会員サイトの構築 - ホームページ・Web制作 - 専門家プロファイル

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

会員サイトの構築

法人・ビジネス ホームページ・Web制作 2010/11/30 09:25

今回、法人向けの会員サイトを構築しようと考えておりますがサーバのホスティングについて悩んでます。
企業情報もサイト内で管理したいと考えておりますが、サーバの共用環境・シングル構成・DBをフロントに置くというのは、なぜ危険なのでしょうか。

現在のベンダーには、情報漏えいがといわれますが、これまで事故も無かったので心配ないかと思います。
具体的に何が問題になるのかご教示いただけますでしょうか。

pin_okooさん ( 神奈川県 / 女性 / 24歳 )

回答:3件

米村 歩 専門家

米村 歩
システムエンジニア

- good

データベースの設定をきちんとすれば問題ありません

2010/11/30 09:43 詳細リンク

こんにちは。アクシアの米村と申します。

フロントと同じサーバーにDBを置いても大丈夫です。

データベースには色々と設定ができますので、同一サーバー内からしかアクセスできないように設定しておけば、事実上アプリからしかアクセスできなくなりますので危険はありません。

他のサーバーからも自由にDBにアクセスできるような設定になっていると、ベンダーさんがおっしゃっているような危険が出てきますが、普通はセキュリティ上の問題からそんな設定にはしません。

もちろん、フロント側のサーバーからセキュリティホールを突破されれば情報漏えいのリスクは出てくると思いますが、それはまた別の問題ですし、そのような事態になってしまえばDBを別サーバーに分けていたとしてもDBサーバーも容易に突破されてしまう可能性が高いと思います。


> 具体的に何が問題になるのかご教示いただけますでしょうか。

ベンダーさんの売上が落ちてしまうのが問題になるのではないでしょうか(笑)


お役にたてれば幸いです。

データベース
サーバー
データ
セキュリティ

回答専門家

米村 歩
米村 歩
(システムエンジニア)
株式会社アクシア 代表取締役

単なる外注企業ではなくお客様の開発パートナーを目指しています

お客様にいつでも気軽に相談に乗っていただける、何かあったときに頼りにしていただける、お客様の利益を一緒になって考える、そんな開発会社を目指しています。

質問やお悩みは解決しましたか?解決していなければ...

※あなたの疑問に専門家が回答します。質問の投稿と閲覧は全て無料です。
井上 みやび子

井上 みやび子
Webエンジニア

- good

問題があった場合、という考え方の方向もあります

2010/11/30 14:18 詳細リンク
(5.0)

こんにちは。すぐ使える株式会社の井上と申します。

セキュリティ上の危険性は、別件でお答えの北村さんのお考えの通りある、とも言えますし、米村さんのようにまあ大丈夫、とも言えます。
この数字は例ですが、「9割方大丈夫」に100万円分の手間がかかるとすると、「9割9分大丈夫」にするには1000万円分の手間がかかる、というイメージです。それぞれのベンダーはそのベンダーの得意な、実績のある方法を提案してくる、という風にお考えになるとよいかと思います。

発注者様側では、
○どの程度の費用を掛けてどの程度堅牢なサービスをするか
○問題が起こってしまった時のデメリットや必要になる費用
を含めてどの程度のシステム構築をするかを判断する必要があります。

ご質問の「具体的な問題」としては、私としては以下の懸念が考えられます。

■1.サーバの共用環境
多目的に多数のスタッフがサーバにアクセスできると、情報漏えいの可能性のある出入り口が多い事になり、危険性が増す。また、問題があった時の流出経路等の特定が難しい。再発防止の対策や、お客様への事情の説明もしにくい。

■2.シングル構成
一台のサーバに問題が起きたら復旧までサービスが完全に停止してしまう。また、障害時に無くなるデータがより多い事が予想される。
(最近は技術も高くなりサーバはまるで止まらないかの様にも思えますが、機械である以上、故障する可能性はあります。)


DBサーバの分割については、以下のように具体的では無い懸念があります。

■3.DBをフロントサーバに置く
セキュリティ設定をきちんとすれば問題が無いとも言えるが、インターネットからの攻撃等に「野ざらし」になる Web サーバは、これまで未知の攻撃を真っ先に受ける可能性がある。

直接的な攻撃を受けるかどうかは、保存する情報の性質(クレジットカード番号などがあるかどうか)にも依ると思います。


あと少し気になるのが以下のコメントです。

>これまで事故も無かったので心配ないかと思います。

新しいシステムを構築される場合は、今までの対策(社内教育等も含めて)で充分かを改めて検討していただくとよいかと思います。

インターネット
セキュリティ

評価・お礼

pin_okooさん

2010/12/03 10:39

ご丁寧にありがとうございました。
とても分かりやすく大変勉強になりました。

お金をかけてシステムを構築しても社員の知識が無ければ意味が無いですよね。
再度、社内で検討してみたいと思います。

岡本 興一

岡本 興一
ITコンサルタント

17 good

求めるセキュリティレベルによって○とも×とも言えます

2010/12/03 08:52 詳細リンク
(5.0)

セキュリティ対策って、ある意味、保険みたいなものなんです。

ある人からすれば、多額の保険料をかけても万が一におきたい。
でも、別の人は、そんな保険料はかけたくない。かける必要性を感じない。

人によって、リスクをどう考えるか?が異なり、そのリスクによって、対策レベル(コスト)が変わってきます。

リスクを認識するためには、まず、自分たちがもっている情報がどんなものか?を明確にする必用があります。

その情報の重要度をしっかりと認識する。

例えば、クレジットカード番号は絶対に漏れてはいけない情報ですが、会社の電話番号なら、カード番号ほど重要ではありません。
これは、漏えいした時の、影響範囲、被害状況を想定することで、重要度が見えてくると思います。

さらに、漏えいの可能性を検討します。

アプリケーションと、DBを同一のサーバに設置することの最大の問題は、そのサーバが乗っ取られた時に、DBの内容も取られてしまう可能性が高いということ。

別サーバにしていることで、アプリケーションが稼働するサーバが乗っ取られても、DBを守ることができる可能性が高くなるということです。

そこまでして、守りたい情報か?
それだけのコストを掛けるべきかどうか?を判断しないといけないわけです。

共用サーバの場合、他のユーザ領域のシステムに不具合があり、乗っ取られた場合に、自分たちのところもやられる可能性があります。

もし、現在おつきあいされているベンダーさんと、別のベンダーさんが作ったシステムと、共用サーバに共存させると、「他社の作ったシステムによるリスクへの対応はできません」と、主張されるでしょう。

そのため、危険だからやめてくださいと言われると思います。

一度、守るべき情報の内容を精査し、どの程度まで守らねばならないか?を検討してみてください。
その上で、どこまでやる必用があるか?が決まってきます。

システム
情報
セキュリティ

評価・お礼

pin_okooさん

2010/12/03 10:43

ありがとうございました。
再度、社内で整理する必要がありそうですね。

勉強になりました。

(現在のポイント:-pt このQ&Aは、役に立った!

このQ&Aに類似したQ&A

会員サイトの構築 pin_okooさん  2010-11-30 09:23 回答2件
Webサイトを外注した際の価格について よっきーさん  2011-03-11 11:10 回答6件
ネット開業について pearl8さん  2016-02-15 17:35 回答1件
携帯サイトのURL Mahalo06さん  2009-11-06 10:41 回答4件
専門家に質問する

タイトル必須

(全角30文字)

質問内容必須

(全角1000文字)

カテゴリ必須

ご注意ください

[1]この内容はサイト上に公開されます。

  • ご質問の内容は、回答がついた時点でサイト上に公開されます。
  • 個人や企業を特定できる情報や、他人の権利を侵害するような情報は記載しないでください。

[2]質問には回答がつかないことがあります。

  • 質問の内容や専門家の状況により、回答に時間がかかる場合があります。
気になるキーワードを入力して、必要な情報を検索してください。

表示中のコンテンツに関連する専門家サービスランキング

その他サービス

格安ホームページ制作

貴社のサイトを格安でお作りします。

中沢 伸之

ストークデザイン

中沢 伸之

(Webプロデューサー)

メール相談

ホームページSEO診断

ホームペーイjの内部SEOに特化したサービス

小菅 太郎

アイナパル

小菅 太郎

(ITコンサルタント)

メール相談

アメブロデザインテンプレートカスタマイズ承ります。

アメブロを個性豊かなデザインにしませんか?

小菅 太郎

アイナパル

小菅 太郎

(ITコンサルタント)