質問
やっぱり価格とトレードオフなのでしょうか?
そうでしょうね。
私のところではメールサーバ(グループウェア)は社内に置いています。私の眼が黒いウチ(!)は社外には出しません。
といいながらgoogleappsも使ってますが、それはあくまでも付属扱いです。
弊社でも使っているのですが、Google Appsでは下記のようなサービスを提供している会社があります。
http://www.isr.co.jp/product/cloudservice/cloudgate
アクセス元IP制限、PCごとの制限などができます。ただし、PCの制限はブラウザで利用することを前提としておりメーラーには(POP/IMAP/SMTP)には対応していません。
Salesforceでの上記のようなサービスは分からないのですが、デフォルトで
アクセス元IP制限は可能だったように記憶しています。
しかしながら、グループウェアとはいえある意味の個人情報を含むと
思いますので、それなりの事を実施すべきであると考えております。
それなりのこと、というのはどのようなことを想定されていますか?
私としては必要な者のみアクセス権を与えそれ以外はすべて拒否、ぐらいなんですが。。。
お疲れ様です。
SIerの立場と情シスという立場からお答えすると、必ずしも価格相応のセキュリティとはいえないと思っています。
ただ、いえることは価格が高いところは定期的なペネトレーションテストや人員監視等の人を使ったサービスが付属していることが多いような気がします。
安いところは、ハードウェアや仕組みはかわらないとも、人員的な配置や管理にお金をかけていないような気がします。
これが、イコールなんらかのセキュリティ的な問題が発生したときの対策スピードに関わってくるような気もします。
セキュリティへの考え方は様々で、たとえばWEBシステムであっても、SQLインジェクションへの対応のためフレームワークを利用しているから大丈夫というところもあれば、WAFを入れているから大丈夫というところもあります。
セキュリティは最終的には保険的な感じも正直ありますので(あくまでもタラレバ論に最終的になってしまいます)、自分や会社と考え方が合うところと契約されるのがよいのではないかと思います。
質問
こんにちわ。
最近、googleapps SALESFORCEはじめクラウド型サービスが非常に普及しているのは皆様ご存知の通りだと思いますが、
そのセキュリティーは、実際のところどんな感じなのでしょうか?
例えばECサイト等を自社開発する場合、カード情報などを
扱う可能性た高いため、DBサーバーを物理的に分離し、
グローバルに接続しないような形態をとるケースが標準だと
思っています。もちろんテーブルも暗号化します。
昨今のグループウェア的なサービス(1アカウント500円とか)では
どうやらそのようになっていないケースもあるようです。
(大手サービスは別)
当然扱う情報の重要度の差もあります。
しかしながら、グループウェアとはいえある意味の個人情報を含むと
思いますので、それなりの事を実施すべきであると考えております。
やっぱり価格とトレードオフなのでしょうか?
皆さんはどう考えますか?