求めるセキュリティレベルによって○とも×とも言えます

セキュリティ対策って、ある意味、保険みたいなものなんです。

ある人からすれば、多額の保険料をかけても万が一におきたい。
でも、別の人は、そんな保険料はかけたくない。かける必要性を感じない。

人によって、リスクをどう考えるか？が異なり、そのリスクによって、対策レベル（コスト）が変わってきます。

リスクを認識するためには、まず、自分たちがもっている情報がどんなものか？を明確にする必用があります。

その情報の重要度をしっかりと認識する。

例えば、クレジットカード番号は絶対に漏れてはいけない情報ですが、会社の電話番号なら、カード番号ほど重要ではありません。
これは、漏えいした時の、影響範囲、被害状況を想定することで、重要度が見えてくると思います。

さらに、漏えいの可能性を検討します。

アプリケーションと、DBを同一のサーバに設置することの最大の問題は、そのサーバが乗っ取られた時に、DBの内容も取られてしまう可能性が高いということ。

別サーバにしていることで、アプリケーションが稼働するサーバが乗っ取られても、DBを守ることができる可能性が高くなるということです。

そこまでして、守りたい情報か？
それだけのコストを掛けるべきかどうか？を判断しないといけないわけです。

共用サーバの場合、他のユーザ領域のシステムに不具合があり、乗っ取られた場合に、自分たちのところもやられる可能性があります。

もし、現在おつきあいされているベンダーさんと、別のベンダーさんが作ったシステムと、共用サーバに共存させると、「他社の作ったシステムによるリスクへの対応はできません」と、主張されるでしょう。

そのため、危険だからやめてくださいと言われると思います。

一度、守るべき情報の内容を精査し、どの程度まで守らねばならないか？を検討してみてください。
その上で、どこまでやる必用があるか？が決まってきます。