Cloudflare EmDashが登場 — WordPressの「精神的後継者」が変えるCMSの常識
はじめに
2026年4月、Cloudflareが新しいオープンソースCMS「EmDash」を発表しました。WordPressの「精神的後継者(spiritual successor)」を標榜し、プラグインセキュリティ、認証、AI統合といった現代のWeb開発が抱える課題に正面から取り組んでいます。TypeScript + Astro 6.0で構築され、MITライセンスで公開されたこのCMSは、はてなブックマークで163ブクマを獲得するなど、日本のエンジニアコミュニティでも大きな反響を呼んでいます。この記事では、EmDashが技術的に何を変えようとしているのかを深掘りします。
WordPressのプラグイン問題とEmDashの回答
なぜWordPressのプラグインが危険なのか
Cloudflareが問題視しているのは、「WordPressサイトのセキュリティ問題の96%はプラグインに起因する」という事実です。WordPressのプラグインはデータベースやファイルシステムに直接アクセスできる設計になっており、1つのプラグインが侵害されるだけでサイト全体が危機にさらされます。
これはWordPressのアーキテクチャに根ざした問題です。PHPベースのプラグインはサーバープロセスと同じ権限で動作するため、プラグインのコードが何をしているかを事前に把握するのが極めて困難でした。
Dynamic Workers:プラグインのサンドボックス化
EmDashはこの問題を「Dynamic Workers」という仕組みで解決します。各プラグインはCloudflareのv8 isolateアーキテクチャを基盤とした独立したサンドボックス内で実行され、データへの直接アクセスは一切許可されません。
プラグインがアクセスできるリソースは、マニフェストファイルで明示的に宣言した権限のみです。たとえば、コンテンツ保存後にメールを送信するプラグインであれば、read:content と email:send の2つの権限だけを宣言します。宣言されていないネットワークアクセスや、他のプラグインのデータへの参照は技術的に不可能です。
この設計はスマートフォンアプリの権限モデルに近く、「プラグインをインストールする前に、どのような権限を付与するのかを正確に把握できる」というUXを実現しています。大規模WordPressサイトを運用する企業にとって、セキュリティ監査のコストを大幅に削減できるポイントです。
モダンな技術スタックと設計思想
TypeScript + Astro 6.0のフルスタック構成
EmDashはTypeScriptで書かれたフルスタックCMSで、フレームワークにはAstro 6.0を採用しています。デプロイ先は柔軟で、以下の選択肢があります。
- Cloudflare Workers:D1(データベース)+ R2(ストレージ)+ Workersの組み合わせで、スケールtoゼロを実現
- 任意のNode.jsサーバー:SQLiteを搭載した従来型のサーバーでも動作
- セルフホスト:自社ハードウェアでの運用も可能
特にCloudflareにデプロイした場合、CPU稼働時間のみの課金モデルとなり、リクエストがない時間帯はコストが発生しません。WordPressで必要だった常時稼働のVPSやクラウドサーバーのコストと比較すると、小規模サイトほどコスト削減の恩恵が大きくなります。
パスキー認証のデフォルト採用
EmDashはパスワード認証を完全に廃止し、パスキー(WebAuthn)をデフォルトの認証方式として採用しています。WordPressの管理画面はブルートフォース攻撃やパスワードリスト攻撃の標的になりやすいことが長年の課題でしたが、パスキーにより、これらの攻撃ベクトルを根本から排除しています。
ロールベースのアクセス制御(管理者・編集者・著者・寄稿者)も組み込みで、IdPメタデータによるSSO連携と自動プロビジョニングにも対応しています。
AIネイティブなCMS — MCP統合が意味するもの
EmDashの最も先進的な特徴が、AI統合を前提とした設計です。すべてのEmDashインスタンスには以下が組み込まれています。
- MCPサーバー:Model Context Protocolに対応し、ClaudeやChatGPTなどのAIアシスタントがコンテンツやスキーマを直接操作可能
- Agent Skills:AIエージェントがサイトのカスタマイズやコンテンツ管理を自律的に実行するための機能
- EmDash CLI:エージェントがメディアのアップロード、コンテンツ検索、スキーマ管理をプログラマティックに実行
これは「AIがコンテンツを管理する時代」を見据えた設計です。従来のCMSではAIとの連携に別途プラグインやAPI構築が必要でしたが、EmDashではMCPが標準搭載されているため、AIエージェントが即座にCMSと対話できます。
さらに、x402プロトコル(インターネットネイティブ決済のオープン標準)にも対応しており、記事単位の課金をサブスクリプション不要で実装できます。AIエージェントや自動化クライアントへの従量課金も想定されており、「AIの時代に合わせたビジネスモデル」を標準機能として提供しています。
エンジニアが知っておくべきポイント
WordPressからの移行は容易
WordPress管理画面からエクスポートしたWXRファイルのインポート、またはEmDash Exporterプラグインによる移行が可能です。カスタム投稿タイプはEmDashの「コレクション」に自動変換され、メディアファイルも自動的に取り込まれます。移行作業は数分で完了するとされています。
現時点では「プレビュー版」
現在のバージョンはv0.1.0のEarly Developer Previewです。本番環境での利用は推奨されておらず、プラグインエコシステムもまだ整っていません。WordPressの最大の強みである膨大なプラグイン・テーマ資産はゼロからの構築になるため、すぐにWordPressを置き換えられるわけではありません。
ライセンスの違い
MITライセンスを採用しており、WordPressのGPLライセンスと比べて商用利用の自由度が高くなっています。WordPressのコードは一切使われていないため、GPLの制約から完全に独立しています。
まとめ
- EmDashは、プラグインのサンドボックス化によりWordPressのセキュリティ問題に構造的に対処した新世代CMS
- TypeScript + Astro 6.0 + サーバーレスという現代的な技術スタックで、スケールtoゼロのコスト効率を実現
- MCP統合によるAIネイティブ設計とx402決済対応は、従来のCMSにない独自の価値
- ただし現時点ではv0.1.0のプレビュー版であり、エコシステムの成熟度ではWordPressに遠く及ばない
「WordPressの次」がどうなるかを占う上で、EmDashのアプローチは注目に値します。本番導入にはまだ早いものの、次のプロジェクトでCMSを選定する際に、選択肢の一つとして検証しておく価値は十分にあるでしょう。