Web サイトの制作・運用を外部の制作会社に任せている企業は多くあります。デザインやコーディングといった専門的な作業を委託するのは自然な判断ですが、「制作会社に任せている」ことと「サーバの管理責任も制作会社にある」ことは、必ずしもイコールではありません。
特に WordPress で構築されたサイトでは、運用に必要な保守作業が複数の領域にまたがっており、発注側が意識しないままでいると、誰も責任を持っていない状態が生まれることがあります。
本記事では、WordPress サイトの運用における責任の所在を整理し、発注側が最低限把握しておくべきことをお伝えします。
目次
「制作会社に任せている」の中に、実は 2 つの異なる仕事がある
Web 制作会社への発注で明確に委託しているのは、多くの場合「制作・デザイン・コーディング」です。サイトを作ること、あるいは更新作業を代行することは、制作会社の本業であり、発注側もそのつもりで依頼しています。
一方で、サーバの管理・保守は、制作とは性質の異なる仕事です。OS やミドルウェアのバージョン管理、サーバの死活監視、セキュリティパッチの適用といった作業は、インフラの専門知識を要する領域であり、制作会社がこれを担うことは本来の業務範囲を超えています。
制作会社の視点からこの問題を詳しく解説した記事もあわせてご覧ください。
Web 制作会社がクライアントのサーバ管理まで担うことの負荷と、その解消策
この記事が示す通り、制作会社にとってサーバ管理は工数的にも技術的にも負荷のかかる仕事です。発注側がこの構造を理解しているかどうかで、リスクへの備えは大きく変わります。
WordPress 運用の保守は「2 つの領域」に分かれている
WordPress サイトを安全・安定に運用するために必要な保守作業は、大きく 2 つの領域に分けられます。
インフラ領域は、サーバそのものを健全に保つための作業です。OS やミドルウェアのバージョン管理、サーバの死活監視、セキュリティパッチの適用などが該当します。サーバやクラウドインフラの知識が必要であり、一般的な Web 制作スタッフが日常的に担うには専門性の高い領域です。
WordPress・PHP 領域は、WordPress アプリケーション側の保守作業です。WordPress 本体・プラグイン・テーマのアップデート確認、動作検証、互換性チェックなどが含まれます。制作会社が担っているケースもありますが、インフラ領域と合わせると、実質的に異なるスキルセットを持つ 2 名分の担当者が必要になる作業量になります。
発注側が把握しておくべき重要な点は、「どちらの領域を、誰が担っているか」を明確にしておくことです。この 2 つが混在したまま契約・運用が進んでいると、双方が「相手がやっている」と思い込む空白地帯が生まれかねません。
制作会社が「サーバは管理していません」と言うとき
サーバをはじめに用意したのが誰かは、企業によって異なります。制作会社がサイト制作とセットで選定・契約しているケースもあれば、社内の情報システム部門が契約・管理しているケース、発注担当部門が直接クラウドサービスを契約しているケースもあります。
いずれのパターンでも起きやすいのが、制作会社に管理状況を確認すると「サーバは弊社で用意しましたが、インフラの管理・保守はお受けしていないんです。ホスティングサービス側か、情シスさんにご確認いただけますか」という回答になるケースです。発注側にとっては腑に落ちないやり取りかもしれませんが、制作会社の立場からすれば無責任な姿勢ではなく、本来の業務範囲を超えた作業を担えないという現実の反映です。
また、WordPress に特有の脆弱性情報が公開されたとき、攻撃に悪用される前に緊急でアップデートを適用する必要があります。この判断と対応を誰が担うのかが明確でなければ、発覚から対処までに時間がかかり、その間にサイトが攻撃の標的になるリスクが高まります。
個人情報を扱うフォームや会員機能を持つサイトであれば、セキュリティ事故が発生した際に発注側の管理責任が問われる可能性もあります。「制作会社に任せていた」という説明が免責事由にならないケースも想定しておく必要があります。
発注側が確認しておきたい 3 つのこと
現時点でサーバ管理の体制が曖昧な場合、以下の 3 点を制作会社や関係者に確認することを検討してください。
1. 契約書・仕様書にサーバ管理の範囲が明記されているか
保守契約を結んでいる場合でも、「何が範囲内で、何が範囲外か」が明文化されていないことがあります。インフラ領域と WordPress・PHP 領域のどちらが含まれるのか、改めて確認しておくことが重要です。
2. OS・PHP のバージョンアップは誰がいつ行うか
PHP のサポートライフサイクルは概ね 3 年程度で、サポートが終了したバージョンを使い続けることはセキュリティ上のリスクになります。OS も同様です。これらのバージョンアップを誰が担い、どのタイミングで実施するかが決まっていない場合、対応が先送りになりがちです。
3. 障害・セキュリティ事故が起きたときの連絡先と初動対応の責任者はどこか
サイトが突然表示されなくなったとき、あるいはセキュリティ事故が起きたとき、最初に連絡すべき先はどこかを把握しておくことは、被害を最小化するうえで不可欠です。制作会社なのか、ホスティングサービスなのか、あるいは別の担当者なのかを整理し、関係者間で共有しておくことが求められます。
「把握した上で任せる」体制をつくるために
丸投げではなく、発注側が関係者ごとの役割を把握しておくことが、サイト運用リスクを下げる現実的な方法です。制作会社・情報システム部門・ホスティングサービスのうち、誰がインフラを担い、誰が WordPress 側の保守を担うのかを整理し、定期的に確認できる関係を築いておくことが重要です。
特にインフラ領域については、制作会社に兼任させるよりも、専門のマネージドホスティングサービスに切り出すことで、責任の所在が明確になり、発注側も説明を受けやすくなります。制作会社はサーバ管理の負担から解放され、本来の制作業務に集中できる。発注側は信頼できるインフラの担当先を持てる。この構造をつくることが、長期的に安定した運用につながります。
我々が提案できること
LabWorks では、WordPress サイトのインフラ管理をAmimoto(アミモト) またはShifter(シフター) に移行することで、発注側が「把握した上で任せる」体制を整えるご支援をしています。
繊維商社のタキヒヨー株式会社では、コーポレートサイトのリニューアルに際して当初別のホスティングサービスを検討していましたが、セキュリティ面の不安から Amimoto に切り替えを決断されました。現在はシステム担当と広報担当がそれぞれの役割を持ち、インフラ管理をデジタルキューブに委ねる体制で運用されています。導入時に発生した DNS 設定や SSL 証明書の切り替えについても、Amimoto のサポートチームが伴走することでスムーズに移行が完了しています。
タキヒヨー株式会社様 Amimoto マネージドホスティング利用事例
100 円ショップ向け商品のブランドサイトを運営する株式会社アミファでは、経営企画室の担当者が WordPress の老朽化によるセキュリティ不安をきっかけに、自社判断で Shifter への移行を決断されています。エンジニアではない担当者が主体的にサーバ管理の課題に向き合い、適切な選択肢を選んだ事例です。
株式会社アミファ様|自動アップデート機能で WordPress の老朽化問題を解消
「現状のサーバ管理体制に不安がある」「制作会社と役割分担を整理したい」という段階からでも、ご相談いただけます。状況の確認からお手伝いしますので、お気軽にお声がけください。
まとめ
WordPress サイトの保守運用は、インフラ領域と WordPress・PHP 領域という性質の異なる 2 つの仕事に分かれています。制作会社への発注でカバーできる範囲は必ずしもこの両方ではなく、責任の所在が曖昧なまま運用が続いているケースは少なくありません。
「誰が、何を、どこまで担っているか」を発注側が把握し、確認できる体制を整えることが、セキュリティリスクや障害時の対応遅れを防ぐ第一歩となります。まずは現状の体制を一度整理してみることをおすすめします。
参考リンク
- Web 制作会社がクライアントのサーバ管理まで担うことの負荷と、その解消策 | LabWorks
- タキヒヨー株式会社様 Amimoto マネージドホスティング利用事例 | Amimoto
- 株式会社アミファ様|自動アップデート機能で WordPress の老朽化問題を解消 | Shifter
当社へご興味をお持ちいただきありがとうございます。
「こんなことやってみたい!」と、ぜひ気軽にご相談ください。
担当者よりご連絡差し上げます。