Tweet
注目のQ&Aランキング
対象:ホームページ・Web制作
回答数: 3件
回答数: 7件
回答数: 3件
今回、法人向けの会員サイトを構築しようと考えておりますがサーバのホスティングについて悩んでます。
企業情報もサイト内で管理したいと考えておりますが、サーバの共用環境・シングル構成・DBをフロントに置くというのは、なぜ危険なのでしょうか。
現在のベンダーには、情報漏えいがといわれますが、これまで事故も無かったので心配ないかと思います。
具体的に何が問題になるのかご教示いただけますでしょうか。
pin_okooさん ( 神奈川県 / 女性 / 24歳 )
回答:3件
米村 歩
システムエンジニア
-
データベースの設定をきちんとすれば問題ありません
こんにちは。アクシアの米村と申します。
フロントと同じサーバーにDBを置いても大丈夫です。
データベースには色々と設定ができますので、同一サーバー内からしかアクセスできないように設定しておけば、事実上アプリからしかアクセスできなくなりますので危険はありません。
他のサーバーからも自由にDBにアクセスできるような設定になっていると、ベンダーさんがおっしゃっているような危険が出てきますが、普通はセキュリティ上の問題からそんな設定にはしません。
もちろん、フロント側のサーバーからセキュリティホールを突破されれば情報漏えいのリスクは出てくると思いますが、それはまた別の問題ですし、そのような事態になってしまえばDBを別サーバーに分けていたとしてもDBサーバーも容易に突破されてしまう可能性が高いと思います。
> 具体的に何が問題になるのかご教示いただけますでしょうか。
ベンダーさんの売上が落ちてしまうのが問題になるのではないでしょうか(笑)
お役にたてれば幸いです。
質問やお悩みは解決しましたか?解決していなければ...
井上 みやび子
Webエンジニア
-
問題があった場合、という考え方の方向もあります
こんにちは。すぐ使える株式会社の井上と申します。
セキュリティ上の危険性は、別件でお答えの北村さんのお考えの通りある、とも言えますし、米村さんのようにまあ大丈夫、とも言えます。
この数字は例ですが、「9割方大丈夫」に100万円分の手間がかかるとすると、「9割9分大丈夫」にするには1000万円分の手間がかかる、というイメージです。それぞれのベンダーはそのベンダーの得意な、実績のある方法を提案してくる、という風にお考えになるとよいかと思います。
発注者様側では、
○どの程度の費用を掛けてどの程度堅牢なサービスをするか
○問題が起こってしまった時のデメリットや必要になる費用
を含めてどの程度のシステム構築をするかを判断する必要があります。
ご質問の「具体的な問題」としては、私としては以下の懸念が考えられます。
■1.サーバの共用環境
多目的に多数のスタッフがサーバにアクセスできると、情報漏えいの可能性のある出入り口が多い事になり、危険性が増す。また、問題があった時の流出経路等の特定が難しい。再発防止の対策や、お客様への事情の説明もしにくい。
■2.シングル構成
一台のサーバに問題が起きたら復旧までサービスが完全に停止してしまう。また、障害時に無くなるデータがより多い事が予想される。
(最近は技術も高くなりサーバはまるで止まらないかの様にも思えますが、機械である以上、故障する可能性はあります。)
DBサーバの分割については、以下のように具体的では無い懸念があります。
■3.DBをフロントサーバに置く
セキュリティ設定をきちんとすれば問題が無いとも言えるが、インターネットからの攻撃等に「野ざらし」になる Web サーバは、これまで未知の攻撃を真っ先に受ける可能性がある。
直接的な攻撃を受けるかどうかは、保存する情報の性質(クレジットカード番号などがあるかどうか)にも依ると思います。
あと少し気になるのが以下のコメントです。
>これまで事故も無かったので心配ないかと思います。
新しいシステムを構築される場合は、今までの対策(社内教育等も含めて)で充分かを改めて検討していただくとよいかと思います。
評価・お礼
pin_okooさん
2010/12/03 10:39ご丁寧にありがとうございました。
とても分かりやすく大変勉強になりました。
お金をかけてシステムを構築しても社員の知識が無ければ意味が無いですよね。
再度、社内で検討してみたいと思います。
岡本 興一
ITコンサルタント
17
求めるセキュリティレベルによって○とも×とも言えます
セキュリティ対策って、ある意味、保険みたいなものなんです。
ある人からすれば、多額の保険料をかけても万が一におきたい。
でも、別の人は、そんな保険料はかけたくない。かける必要性を感じない。
人によって、リスクをどう考えるか?が異なり、そのリスクによって、対策レベル(コスト)が変わってきます。
リスクを認識するためには、まず、自分たちがもっている情報がどんなものか?を明確にする必用があります。
その情報の重要度をしっかりと認識する。
例えば、クレジットカード番号は絶対に漏れてはいけない情報ですが、会社の電話番号なら、カード番号ほど重要ではありません。
これは、漏えいした時の、影響範囲、被害状況を想定することで、重要度が見えてくると思います。
さらに、漏えいの可能性を検討します。
アプリケーションと、DBを同一のサーバに設置することの最大の問題は、そのサーバが乗っ取られた時に、DBの内容も取られてしまう可能性が高いということ。
別サーバにしていることで、アプリケーションが稼働するサーバが乗っ取られても、DBを守ることができる可能性が高くなるということです。
そこまでして、守りたい情報か?
それだけのコストを掛けるべきかどうか?を判断しないといけないわけです。
共用サーバの場合、他のユーザ領域のシステムに不具合があり、乗っ取られた場合に、自分たちのところもやられる可能性があります。
もし、現在おつきあいされているベンダーさんと、別のベンダーさんが作ったシステムと、共用サーバに共存させると、「他社の作ったシステムによるリスクへの対応はできません」と、主張されるでしょう。
そのため、危険だからやめてくださいと言われると思います。
一度、守るべき情報の内容を精査し、どの程度まで守らねばならないか?を検討してみてください。
その上で、どこまでやる必用があるか?が決まってきます。
評価・お礼
pin_okooさん
2010/12/03 10:43ありがとうございました。
再度、社内で整理する必要がありそうですね。
勉強になりました。
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング
