やっぱり価格とトレードオフなのでしょうか？
そうでしょうね。
私のところではメールサーバ（グループウェア）は社内に置いています。私の眼が黒いウチ（！）は社外には出しません。

といいながらｇｏｏｇｌｅａｐｐｓも使ってますが、それはあくまでも付属扱いです。

弊社でも使っているのですが、Google Appsでは下記のようなサービスを提供している会社があります。
http://www.isr.co.jp/product/cloudservice/cloudgate

アクセス元IP制限、PCごとの制限などができます。ただし、PCの制限はブラウザで利用することを前提としておりメーラーには(POP/IMAP/SMTP)には対応していません。

Salesforceでの上記のようなサービスは分からないのですが、デフォルトで
アクセス元IP制限は可能だったように記憶しています。

しかしながら、グループウェアとはいえある意味の個人情報を含むと
思いますので、それなりの事を実施すべきであると考えております。

それなりのこと、というのはどのようなことを想定されていますか？
私としては必要な者のみアクセス権を与えそれ以外はすべて拒否、ぐらいなんですが。。。

お疲れ様です。

SIerの立場と情シスという立場からお答えすると、必ずしも価格相応のセキュリティとはいえないと思っています。

ただ、いえることは価格が高いところは定期的なペネトレーションテストや人員監視等の人を使ったサービスが付属していることが多いような気がします。

安いところは、ハードウェアや仕組みはかわらないとも、人員的な配置や管理にお金をかけていないような気がします。

これが、イコールなんらかのセキュリティ的な問題が発生したときの対策スピードに関わってくるような気もします。

セキュリティへの考え方は様々で、たとえばＷＥＢシステムであっても、ＳＱＬインジェクションへの対応のためフレームワークを利用しているから大丈夫というところもあれば、ＷＡＦを入れているから大丈夫というところもあります。

セキュリティは最終的には保険的な感じも正直ありますので（あくまでもタラレバ論に最終的になってしまいます）、自分や会社と考え方が合うところと契約されるのがよいのではないかと思います。

皆さん、ご返信ありがとうございます。

いつもいつも感謝です。