Ryunosuke Matsuoka
DrupalCMSラボ 編集部
はじめに:大規模サイトとCMS選定の難しさ
Webサイトのトラフィックが増大し、コンテンツ量が数万件を超え、複数の部署や多言語に対応しなければならない——そんな「大規模サイト」の構築・運用プロジェクトにおいて、CMS選定は最も重要な意思決定のひとつです。
WordPress、Contentful、Sitecore など選択肢は数多くありますが、NASAの科学情報ポータル、オーストラリア政府の行政サービスサイト、The Economist の記事配信プラットフォームといった世界有数の大規模サイトが Drupal を選び続けているのには、明確な技術的理由があります。
本記事では、Drupal の内部アーキテクチャを開発者の視点から解説し、「なぜ Drupal が大規模サイトに向いているのか」を技術的根拠とともに紐解きます。
大規模サイト開発・運用の「あるある」課題——Drupal はどう答えるか
Drupal が大規模サイトに向いているとされる理由を説明する前に、まず「大規模サイトならではの課題」を整理しておきましょう。心当たりのある課題ほど、この後の技術解説が刺さるはずです。それぞれの課題の末尾に、Drupal がどのアプローチで解決するかを簡単に示します。
① コンテンツ構造の変更が「大規模デプロイ」になる
「製品ページに『仕様比較テーブル』フィールドを追加してほしい」——この一言で始まる作業が、データベースのマイグレーション、テンプレートの修正、APIレスポンスの変更、フロントエンドの修正と連鎖し、気づけば数日がかりの作業になっていた。コンテンツ構造とシステム実装が密結合している CMS では、ビジネス要件の小さな変化が大きな開発コストを生みます。
Drupal の答え: エンティティシステムにより、コンテンツ構造(フィールドの追加・変更)をコアのロジックから分離して管理できます。フィールドを追加しても CRUD・キャッシュ・アクセス制御の処理は自動的に追随するため、構造変更の影響範囲が最小限に抑えられます。→「1. エンティティシステム」で詳しく解説します。
② キャッシュを「全消し」しないと反映されない
コンテンツを更新したのに古い内容が表示され続ける。仕方なく全キャッシュをクリアしたところ、今度はキャッシュウォームアップが完了するまでの数分間、全ページが重くなってユーザーからクレームが来た——大規模サイト運用あるあるです。「どのキャッシュが何に依存しているか」を把握できていないと、安全なクリアの方法が「全消し」しかなくなります。
Drupal の答え: キャッシュタグという仕組みで「このコンテンツが更新されたら、このキャッシュエントリだけを自動で無効化する」という依存関係をアーキテクチャに組み込んでいます。全消し運用から卒業できます。→「2. キャッシュアーキテクチャ」で詳しく解説します。
③ 本番環境だけで起きる「謎の設定差異」
開発環境では正常に動作していたのに、本番デプロイ後にビューの設定が違う、フィールドの表示順が異なる——こうした「環境差異」の原因は多くの場合、CMS の設定が管理画面上の「ポチポチ操作」で変更され、Git に記録されていないことです。複数人のチームで運用するほど、誰がいつ何を変えたかが追跡できなくなります。
Drupal の答え: コンフィギュレーション管理システム(CMI)により、すべてのシステム設定を YAML ファイルとして書き出して Git 管理できます。設定変更もコードレビューの対象になり、CI/CD パイプラインと統合することで環境間の差異を構造的になくせます。→「5. コンフィギュレーション管理」で詳しく解説します。
④ アクセス制御が「場当たり的なカスタムコード」だらけになる
「Aさんは自分の担当プロジェクトのドキュメントだけ編集できるようにしてほしい」「B部門は下書きを見られるが、承認は部門長だけにしたい」——細粒度のアクセス制御要件は、サイトが組織に根付くほど増えていきます。ロール設計が貧弱な CMS では場当たり的なカスタムコードが積み重なり、やがてどこに何の制御が書かれているか誰も把握できなくなります。
Drupal の答え: 数百のパーミッションとロール管理に加え、エンティティ単位のアクセス制御を実装できるノードアクセスシステムを持ちます。複雑な権限要件をコードで明示的に表現でき、「どこに何の制御があるか」が追跡しやすい設計です。→「7. セキュリティアーキテクチャ」で詳しく解説します。
⑤ 機能追加のたびに「何かが壊れるかもしれない」が積み上がる
サイトが育ち、カスタムコードが増えるにつれて「アップデートすると何かが壊れるかもしれない」という恐怖が膨らみます。コアへの直接改変や密結合なカスタマイズを重ねてきた結果、ちょっとした変更がどこに影響するか予測できなくなる——これはコアとカスタムの境界が曖昧な CMS に共通する問題です。
Drupal の答え: フック・イベントシステムにより、コアに一切手を加えずに任意の処理タイミングへ割り込める設計を持ちます。モジュール間が疎結合に保たれるため、アップデート時の影響範囲が予測しやすくなります。→「4. フック・イベントシステム」で詳しく解説します。
⑥ トラフィックのスパイクで簡単にダウンする
キャンペーン開始直後、大手メディアへの掲載直後、突発的なバズ——トラフィック急増時にサイトがダウンする、あるいは極端に遅くなる。スケールアウトしようにも、アプリケーションがステートフルな設計になっていてサーバーを単純に追加できない。そのような構造的な問題に直面したことはないでしょうか。
Drupal の答え: セッションをデータベースに保存し、ファイルをオブジェクトストレージに外部化できるステートレスなアーキテクチャを前提としています。ロードバランサー配下への複数台配置や Redis Cluster の組み込みも比較的スムーズです。→「8. 水平スケーリング」で詳しく解説します。
6つの課題とそれに対する Drupal の概略的な答えを並べました。「あるある」と感じた課題があれば、対応するセクションを重点的に読んでみてください。次のセクションからは、それぞれの仕組みをコードレベルで掘り下げていきます。
1. エンティティシステム:柔軟かつ一貫したデータモデリング
エンティティとは何か
Drupal のデータモデルの中心にあるのが エンティティ(Entity)システム です。ノード(記事)、ユーザー、タクソノミータームなど、Drupal 上のあらゆるデータオブジェクトは「エンティティ」として統一的に扱われます。
エンティティは以下の3層で構成されています。
- エンティティタイプ(Entity Type):データの種別(Node、User、Taxonomy Term など)
- バンドル(Bundle):エンティティタイプの具体的な型(記事、製品ページ、プレスリリースなど)
- フィールド(Field):各バンドルに紐づくデータ項目(タイトル、本文、画像など)
大規模サイトでのメリット
この設計により、開発者はデータベースのスキーマを直接変更することなく、管理画面または hook_entity_type_alter() を通じてコンテンツ構造を柔軟に拡張できます。100種類のコンテンツタイプを持つ大規模メディアサイトでも、CRUD処理・アクセス制御・キャッシュ無効化のロジックはエンティティAPIが一元管理するため、コードの重複や矛盾が生じにくい構造になっています。
また、カスタムエンティティ を定義することで、ノードに依存しない独自データモデルを構築できます。以下はシンプルなカスタムエンティティの定義例です。
/**
* @ContentEntityType(
* id = "product",
* label = @Translation("Product"),
* base_table = "product",
* entity_keys = {
* "id" = "id",
* "label" = "name",
* "uuid" = "uuid",
* },
* )
*/
class Product extends ContentEntityBase implements ProductInterface {
// フィールド定義・バリデーションロジック
}このように、エンティティAPIを通じてビジネスロジックに合わせた独自データ構造を構築でき、将来的な要件変更にも柔軟に対応できます。
2. 高度なキャッシュアーキテクチャ:大トラフィックへの対応
大規模サイトのパフォーマンス問題で最も頻繁に課題となるのが、キャッシュ戦略です。Drupal はこの課題に対して、複数のキャッシュ機構を組み合わせた精巧なアーキテクチャを採用しています。
レンダリングキャッシュとキャッシュタグ
Drupal のキャッシュシステムの核心は キャッシュタグ(Cache Tag) にあります。すべてのレンダリング出力には、そのコンテンツが依存するエンティティの識別子がタグとして付与されます。
// ノード ID=42 に依存するキャッシュの例
$build['#cache'] = [
'tags' => ['node:42', 'node_list'],
'contexts' => ['user.roles', 'languages:language_interface'],
'max-age' => Cache::PERMANENT,
];ノード ID=42 のコンテンツが更新された瞬間、node:42 タグを持つすべてのキャッシュエントリが自動的に無効化されます。これにより、「どのページをクリアすべきか」を開発者が手動で管理する必要がなくなります。大規模サイトで頻繁に発生する「キャッシュのクリア漏れによる表示不整合」問題を、アーキテクチャレベルで解消しているのです。
Dynamic Page Cache と BigPipe
Dynamic Page Cache は、ログイン済みユーザーのリクエストに対しても、ユーザー固有でない部分(ナビゲーション、フッターなど)をキャッシュし、パーソナライズ部分のみを動的に生成します。これにより、認証ユーザーが多いイントラネットや会員制サイトでも高いキャッシュ効率を実現します。
さらに BigPipe は Facebook が考案した技術をDrupalに実装したもので、ページをいくつかの「ピース」に分割し、キャッシュ可能な部分から順次ブラウザにストリーミング送信します。ユーザーはページ全体が生成されるのを待つことなく、コンテンツを段階的に受け取れるため、体感速度が大幅に向上します。
外部キャッシュとの連携
Drupal のキャッシュバックエンドは差し替え可能なプラグインとして設計されており、デフォルトのデータベースキャッシュから Redis や Memcached に切り替えることが容易です。大規模サイトでは一般的に以下の構成が採用されます。
- フロントエンド:Varnish または CDN(Fastly、Cloudflare)によるフルページキャッシュ
- アプリケーション層:Drupal の Dynamic Page Cache + BigPipe
- オブジェクトキャッシュ:Redis によるレンダリングキャッシュ・データキャッシュ
- データベース:リードレプリカによる読み取り負荷の分散
3. データベース抽象化層とクエリビルダー
Drupal は DBAL(Database Abstraction Layer)として独自のデータベースAPIを持ちます。PDO をベースに、MySQL/MariaDB・PostgreSQL・SQLite を統一的なインターフェースで操作できます。
Entity Query API
大規模サイトで特に重要なのが Entity Query API です。この API を使用することで、複雑な条件でエンティティを検索する際も、データベースの種類を意識せずに記述できます。
$query = \Drupal::entityQuery('node')
->condition('type', 'article')
->condition('status', 1)
->condition('field_category', $term_id)
->sort('created', 'DESC')
->range(0, 20)
->accessCheck(TRUE); // アクセス制御を自動適用
$nids = $query->execute();accessCheck(TRUE) の一行だけで、現在のユーザーが閲覧権限を持つノードのみが返されます。SQLを直書きした場合に発生しがちなアクセス制御の漏れを、APIレベルで防止できる設計です。
ビュー(Views)モジュールとの組み合わせ
コアモジュールの Views は、GUIベースのクエリビルダーです。複雑なリレーショナルクエリを管理画面から構築でき、結果のレンダリングもビューテンプレートで制御できます。大規模サイトでありがちな「一覧ページの仕様変更」に対して、コードを書かずに対応できるケースも多く、運用コストの削減に直結します。
4. フック・イベントシステム:拡張性の高いモジュールアーキテクチャ
Drupal のモジュールシステムは フック(Hook) と イベント(Symfony Event) を組み合わせた拡張ポイントを持ちます。コアに手を加えることなく、あらゆる処理に割り込んで独自ロジックを注入できます。
フックシステム
フックとは、Drupal のコアやモジュールが特定の処理タイミングで呼び出す関数の規約です。例えば、エンティティの保存前にバリデーションロジックを追加したい場合は以下のように記述します。
/**
* Implements hook_entity_presave().
*/
function mymodule_entity_presave(EntityInterface $entity) {
if ($entity->getEntityTypeId() === 'node' && $entity->bundle() === 'product') {
// 製品コードの一意性チェックなどカスタムバリデーション
if (!_mymodule_validate_product_code($entity->get('field_product_code')->value)) {
throw new \Exception('製品コードが不正です。');
}
}
}Symfony イベントディスパッチャー
Drupal 8 以降は Symfony フレームワークを内包しており、EventDispatcher コンポーネントを通じてよりオブジェクト指向的な拡張ができます。カスタムイベントを定義してモジュール間の疎結合を実現することも可能です。
この設計により、数百のモジュールが共存する大規模サイトでも、各モジュールが互いに干渉しにくく、アップグレード時の互換性問題が最小限に抑えられます。
5. コンフィギュレーション管理:環境間の一貫性を保証する
大規模プロジェクトでは、開発・ステージング・本番の複数環境を管理し、設定の整合性を保つことが重要な課題です。Drupal は コンフィギュレーション管理システム(CMI: Configuration Management Initiative) でこの問題を解決します。
YAML ベースの設定管理
Drupal のすべてのシステム設定(コンテンツタイプの定義、フィールド設定、ビューの設定など)は YAML 形式でエクスポートできます。
# コンフィギュレーションのエクスポート
drush config:export
# エクスポートされた設定ファイルの例(config/sync/node.type.article.yml)
uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
langcode: ja
name: '記事'
type: article
description: 'ニュースや個人の投稿を掲載するコンテンツタイプです。'この YAML ファイルを Git で管理することで、設定の変更履歴が追跡可能になり、コードレビューのプロセスに設定変更を組み込むことができます。本番環境への設定反映も以下のコマンド一発で完了します。
drush config:importデプロイパイプラインへの統合
CI/CD パイプライン(GitHub Actions、GitLab CI など)に drush config:import を組み込むことで、コードのデプロイと同時に設定変更が自動適用されます。大規模チームで複数人が並行して設定変更を行う場合も、Git のコンフリクト解消の仕組みがそのまま使えます。これは他の多くの CMS にはない、エンタープライズレベルの運用を支える重要な機能です。
6. マルチサイト・ヘッドレス対応:一つのコアで複数の配信チャネルを管理
マルチサイト構成
Drupal は単一のコードベースから複数サイトを管理できる マルチサイト機能 を標準で備えています。大企業グループが傘下のブランドサイトを、メディア企業が地域別サイトを、政府機関が部署ごとのサイトを一元管理する際に威力を発揮します。
# sites ディレクトリ構成例
sites/
default/ # デフォルトサイト
brand-a.example.com/ # ブランドAのサイト設定
brand-b.example.com/ # ブランドBのサイト設定
all/ # 全サイト共通モジュール・テーマ各サイトは独立したデータベースと設定を持ちながら、コアのアップデートや共通モジュールのアップデートを一括で適用できます。
ヘッドレス・デカップルド CMS
Drupal は JSON:API と GraphQL をコアまたはモジュールとして提供しており、ヘッドレス CMS としての運用も容易です。フロントエンドは Next.js、Nuxt.js、React Native など任意の技術スタックで構築し、コンテンツの管理と配信を分離できます。
// JSON:API エンドポイントの例
GET /jsonapi/node/article?filter[status]=1&sort=-created&page[limit]=10
// → 公開済み記事を作成日降順で10件取得
GET /jsonapi/node/article/{{uuid}}?include=field_image,field_tags
// → 特定記事をリレーションシップ込みで取得Drupal の JSON:API 実装は仕様に完全準拠しており、フィルタリング、ソート、ページネーション、リレーションシップの include を柔軟に組み合わせられます。大規模サイトでよく見られる「Web・モバイルアプリ・デジタルサイネージへの同一コンテンツの多チャネル配信」に対応できます。
7. セキュリティアーキテクチャ:エンタープライズが安心して採用できる理由
大規模サイトほど標的になりやすく、セキュリティへの要求水準も高くなります。Drupal はセキュリティを設計の根幹に据えており、複数の防御層を持ちます。
セキュリティチームと迅速な脆弱性対応
Drupal Security Team は、報告された脆弱性を分析し、定期的なリリースサイクルとは別に セキュリティアドバイザリ として修正を公開します。重大な脆弱性は通知から修正まで数週間以内に対応される体制が整っており、企業の調達要件(ISMS・SOC2 など)を満たしやすいエコシステムです。
パーミッションシステムとアクセス制御
Drupal のパーミッションシステムは非常に細粒度で設計されています。「記事の作成」「自分の記事のみ編集」「管理者ロールへの昇格」など、数百にのぼるパーミッションをロールに割り当てて管理できます。
さらに Node Access System により、エンティティ単位のアクセス制御も実装できます。「閲覧者AはプロジェクトBのドキュメントのみ参照可能」といった複雑なアクセス制御要件も、hook_node_access() や hook_node_grants() を使ってコードで表現できます。
ビルトインのセキュリティ機能
Drupal がデフォルトで提供するセキュリティ機能には以下のものが含まれます。
- XSS 対策:Twig テンプレートエンジンが変数を自動エスケープ(
{{ variable }}は常にサニタイズ済み) - CSRF 対策:フォームAPIがトークンを自動付与・検証
- SQLインジェクション対策:クエリビルダー経由の実行によりプリペアドステートメントを強制
- ブルートフォース対策:ログイン試行回数の制限(Flood Control)
- ファイルアップロードのバリデーション:MIMEタイプ・拡張子の厳格なチェック
8. 水平スケーリングと高可用性設計
大規模サイトの運用では、アクセス増加に対してサーバーを追加するだけでスケールできる「水平スケーリング」の対応が不可欠です。
ステートレスなアプリケーション設計
Drupal はセッションをデータベースに保存する設計のため、アプリケーションサーバーを複数台並べてロードバランサーで分散する構成が取りやすい構造です。設定を適切に行えば、以下のようなスケーラブルな構成を実現できます。
- アプリケーションサーバー:複数の Web サーバー(Apache/Nginx)でロードバランシング
- データベース:プライマリ1台 + リードレプリカ複数台の構成
- ファイルストレージ:S3 互換オブジェクトストレージへの外部化
- キャッシュ:Redis Cluster によるキャッシュの分散管理
- CDN:静的アセット・フルページキャッシュを CDN にオフロード
Drupal に最適化したホスティングサービス
Acquia や amazee.io(Lagoon) といった Drupal 専用のマネージドホスティングサービスを利用することで、上記の複雑なインフラ構成を自前で管理することなく、エンタープライズレベルの可用性を確保できます。これらのプラットフォームは、Drupal のキャッシュタグ連携、Varnish 設定の最適化、自動スケーリングなどを包括的に提供しています。
まとめ:大規模サイトに Drupal を選ぶ技術的根拠
本記事で解説した7つの技術的特徴を振り返ります。
- エンティティシステム:ビジネス要件に合わせた柔軟なデータモデリングと一貫した API
- キャッシュアーキテクチャ:キャッシュタグ・BigPipe・Dynamic Page Cache による高度なキャッシュ戦略
- データベース抽象化層:アクセス制御を組み込んだ安全なクエリ構築
- フック・イベントシステム:コアを改変せずに拡張できる疎結合な設計
- コンフィギュレーション管理:Git 管理・CI/CD 統合による環境間の一貫性保証
- マルチサイト・ヘッドレス対応:複数サイト・多チャネル配信の一元管理
- セキュリティアーキテクチャ:多層防御とエンタープライズ対応の細粒度アクセス制御
これらは単独で見ても優れた機能ですが、互いに組み合わさって初めて「大規模サイト向けCMS」としての真価を発揮します。キャッシュタグはエンティティシステムと連動し、コンフィギュレーション管理はデプロイパイプラインと統合され、セキュリティ機能はデータベース層からプレゼンテーション層まで一貫して設計されています。
規模が大きくなるほど、場当たり的な対処では限界が来ます。設計段階からスケーラビリティ・セキュリティ・運用性を考慮したアーキテクチャを持つ Drupal は、大規模サイトを長期にわたって健全に運用するための確かな選択肢です。まだ Drupal を採用したことがない開発者の方も、ぜひ次のプロジェクトの選定基準に加えてみてください。
カテゴリ
カテゴリ
タグ
