案を超えて複雑な判断と実行を繰り返せる点に着目した。相互に依存する大規模リポジトリを横断して推論し、C/C++のような複雑な言語を扱い、CLIベースのコンパイル、テスト、修正ループを自律的に回す。

これらの作業が既存のレビューやセキュリティ、ガバナンスの枠組みの中で動作することも重要だ。CiscoはCodexを「ツール」から「チームの一員」へと位置づけを変えたことで、従来の工数見積もりの概念そのものが変わりつつある。

コード補完とエージェントの違い

一般的なコード補完ツールは、エンジニアが書き始めたコードに対して次の候補を提示する。エンジニアはその候補を読んで判断し、手動で適用する。一方、エージェント型のCodexは「このリポジトリ全体のビルド時間を短縮せよ」といった高レベルな指示を与えると、自らログを解析し依存関係を調査し、修正を加えたうえでテストまで実行する。

この違いが特に威力を発揮するのは、コードベースが巨大で複数のチームやリポジトリにまたがるエンタープライズ環境だ。人間が一つひとつ手作業で確認するには時間がかかりすぎる問題に対して、Codexは自律的に解決策を提示し、適用する。

AI Defenseの開発期間を数四半期から数週間に短縮

AI Defenseの開発期間を数四半期から数週間に短縮
従来の開発ペース(Before)
新機能を顧客に届けるまで数四半期
設計、実装、レビュー、テストの各工程が順次進行
Codex導入後(After)
新機能を顧客に届けるまで数週間
Codexが実装の大部分を自律生成し、エンジニアは判断と検証に集中

CiscoのAIセキュリティ製品「AI Defense」は、このエージェント型開発の成果を如実に示す事例だ。AI DefenseはAIが引き起こす安全性やセキュリティのリスクから組織を守るエンドツーエンドのソリューションである。CiscoのチームはCodexを活用してAI Defenseのコードの大部分を生成し、ほぼすべての新機能をCodexが作成した。

OpenAI Blogの記事によれば、従来の開発手法では数四半期を要していた機能が、Codexの導入により数週間で顧客に提供可能になったという。AIの安全性という領域で、AIを活用した開発が威力を発揮した好例だ。

Daybreak構想とAIセキュリティ

CiscoはOpenAIの「Daybreak」構想にも中核的なセキュリティ組織として参画している。DaybreakはOpenAIのモデル、Codex、セキュリティパートナーを結集し、サイバー防御とソフトウェアの継続的セキュリティを加速させる取り組みだ。このプログラムの一環として、Ciscoはサイバー防御者向けモデル「GPT-5.5-Cyber」へのアクセスを管理している。

また、CiscoはCodexの支援を受けてオープンソースツール「Defense Squad」を構築した。このツールはアイデア出しから開発者コミュニティへの提供まで1週間未満で完了している。Codexの迅速なプロトタイピング能力が、セキュリティ領域におけるOSS開発のスピードを大幅に引き上げた形だ。

ビルド最適化で月1,500時間超の工数を削減

ビルド最適化で月1,500時間超の工数を削減
STEP 1 15以上のリポジトリのビルドログをCodexが解析
STEP 2 依存関係グラフから非効率な箇所を特定
STEP 3 ビルド時間を約20%短縮、月1,500時間超の工数削減

CiscoのエンジニアリングチームがCodexに与えた最初の大きな課題の一つが、クロスリポジトリのビルド最適化だ。15以上の相互接続されたリポジトリにまたがるビルドログと依存関係グラフをCodexが分析し、非効率な箇所を特定した。

その結果、ビルド時間が約20%短縮され、グローバル環境全体で毎月1,500時間以上のエンジニアリング工数が削減された。ビルド時間の短縮は開発サイクル全体を加速させる。待ち時間が減れば、エンジニアはより多くの時間を設計や検証に充てられる。

C/C++コードベースの欠陥修正を10〜15倍に高速化

C/C++コードベースの欠陥修正を10〜15倍に高速化
従来の手動修正(Before)
エンジニア 手動で欠陥を特定 修正コードを記述 テスト
数週間かかる大規模修正も
Codex CLIの自律修正(After)
Codex 反復的エージェント実行 自動コンパイル 修正完了
数時間で完了、処理スループットは10〜15倍

Codex CLIを使った「CodeWatch」と呼ばれる取り組みでは、大規模なC/C++コードベースを対象に、反復的かつエージェント型の欠陥修正を自動化した。C/C++はメモリ管理やポインタ操作が絡む複雑な言語であり、欠陥の修正には深い理解と慎重なテストが欠かせない。

従来は数週間の手作業を要していた修正が、Codex CLIによって数時間で完了するようになった。欠陥解決のスループットは10〜15倍に向上し、エンジニアは設計や検証といったより高度な判断業務に集中できるようになった。

フレームワーク移行やCI/CDへの統合

フレームワーク移行やCI/CDへの統合

Splunkチームの事例では、複数のUIをReact 18からReact 19へ移行する作業にCodexが投入された。Codexが反復的な変更の大部分を自律的に処理したことで、数週間かかる作業が数日に圧縮された。エンジニアは判断を要する部分に集中し、機械的な書き換えはCodexに任せるという分業が成立している。

OpenAI Blogの記事でCiscoの関係者は「Codexに計画ドキュメントを生成させて従わせることで、レビューチームがプロセスと生成されたコードの両方を容易に理解できるようになった」と述べている。コードを書くだけでなく、意図や計画を文書化する能力も実務では大きな価値を持つ。

エンタープライズ開発パイプラインへの組込み

CiscoはCodexをスタンドアロンのツールとしてではなく、既存の開発パイプラインに直接組み込んだ。セキュリティやコンプライアンス、ガバナンスの要件を満たしながら動作させることが、エンタープライズ環境では不可欠だからだ。

この実運用から得られた継続的なフィードバックは、OpenAIがCodexを大企業向けに強化するうえで重要な役割を果たした。特にコンプライアンス対応、長時間実行タスクの管理、既存パイプラインとの統合といった領域が改善された。CiscoとOpenAIの協業は、次世代AIを採用するための再現可能なモデル「深い技術パートナーシップ、実際のワークロード、初日からのリーダーシップの一致」を確立したと言える。

この記事のポイント

  • CiscoはCodexを導入し、新規AI機能の95%以上を自動生成している
  • AI Defenseの開発期間が数四半期から数週間に短縮された
  • クロスリポジトリのビルド最適化で月1,500時間超の工数を削減
  • C/C++コードベースの大規模欠陥修正を10〜15倍に高速化
  • Codexはコード補完を超えたエージェントとして、自律的にコンパイルとテストを繰り返しながら開発を進める
DockerがカスタムMCPカタログとプロファイルを正式提供、企業のAIツール管理が新段階へ

DockerがカスタムMCPカタログとプロファイルを正式提供、企業のAIツール管理が新段階へ

Dockerは2026年5月15日、MCP(Model Context Protocol)サーバーを管理する「カスタムカタログ」と「プロファイル」の一般提供を開始した。組織はこれらを使ってMCPサーバー群を一元的に管理し、開発者は作業内容に応じたツール構成を簡単に切り替えられるようになる。

この発表の背景には、企業へのMCP導入が進むにつれて「誰がどのMCPサーバーを信頼して使うべきか」という調整コストが急増していた現実がある。Dockerの新機能は、プラットフォームチームが推奨するツール群を「カタログ」として配布し、現場の開発者が「プロファイル」で自由に組み替えるという二層構造でこの課題を解決する。

MCP活用の壁とDockerの解決策

MCP活用の壁とDockerの解決策

MCPはAIエージェントが外部ツールやデータソースと対話するための標準プロトコルだ。ChatGPTのプラグイン機能に相当するが、ベンダーに依存せずオープンな仕様で設計されている。Dockerは2025年後半からMCPサーバーの統合管理機能「MCPカタログ」を提供してきたが、公開サーバーだけでは社内ツールや独自要件に対応しきれないという声が増えていた。

特に大きかったのは「全社で使える信頼済みリストがほしい」というニーズと「開発者個人のワークフローに合わせた構成を使いたい」というニーズのせめぎ合いだ。前者を強めると開発者の自由度が下がり、後者を優先するとセキュリティ基準が守れなくなる。Dockerが今回一般提供を始めたカスタムカタログとプロファイルは、この二つを両立させるインフラにあたる。

カスタムカタログとプロファイルの役割分担

カスタムカタログは「組織が推奨するMCPサーバーの集合」を定義し、OCIアーティファクトとして配布できる仕組みだ。プロファイルは個人がカタログから選んだサーバー群を「コーディング用」「企画用」といった用途別にまとめ、クライアント(Claude Codeなどのエージェント)に切り替えて接続できる。

組織のプラットフォームチーム
Docker MCPカタログ、コミュニティソース、社内開発サーバー
カスタムカタログを作成してOCIレジストリに配布
信頼審査済み、組織として推奨するMCPサーバーを一元管理
現場の開発者
カスタムカタログから必要なサーバーを選択
コーディング用プロファイル
← クライアントを切り替え →
企画用プロファイル
用途に応じたツールだけをエージェントに接続できる

この二層構造によって「組織が定める信頼の枠組み」と「個人が工夫する効率化」が衝突しなくなる点が最大の価値だ。プラットフォームチームはガードレールを引き、開発者はその中で自由にツールを組み替える。

カスタムMCPカタログの作成と配布手順

カスタムMCPカタログの作成と配布手順

Dockerの公式ブログで解説されている手順に沿って、実際にカスタムカタログを作成する流れを見ていこう。ここではDocker Hubをレジストリとして使う例だが、プライベートレジストリにも対応する。

ステップ1 自前のMCPサーバーをイメージ化する

まず、組織内で使いたい独自のMCPサーバーをDockerイメージとしてビルドし、レジストリにプッシュしておく。Dockerの解説では、さいころを振るroll-diceというサンプルサーバーが使われている。stdioで通信する標準的なMCPサーバーであり、Dockerfileからイメージを作成する手順は通常のコンテナ開発と変わらない。

イメージが用意できたら、そのサーバーのメタデータをYAMLファイルに記述する。ファイル名や格納場所は任意だ。

name: roll-dice
title: Roll Dice
type: server
image: roberthouse224/mcp-dice@latest
description: An mcp server that can roll dice

このYAMLにはサーバーの識別名、表示タイトル、Dockerイメージの参照先、説明文が含まれる。実際の運用では、ここにアクセス権限や設定パラメータのメタ情報を追加することも考えられる。

ステップ2 Docker MCPカタログと自前サーバーを束ねる

次に、docker mcp catalog createコマンドを使ってカスタムカタログを作成する。引数にはDocker公式カタログから取り込みたいサーバーと、先ほど用意したYAMLファイルのパスを指定する。

docker mcp catalog create roberthouse224/our-catalog \
  --title "Our Catalog" \
  --server catalog://mcp/docker-mcp-catalog/playwright \
  --server catalog://mcp/docker-mcp-catalog/github-official \
  --server catalog://mcp/docker-mcp-catalog/context7 \
  --server catalog://mcp/docker-mcp-catalog/atlassian \
  --server catalog://mcp/docker-mcp-catalog/notion \
  --server catalog://mcp/docker-mcp-catalog/markitdown \
  --server file://./mcp-dice.yaml

catalog://スキームでDockerの公式カタログから既存のサーバーを取り込み、file://スキームで自作サーバーのメタデータを追加している。このカタログはローカルマシン上にOCIアーティファクトとして作成され、docker mcp catalog showで内容を確認できる。

ステップ3 カタログをレジストリで共有する

作成したカタログは、docker mcp catalog pushでDocker Hubやプライベートレジストリにプッシュすれば即座に共有可能になる。OCIアーティファクトとしての配布は、組織内のリポジトリアクセス権限をそのまま使えるため、追加のインフラ管理が不要だ。

docker mcp catalog push roberthouse224/our-catalog

これで、組織内の他メンバーはDocker Desktopの「カタログインポート」機能か、docker mcp catalog pullコマンドでこのカタログを取得できる。公式カタログにはない社内ツールが含まれている点、すべてのサーバーが組織としての信頼審査を通過している点が、単なる公開カタログとの決定的な違いだ。

カスタムカタログがエンタープライズにもたらす意味

カスタムカタログがエンタープライズにもたらす意味

ここで一歩引いて、この機能が企業のAI活用に何をもたらすかを考えてみたい。単なる「MCPサーバーリストの共有」に見えるが、実際にはもっと大きな変化の起点になる。

第一に、MCPサーバーの発見と評価にかかるコストが大幅に下がる。開発者がインターネット上からMCPサーバーを探して安全性を個別に判断する必要がなくなり、組織が「使ってよいもの」をあらかじめ提示できる。これはソフトウェアサプライチェーン管理の考え方をAIツールに応用したものとも言える。

第二に、プライベートレジストリと組み合わせれば、社内限定のAIツールを企業秘密として保護しながら配布できる。たとえば自社データベースに特化したMCPサーバーを、アクセス権のあるメンバーだけに提供する使い方が想定される。Dockerのブログでも「プライベートカタログ」という方向性が示唆されている。

第三に、OCIアーティファクトという既存の業界標準に乗っていることが地味ながら重要だ。組織はすでにコンテナレジストリの運用ノウハウとアクセス管理の仕組みを持っている。それをそのままMCPに転用できるため、新たに専用の配信インフラを構築する必要がない。

従来のMCPサーバー探し
開発者個人がウェブ検索 → 品質不明、安全性未確認のサーバーを個別に試す
発見コスト大・チーム間でバラつき発生
カスタムカタログ導入後
プラットフォームチームが審査済みリストを配布 → 開発者はカタログから選ぶだけ
信頼性確保・チーム全員が同じ基準で作業開始できる

このようにカスタムカタログは「野良ツールの乱立を防ぎつつ、社内イノベーションを促進する」バランサーとして機能する。とはいえ、カタログで提供されるのはあくまで「選択肢の集合」だ。実際の作業でどのツールをどう組み合わせるかは、次のプロファイル機能が受け持つ。

MCPプロファイルで個人ワークフローを最適化する

MCPプロファイルで個人ワークフローを最適化する

プロファイルは、カタログから選んだMCPサーバー群を「コーディング」「企画」「調査」などの用途別に束ね、任意のAIクライアントに接続できる仕組みだ。特定のプロファイルには必要なツールだけが含まれるため、エージェントのコンテキストウィンドウを無駄に消費しない利点がある。

作業モードの切り替えを数クリックで実現

Docker Desktop 4.63から利用できるプロファイル機能の基本動作はシンプルだ。カスタムカタログを開き、使いたいサーバーを選択して「新しいプロファイル」を作成する。プロファイルには接続先クライアント(Claude Codeなど)を指定できるが、後から付け替えることも可能だ。

たとえば、Playwright、GitHub、Context7を含む「コーディング」プロファイルと、Atlassian、Markitdown、Notionを含む「企画」プロファイルを別々に作っておけば、作業内容に応じてクライアントの接続先を切り替えるだけでツール環境が丸ごと入れ替わる。これまではツールセットを切り替えるたびに再設定が必要だったが、プロファイルによりワンアクションで済む。

設定の保存と再利用で反復作業を削減

プロファイルのもう一つの利点は、MCPサーバーの設定を永続化できることだ。Markitdownサーバーにアクセス可能なディレクトリパスを指定する場合や、GitHubサーバーのうち使うツールをget_meだけに絞る場合など、一度設定した内容はプロファイルに保存される。これにより、毎回手動で同じ設定を繰り返す手間が省ける。

コンテキストウィンドウの最適化という観点では、大量のツールをエクスポートするMCPサーバーに対して「このタスクではツールAとBだけ有効化する」と制限できる点が実用的だ。エージェントの推論性能を落とさず、必要な機能だけに集中させられる。この仕組みは、社内開発するMCPサーバーにリッチな設定オプションを持たせることで、さらに強力な再利用性を発揮するだろう。

コーディングプロファイル
Playwright
GitHub(get_meのみ有効化)
Context7
コンテキストウィンドウ消費: 小
↕ クライアント接続を切り替え
企画プロファイル
Atlassian
Markitdown(アクセスパス制限あり)
Notion
コンテキストウィンドウ消費: 中
※各プロファイルは独立しており、作業内容に合わせて必要なツールだけをエージェントに提供する

上図のように、同じカタログから異なるプロファイルを複数作成し、用途に応じて切り替える運用が基本スタイルになる。この考え方は、VS Codeのワークスペース設定や、ターミナルのプロファイル管理に近い。AIエージェント時代の「作業環境テンプレート」と捉えるとわかりやすいだろう。

プロファイルの共有と今後の展望

プロファイルの共有と今後の展望

プロファイルもカスタムカタログと同様、OCIアーティファクトとしてレジストリで共有できる。docker mcp profile pushでプッシュすれば、チームメンバーはdocker mcp profile pullで即座に同じツール構成を手に入れられる。うまくいった設定を「テンプレート」として展開できるこの仕組みは、プロジェクト立ち上げ時の環境構築コストを大幅に下げる。

docker mcp profile push coding your-namespace/coding

Dockerは今後、以下の方向性でカスタムカタログとプロファイルを拡張していくとしている。

  • ガバナンスとポリシー制御により、承認されたカスタムカタログ以外からのMCP利用を制限
  • カタログとプロファイルのディスカバビリティを向上し、実績のある構成を見つけやすくする
  • プロファイルスコープでのシークレット・設定値管理を強化し、セキュアな代替手段として整備
  • エージェントスキルとの連携により、プロファイルを依存関係として参照するワークフロー

特に最後の「エージェントスキルがプロファイルを依存関係として参照する」という構想は興味深い。たとえば「データ分析スキル」が起動するときに、必要なMCPサーバー構成をプロファイルから自動で引き込むといった使い方が想定されている。これが実現すれば、AIエージェントが自律的に必要なツールを調達して動く世界がさらに近づく。

この記事のポイント

  • DockerがカスタムMCPカタログとプロファイルの一般提供を開始し、企業のAIツール管理に新たな基盤が加わった
  • カスタムカタログは組織が信頼するMCPサーバー群をOCIアーティファクトで配布し、発見コストとセキュリティリスクを同時に下げる
  • プロファイルは個人が用途別にツール構成を保存・切り替えできる仕組みで、コンテキスト最適化にも有効
  • 両方ともOCIアーティファクトで共有可能なため、既存のコンテナレジストリ運用の延長でチーム展開できる
  • 今後のポリシー制御やエージェントスキル連携により、エンタープライズMCPのガバナンス基盤として発展が見込まれる
Cloudflare Organizationsベータ版登場!複数アカウントの一元管理とセキュリティ強化の全容

Cloudflare Organizationsベータ版登場!複数アカウントの一元管理とセキュリティ強化の全容

Cloudflare(クラウドフレア)は、大規模なエンタープライズ企業が自社のインフラをより効率的に管理するための新機能「Cloudflare Organizations(クラウドフレア・オーガニゼーションズ)」をベータ版として公開した。この機能は、これまで独立していた複数のCloudflareアカウントを一つの「組織」としてまとめ、一元的な管理を可能にするものだ。

大規模な組織では、数千人規模のユーザーが開発やセキュリティ、ネットワークなどの多岐にわたる業務でCloudflareを利用している。今回のアップデートにより、管理者は個別のログインや設定の繰り返しから解放され、組織全体のアナリティクスやポリシーを一括で制御できるようになる。

なぜこの機能が重要なのか。それは、セキュリティの鉄則である「最小権限の原則」を維持しながら、管理の複雑さを劇的に解消できるからだ。本記事では、Cloudflare Organizationsがもたらす変化とその技術的な背景を詳しく解説していく。

Cloudflare Organizationsが解決する大規模運用の課題

Cloudflare Organizationsが解決する大規模運用の課題

多くのエンタープライズ企業は、セキュリティを担保するために複数のCloudflareアカウントを使い分けている。これは、特定のチームに必要以上の権限を与えないための「最小権限の原則(Principle of Least Privilege)」に基づいた運用だ。

複数アカウントによる管理の断片化

最小権限の原則とは、ユーザーに業務遂行に必要な最小限のアクセス権だけを与える考え方だ。例えば、マーケティングチームが管理する特設サイトの設定と、基幹システムのネットワーク設定は、異なるアカウントで管理するのが望ましい。これにより、万が一ひとつのアカウントが侵害されても、被害を限定的に抑えられるからだ。

しかし、この運用には大きなデメリットがあった。管理者はすべてのアカウントに個別にアクセスし、権限を設定しなければならない。アカウントが増えるほど管理は「断片化」し、誰がどのアカウントに対してどのような権限を持っているのかを把握することが困難になっていたのだ。

運用の煩雑さとヒューマンエラーのリスク

従来、全社的なセキュリティレポートを作成する場合、管理者は各アカウントにログインして個別にデータを収集する必要があった。また、共通のセキュリティポリシーを適用する際も、アカウントごとに同じ設定を手動で繰り返す必要があり、これが設定ミスや漏れといったヒューマンエラーの原因となっていた。

Cloudflare Organizationsは、こうした「セキュリティのためのアカウント分割」が生み出した管理コストを削減するために設計されている。アカウントの独立性を保ったまま、管理レイヤーだけを統合する仕組みだ。

従来の管理(Before)
■ アカウントA(開発用)→ 個別にログイン
■ アカウントB(本番用)→ 個別にログイン
■ アカウントC(外部用)→ 個別にログイン
※管理者がバラバラに管理する必要がある
Organizations導入後(After)
組織(Organization)レイヤー
├ ■ アカウントA
├ ■ アカウントB
└ ■ アカウントC
※一つの画面から全アカウントを統制可能

このデモは、Organizationsがアカウントの階層構造をどのように整理するかを視覚化したものだ。

Organizationsの主要機能と新しい管理ロール

Organizationsの主要機能と新しい管理ロール

Cloudflare Organizationsの導入により、新しい管理権限の仕組みが導入された。その中心となるのが「Org Super Administrator(組織スーパー管理者)」というロールだ。

「Org Super Administrator」の役割

これまで、管理者は各アカウントの「Super Administrator」として登録される必要があった。しかし、Organizationsでは組織レベルで管理者を任命できる。この組織スーパー管理者は、組織に紐づけられたすべてのアカウントに対して、自動的に最高権限を持つことになる。

特筆すべきは、この管理者が個別のアカウントのユーザーリストに表示されない点だ。これにより、アカウント内の一般ユーザーが誤って管理者を削除してしまうといった事故を防ぐことができる。また、新しくアカウントが組織に追加された際も、管理者は即座にそのアカウントを制御できるため、オンボーディングのスピードが向上する。

複数アカウントを横断するダッシュボード

Organizationsのもう一つの大きな特徴は、アカウントを跨いだ情報の集約だ。ベータ版ではまず、HTTPトラフィックのアナリティクスが提供される。これにより、組織全体のトラフィック傾向や、特定のドメインでの異常なアクセス増加を一つの画面で監視できるようになった。

今後は、監査ログ(Audit Logs)や請求レポート(Billing Reports)も組織レベルで統合される予定だ。これにより、誰がいつ、どのアカウントで設定を変更したのかを組織全体で追跡できるようになり、コンプライアンスの強化にもつながる。

セキュリティと効率を両立する共有ポリシー

セキュリティと効率を両立する共有ポリシー

エンタープライズ企業にとって、セキュリティ基準を社内全体で統一することは至上命題だ。Cloudflare Organizationsは、この課題に対して「共有ポリシー」という強力な解決策を提示している。

WAFやGatewayポリシーの一括適用

これまでは、WAF(Web Application Firewall / ウェブアプリケーションファイアウォール)のルールを更新する場合、各アカウントにログインして同じ作業を繰り返す必要があった。しかし、Organizationsでは、特定のアカウントで作成したポリシーセットを、組織内の他のアカウントへ共有できる。

例えば、セキュリティ専門チームが管理する「マスターアカウント」で最新の脆弱性対策ルールを作成し、それを全社のアカウントに一括で適用するといった運用が可能になる。これにより、セキュリティレベルのばらつきをなくし、全社的な防御力を底上げできる。

共有ポリシーの仕組み
マスターポリシー(WAFルール等)
↓ 配布 ↓
■ アカウント1:適用済み
■ アカウント2:適用済み
■ アカウント3:適用済み
セキュリティチームが一度更新するだけで全アカウントに反映

この仕組みにより、各チームの担当者は自前で複雑なセキュリティ設定を行う必要がなくなり、本来の開発業務に集中できるようになる。

開発の舞台裏とパフォーマンスの改善

開発の舞台裏とパフォーマンスの改善

このOrganizations機能の実現は、Cloudflareの内部システムにおける大規模な刷新の結果でもある。Cloudflareのチームは、これを単なる新機能の追加ではなく、システム基盤の再構築として取り組んだ。

13万行のコード刷新とインナーソース開発

開発にあたっては「インナーソース(Innersource)」という手法が採用された。これは、オープンソースの開発手法を社内のプロジェクトに適用するものだ。このプロジェクトでは、約133,000行の新しいコードが追加され、32,000行の古いコードが削除された。Cloudflareの権限システム史上、最大級の変更となったという。

この刷新の目的は、古いコードパスを排除し、すべての認可チェックを「ドメインスコープのロールシステム」に集約することだ。これにより、将来的に新しいロールや機能をより迅速にリリースできる強固な土台が完成した。

権限チェック速度が27%向上

この基盤刷新は、ユーザー体験にも直接的なメリットをもたらしている。特に、数千ものアカウントやゾーン(ドメイン)にアクセス権を持つパワーユーザーにおいて、アカウント一覧やゾーン一覧の表示速度が課題となっていた。今回の最適化により、権限チェックのパフォーマンスが27%向上し、大規模環境での管理画面のレスポンスが大幅に改善された。

Organizationsの導入方法と今後の展望

Organizationsの導入方法と今後の展望

Cloudflare Organizationsは、まずエンタープライズプランの顧客を対象にパブリックベータとして公開されている。今後数ヶ月以内に、Pay-as-you-go(従量課金)プランを含むすべての顧客に拡大される予定だ。

安全な移行プロセス

導入はセルフサービス形式で行われる。エンタープライズアカウントのスーパー管理者であれば、ダッシュボードに招待が表示される仕組みだ。Cloudflare側が勝手に組織を作成することはない。これは、意図しない権限昇格を防ぐための配慮だ。

もし社内の別のユーザーがすでに組織を作成している場合は、そのユーザーから招待を受けるか、自分を組織の管理者として追加してもらう必要がある。このプロセスにより、どのアカウントを組織に含めるかを、各アカウントの管理者が明示的に承認する形が維持されている。

ロードマップに並ぶ強力な機能

Organizationsは、今後一年をかけてさらに進化する予定だ。現在公開されているロードマップには以下の項目が含まれている。

  • 組織レベルの監査ログ(Audit Logs)
  • 組織レベルの請求レポート
  • より詳細なアナリティクスレポートの拡充
  • 組織レイヤーでの追加ユーザーロール
  • セルフサービスによる新規アカウント作成

独自の分析:なぜ今、Cloudflareは「組織」単位の管理に注力するのか

独自の分析:なぜ今、Cloudflareは「組織」単位の管理に注力するのか

今回のアップデートは、Cloudflareが単なる「CDNベンダー」から、企業の「統合ネットワークインフラ」へと完全に脱皮したことを象徴している。かつてCloudflareは、個々のドメインを高速化・保護するためのツールだった。しかし現在、企業はアイデンティティ管理(Zero Trust)やサーバーレス開発(Workers)など、ビジネスの根幹をCloudflare上で動かしている。

利用範囲が広がれば、当然ながら管理する単位はドメインから「組織」へとシフトする。Organizationsの導入は、AWS(Amazon Web Services)が「AWS Organizations」を導入した際と同様の進化のプロセスと言えるだろう。

特に、WAFポリシーの共有機能は、セキュリティの民主化を加速させる可能性がある。高度なスキルを持つ中央のセキュリティチームが作成した「盾」を、全社の開発チームが意識することなく利用できる。この「ガードレール」としての役割こそが、現代のプラットフォームエンジニアリングが目指す姿だ。Cloudflareは今回の基盤刷新により、その理想を実現するための強力な武器を手に入れたと言える。

この記事のポイント

  • Cloudflare Organizationsにより、複数のアカウントを一元管理できるようになった
  • 「組織スーパー管理者」ロールにより、個別のアカウント管理が不要になる
  • WAFやGatewayのポリシーを組織全体で共有・一括適用が可能に
  • 内部システムの刷新により、権限チェックの速度が27%向上した
  • 現在はエンタープライズ向けベータ版で、順次全ユーザーに開放予定
WordPressのエンタープライズ対応とは?単なる高トラフィック対応ではない真の条件

WordPressのエンタープライズ対応とは?単なる高トラフィック対応ではない真の条件

「エンタープライズ対応」という言葉は、Webホスティングの世界で頻繁に使われている。しかし、この言葉の本当の意味を正しく理解している人は少ない。多くのホスティング会社にとって、このラベルは単に「大量のアクセスを処理できる」という意味で使われているからだ。

実際には、Webサイトが大量のトラフィックに耐えられることと、エンタープライズ(大規模組織)の要求を満たすことは全く別の話だ。エンタープライズ環境で求められるのは、ガバナンス、運用管理、セキュリティプロセス、そしてリスク管理の徹底である。

WordPressはプラットフォームとして十分にエンタープライズ対応が可能だ。しかし、ホスティング側の提供形態によっては、組織が必要とする要件を満たせないケースも多い。この記事では、WordPressにおける真のエンタープライズ対応とは何かを詳しく解説する。

「エンタープライズ対応」という言葉の誤解と現状

「エンタープライズ対応」という言葉の誤解と現状

多くのWordPressホスティングサービスにおいて、通常プランとエンタープライズプランの唯一の違いは「月間訪問数」や「ディスク容量」の制限値である。この傾向は、エンタープライズの本質を見失わせる原因となっている。

アクセス数が多い=エンタープライズではない

トラフィックの拡張性は、多くの企業にとって重要だ。しかし、現代のクラウド技術を使えば、アクセス増に合わせてサーバーを増強することはそれほど難しくない。トラフィック対応ができることだけでは、エンタープライズ向けとしての差別化要因にはならないのだ。

Kinstaの著者Carlo Daniele氏によれば、高トラフィックなサイトが必ずしも「高リスクなサイト」であるとは限らない。例えば、月に1,000万人が訪れる猫の面白画像ブログと、月に1万人しか訪れないが数億円規模の契約を扱うB2B企業のサイトを比較してみよう。

前者はアクセス数こそ多いが、一時的なダウンタイムが発生してもビジネスへの影響は限定的だ。一方で後者は、わずかな停止やセキュリティ不備が企業のブランド価値を大きく損ない、巨額の損失につながる可能性がある。つまり、エンタープライズが求めているのは「数字上のスペック」ではなく「リスクの最小化」なのだ。

高リスクなWebサイトが抱える共通の課題

エンタープライズレベルのサイトは、例外なく「高リスク」な性質を持っている。これにはいくつかの要因がある。まず、ブランドの評判が直結している点だ。ダウンタイムや改ざんが発生すれば、メディアで報じられ、社会的な信用を失うことになる。

次に、コンプライアンス(法令遵守)の要件がある。業種によっては、データの保存場所や暗号化の方法について、厳格な法的基準を満たす必要がある。さらに、組織内の内部統制ポリシーも無視できない。誰がいつサイトを更新したのか、どのような権限でアクセスしたのかを正確に記録し、管理しなければならない。

多くの一般的なホスティングサービスでは、こうした「管理と統制」のための機能が不足している。環境の分離が不十分だったり、ユーザー権限の細かな設定ができなかったりする点は、大規模組織にとって致命的な欠陥となる。

エンタープライズ向けホスティングに欠かせない「ガバナンス」と「管理」

エンタープライズ向けホスティングに欠かせない「ガバナンス」と「管理」

真のエンタープライズ対応を実現するためには、強固なインフラの上に「ガバナンス(統治)」と「アクセス制御」の仕組みが構築されていなければならない。これは、単に管理画面が使いやすいといったレベルの話ではない。

ロールベースのアクセス制御(RBAC)

大規模なプロジェクトでは、社内のエンジニア、外部の制作会社、マーケティング担当者など、多くの関係者がサイトにアクセスする。全員に同じ管理者権限を与えるのは、セキュリティ上極めて危険だ。ここで必要になるのが「RBAC(Role-Based Access Control)」である。

RBACとは、ユーザーの役割(ロール)に基づいて、アクセスできる範囲や操作できる内容を制限する仕組みだ。例えば「本番環境は閲覧のみだが、ステージング環境ではコードの変更が可能」といった細かい設定が求められる。また、支払い情報だけを管理する経理担当者向けの設定も必要になるだろう。

一般的な管理
全員が「管理者」
全環境を操作可能
エンタープライズ管理
開発者は開発環境のみ
承認者のみ本番反映

このデモは、権限管理を適切に行うことで誤操作や情報漏洩のリスクを減らす概念を示している。

SSO(シングルサインオン)と監査ログ

組織の規模が大きくなると、個別のサービスごとにIDとパスワードを管理するのは現実的ではなくなる。そこで重要になるのが、SSO(Single Sign-On)のサポートだ。OktaやGoogle Workspace、Microsoft Entraなどの既存の認証基盤と連携することで、社員の入退社に伴うアカウント管理を自動化し、不正アクセスのリスクを低減できる。

さらに「誰が、いつ、何をしたか」を記録する監査ログも不可欠だ。万が一問題が発生した際、その原因が設定ミスなのか、外部からの攻撃なのか、あるいは内部不正なのかを特定できなければならない。監査ログは単なる記録ではなく、組織の透明性と責任を証明するための重要な証拠となる。

単なる機能ではない「システムとしてのセキュリティ」

単なる機能ではない「システムとしてのセキュリティ」

エンタープライズにおけるセキュリティは、個別の機能(例:SSL証明書が無料)の集合体ではない。それは、インフラ、アプリケーション、そして人間のプロセスが一体となって機能する「システム」であるべきだ。

多層防御によるインフラの保護

優れたホスティング環境では、セキュリティが複数の層で構築されている。まず、ネットワークの境界線では、Cloudflare Enterpriseのような強力なWAF(Web Application Firewall)が不正なトラフィックを遮断する。次に、個々のサイト環境はコンテナ技術によって完全に隔離されていなければならない。

もし一つのサイトが攻撃を受けても、同じサーバー内の他のサイトに影響が及ばない「環境の隔離」は、エンタープライズにおいて譲れない条件だ。また、DDoS攻撃(大量のデータを送りつけてサイトを停止させる攻撃)への対策や、継続的なマルウェアスキャンも標準で組み込まれている必要がある。

内部プロセスと国際規格への準拠

技術的な対策と同じくらい重要なのが、ホスティング会社自身の内部プロセスだ。いくら強力なファイアウォールを導入していても、ホスティング会社の社員がずさんなパスワード管理をしていれば、そこが脆弱性になる。そのため、信頼できるベンダーは「SOC 2」や「ISO 27001」といった国際的なセキュリティ認証を取得している。

SOC 2(System and Organization Controls 2)とは、受託組織の内部統制を第三者が監査する基準だ。これに準拠していることは、その会社がデータの安全性や機密性を守るための厳格な手順を維持していることの証明になる。大企業のベンダー選定において、これらの認証は「持っていて当たり前」の必須条件となっていることが多い。

運用の予測可能性とリスク低減

運用の予測可能性とリスク低減

エンタープライズがホスティングに求めるもう一つの要素は「予測可能性」だ。予期せぬトラブルをゼロにすることは不可能だが、トラブルが発生した際に「何が起き、どう対処されるか」が明確であることは、組織の安心感に直結する。

SLA(サービス品質保証)とプロアクティブな監視

一般的なホスティングでは、サイトが落ちてからユーザーが気づき、サポートに連絡するという流れが多い。しかし、エンタープライズ向けでは「プロアクティブ(先回り)」な対応が求められる。例えば、3分おきに自動で稼働状況をチェックし、異常を検知した瞬間にエンジニアが対応を開始する体制だ。

また、これらのサービス品質は「SLA(Service Level Agreement / サービス品質保証)」によって裏打ちされている必要がある。稼働率が一定の基準(例:99.9%)を下回った場合に返金などの補償を行う制度は、ベンダー側の覚悟と責任を示すものだ。これにより、企業はインフラのリスクを定量的に評価できるようになる。

開発と本番の柔軟な切り分け

安全な運用のためには、本番サイトに直接変更を加えるような「ぶっつけ本番」の作業は許されない。そのため、本番環境と全く同じ構成の「ステージング環境」を簡単に作成できる機能が必須となる。エンタープライズでは、複数のチームが同時に作業を行うため、複数のステージング環境を使い分けられる柔軟性も重要だ。

さらに、自動バックアップの頻度も重要になる。標準的な1日1回のバックアップでは、更新頻度の高いサイトでは不十分な場合がある。1時間ごと、あるいは数時間ごとのバックアップや、外部のクラウドストレージ(Amazon S3など)への自動転送機能があれば、データの消失リスクを極限まで抑えることが可能だ。

独自の分析:日本国内におけるエンタープライズWordPressの課題

独自の分析:日本国内におけるエンタープライズWordPressの課題

日本国内のWordPress市場を見渡すと、多くの企業が依然として「表示速度」や「月額料金」を最優先の選定基準にしている。しかし、デジタルトランスフォーメーション(DX)が進む中で、Webサイトは単なる広報ツールから、ビジネスの基幹を支える資産へと変化している。

筆者の分析によれば、今後日本の大規模組織がWordPressを活用する上で最大の壁となるのは「責任の所在」だ。オープンソースであるWordPress自体には保証がないため、その実行環境であるホスティング側がいかに責任を持って管理・運用をサポートできるかが鍵を握る。特に、ISMS(情報セキュリティマネジメントシステム)やPマークを維持している企業にとって、透明性の高いベンダー管理は避けて通れない課題だ。

国内のレンタルサーバーも進化しているが、グローバル基準のセキュリティ認証や、高度なRBAC、SSO連携を標準で備えているサービスはまだ多くない。今後は「安くて速い」だけでなく「安全で統制が取れる」という視点でのホスティング選びが、日本でも主流になっていくだろう。

この記事のポイント

  • エンタープライズ対応の本質は、トラフィックの多さではなく「リスクの管理」にある。
  • ロールベースのアクセス制御(RBAC)やSSO連携など、組織的なガバナンス機能が不可欠だ。
  • セキュリティは単一の機能ではなく、インフラから内部プロセスまでを含む「システム」として評価すべきである。
  • SOC 2やISO認証などの国際規格への準拠は、ベンダーの信頼性を測る客観的な指標となる。
  • SLAに基づいた稼働保証と、プロアクティブな監視体制が運用の予測可能性を高める。