こんにちは、テクマトリックスの米田です。
オープンソースのプロジェクト管理ツール「Redmine」では、深刻な脆弱性の修正や機能追加を含むバージョンアップが定期的に行われています。しかし、バージョンアップの手間などから、古いバージョンのRedmineを使い続けている開発現場も少なくありません。
そこで今回は、Redmineを取り巻く現状や課題、バージョンアップにより追加される機能、バージョンアップ時の落とし穴などを解説し、バージョンアップ時の課題を解決するテクマトリックスのソリューションをご紹介します。
目次
Redmineを取り巻く現状と課題
BitnamiのOS向けインストーラーの提供終了
これまで多くの環境のRedmineは、Bitnamiのインストーラーを使って手軽に構築やバージョンアップができ、専門知識がなくても管理できていました。
しかし2022年ごろ、BitnamiによるLinuxやWindowsなどのOS向けのRedmineのインストーラーの提供を終了しました(DockerやKubernetes、仮想マシン上でRedmineを構築するためのインストーラーは2026年5月現在も提供されています)。そのため、現在Redmineをご利用中の方がバージョンアップを行う場合は、RubyやRails、データベースのバージョンの整合性を手動で管理する必要があるため、専門知識が必要となります。
「社内で利用しているから安全」というわけでもない
社内ネットワークでRedmineを使っていても、バージョンが古く、脆弱性が対処されていない場合はリスクとなります。VPN経由のアクセスや内部からの不正利用は、社内ネットワークでも十分に起こりえます。バージョンが古いRedmineには、実際に以下のような脆弱性が確認されています。Redmine Security Advisoriesで脆弱性の一覧を確認できます。
| 脅威 | 脆弱性ID | 深刻度 | 内容 |
|---|---|---|---|
| 不正スクリプト実行 | CVE-2023-47259 | — | XSSによりウェブブラウザ上で任意のスクリプトが実行可能 |
| 非公開ファイル流出 | CVE-2022-44030 | CVSS 7.5(高) | 権限チェック不備で非公開プロジェクトの添付ファイルをダウンロード可能 |
| 機密ファイル漏洩 | CVE-2021-31863 | CVSS 7.5(高) | Git連携の不備でdatabase.yml等の任意ファイルを読み取り可能 |
| DB全件漏洩 | CVE-2019-18890 | CVSS 6.5 | SQLインジェクションで全データ窃取可能 攻撃コード(PoC)がGitHub上に5件公開済み |
| サーバー乗っ取り | CVE-2017-18026 | CVSS 8.8(高) | Mercurial連携経由で任意のOSコマンド実行可能 自動攻撃ツール「Metasploit」にモジュール登録済み |
| サーバー乗っ取り | CVE-2016-3714 | — | 「ImageTragick」: 画像アップロードだけでサーバー掌握 デフォルト設定で影響 |
Redmine 5.0の大規模変更
Redmine 5.0では、オートローダーがclassicからZeitwerkに変更されました。これにより、旧来の多くのプラグインがそのままでは動作しなくなりました。メンテナンスが停止しているプラグインは今後も対応される見込みがありません。
「プラグインなしでもRedmineは使える」と思っていても、チーム規模が大きくなるほど連携機能の欠如は深刻なボトルネックになり、開発生産性に直接影響を与えます。
Redmine 5.0以前はセキュリティサポートが終了
2026年5月現在、Redmine 5.0以前はセキュリティサポートが終了しています。今後も順次サポートが終了していくことが予想されます(詳細はこちらをご確認ください)。
なお、お使いのRedmineのバージョンは、[管理]-[情報]より確認できます。
Lychee Redmineをご利用の場合、Lycheeプラグインが対応するバージョンにRedmineのバージョンを合わせる必要があります。詳細はこちらをご確認ください。
Redmineをバージョンアップするメリット
Redmineはバージョンアップするごとに、UIやセキュリティ、パフォーマンスなどの面で改善が重ねられ、より便利に、より安全に、より快適に利用することができます。
Redmineをバージョンアップするときの4つの落とし穴
自力でRedmineをバージョンアップすることはもちろん可能ですが、技術や工数といった面で注意すべき4つの落とし穴があります。
- プラグインの互換性
Redmine 5.0でオートローダーがZeitwerkに変更されたことで、Redmineをバージョンアップすると旧来のプラグインが動作しなくなる可能性があります。バージョンアップ後に「プラグインが使えない」と気づいても、メンテナンスが停止しているプラグインへの対応は見込めないため、代替手段の検討から始めることになります。 - 環境構築の複雑さ
RubyやRails、データベースをそれぞれバージョン整合性を保ちながら管理する必要があります。Windows環境特有のパスや文字コードの問題、既存環境由来の設定やデータの影響により、想定通りに構築が進まないこともあります。 - データ移行の失敗
DBスキーマの変更に伴うマイグレーションの失敗、添付ファイルやカスタムフィールドの欠損や消失、バックアップが不完全で復旧不能になる、といった可能性もあります。 - 見えないコスト
Redmineをバージョンアップするにあたって担当者を割り当てると、数週間~数か月間はバージョンアップ対応のタスクに拘束され、担当者の本来の業務が滞る可能性があります。トラブルの対応でバージョンアップが長期化すると、本来の業務がさらに停止するリスクがあり、結果として外部に依頼して二重のコストが発生する可能性もあります。
テクマトリックスのRedmine関連サービスのご紹介
Redmineのバージョンアップを安全に進め、新機能を安心して利用するためには、RubyやRails、データベースのバージョン整合性の確認からデータ移行・動作検証まで、専門知識に基づいた一貫した対応が不可欠です。テクマトリックスでは、こうしたRedmineの専門的な対応を一貫して支援するサービスをご用意しています。
Redmine環境構築サービス
Redmineのバージョンアップや新規環境構築など、お客様のご要望や課題に対し、テクマトリックスが一貫してご支援するRedmine環境構築サービスをご用意しています。
Redmineのバージョンアップや環境構築についてお悩みの方は、ぜひお気軽にお問い合わせください。
ご支援内容
- 新規Redmine環境の構築/既存のRedmineを新規環境に移行
サーバー環境上に、Redmineを新たに構築します。新たなサーバーに移行する場合は、現在のRedmineの環境のデータも含めて移行します。新規環境への移行と合わせて、最新版のRedmineへバージョンアップも可能です。 - Redmineサポート
Redmineの機能に関する問題や質問について、解決をお手伝いいたします。
Redmineクラウドサービス
「そもそも環境の管理を自社でしたくない」という方には、Redmineクラウドサービスの利用をおすすめします。テクマトリックスが用意したクラウド環境で、常に最新バージョンのRedmineをご利用いただけます。Lychee Redmineもご利用可能です。
Redmineクラウドサービスを利用するメリット
- 環境構築やメンテナンス作業の必要がない
- OSSプラグインを自由に導入できるオプションがある
- わからないことがあればサポートに問い合わせできる
- 万全なセキュリティ対策で安心して利用できる
| コスト種別 | コスト | 利用開始まで | 運用保守 | カスタマイズ性 | セキュリティ・障害対応 | |
|---|---|---|---|---|---|---|
| オンプレミス | 資産 | ハードウェア費用 + 運用保守が必要 | ハードウェアの調達 + 環境構築が必要 | すべて自社で行う | 独自のカスタマイズが可能 | すべて自社で行う |
| IaaS自前 ホスティング | 経費 | IaaS利用料 + 運用保守が必要 | 環境構築が必要 | IaaS上のリソースや利用状況の管理が必要 | 独自のカスタマイズが可能 | すべて自社で行う |
| クラウドサービス | 経費 | サービス利用料のみ | 発注後、すぐに利用可能 | 不要 | 制限あり | クラウドサービスのポリシーに従う |
Git+Jenkins+Redmineまとめて導入支援
Redmineの活用をさらに進めたい方には、構成管理ツール(Git)・CIツール(Jenkins)とRedmineをまとめて導入・連携させ、効率的かつ生産性の高い開発環境を提供するGit+Jenkins+Redmineまとめて導入支援もご用意しています。GitやJenkins、Redmine単体のツールの導入だけでは実現できない「全体の開発環境の改善」を提供します。
SubversionやGitHub Actionsなど、他ツールをご要望の場合でもお気軽にご相談ください。
