サーバーを立てます。

会社のVPN内に自前でサーバーを立てるか、レンタルサーバーか迷っています。
会社のVPN内で立てれば、維持費が安いと思われますが、セキュリティーが心配です。
レンタルサーバーは、利用料がかかりますが、セキュリティーお任せ？ですよね…。

で、どちらの方がベストチョイスなのでしょうか？？

アドバイスよろしく、お願いします。

No.5 回答者： nnori7142 回答日時： 2015/01/06 07:49

　業務での自前サーバ公開となると、サーバ本体の利用方法（基幹アプリケーション、販売/請求、会計等、オンライン販売システム他）の管理情報の機密性確保と、サーバ障害停止時の冗長性・リアルタイムな保守対応が必要となります。

　セキュリティ確保の問題ですが、サーバに接続します利用端末情報のセキュリティ確保にて、特定アプリケーション対応のセキュリティシステムの適用が必要になるかと存じます。
　セキュリティシステムについては、サーバ本体用とクライアント用のSAAS型システムにするか（KASPERSKY ENDPOINT SECURITY FOR BUSINESS Select等、サーバOSとクライアントOS、利用データベースによっての契約年数）、UTMセキュリティシステムにするかの方法になるかと存じます。
　どちらにしても、業務ネットワークとサーバのセキュリティ保守対応、本体の保守体制が自社内で対応するか、外部に依頼するかになります。
　外部にソフトウェア保守とサーバ本体保守、セキュリティシステムの保守も依頼する形態ですと、ハードウェア・ソフトウェア・リース契約に対応する場合が殆どです。

No.4 回答者： kuroro_kuro 回答日時： 2015/01/04 13:00

なんか質問者の質問内容を見る限りgoogleのスプレットシートで十分な気がする。

>（たぶん）”Webサーバー”（というのでしょうか？）というものではなく、
”データベースのサーバー”としてです。
えっ?フロントエンド側はみんな直接SQLを実行する気?

>各店舗は、IT業者のVPNで護られているようです。
そんなに心配ならそのIT業者にこれの構築もしてもらいなさい。

>会社は中小企業です。その中でITに一番詳しいものは、たぶん私になるかはと思いますが、
>セキュリティーについては、ど、ど、どのド素人です。
典型的なPCがちょっと触れるからとパソコン=情報処理/ITとして担当にされているパターン?
根本的にパソコンと情報処理/ITは別物。
パソコンレベルのこの程度の知識は情報処理レベルで言えば塵レベルでふけばとんでいく程度の物。(つまりは全く役に立たない)

No.3 回答者： notnot 回答日時： 2015/01/04 03:01

＞レンタルサーバーは、AWSのEC2を想定しています。

セキュリティー対策を自分でするのが不安という人が、EC2のサーバーを運用するのは無理です。
お任せというのは、共用レンタルサーバーとか、マネージドサーバーのことで、EC2だと全部自分でやらないといけません。セキュリティだけじゃなくて運用も難しいですよ。

VPNでしか使わないのであれば、社内LANと一緒なので、社内に自前で立てるのが安全だと思いますよ。一般のインターネットへの公開はしないのですよね？

この回答への補足

notnotさん、ありがとうございます。

>一般のインターネットへの公開はしないのですよね？

はい、インターネットへは公開しますが、対象は一般ではなく特定です。
各店舗から、アクセスさせたいのです。一般ではなく（各店舗から）特定です。
そして、（たぶん）”Webサーバー”（というのでしょうか？）というものではなく、
”データベースのサーバー”としてです。
各店舗は、IT業者のVPNで護られているようです。「Stelth」とかいう機械が置いてあります。
でも、本店の社内LANの中にサーバー立てると、そのVPNに穴が開くのではないかと、
素人的に、心配なのです…。

そして、EC2にしようと思ったのは、コストです。
なにせ小さな会社なので、予算をなかなか頂けませんのです…。
EC2の"t2.micro"＋"1年一括前払い"プランで月々「1,000円」くらいですみそうだからです。

なにとぞアドバイス、よろしくお願い致します。

補足日時：2015/01/04 03:36

No.2 回答者： lv4u 回答日時： 2015/01/02 10:31

>>会社は中小企業です。

その中でITに一番詳しいものは、たぶん私になるかはと思いますが、
セキュリティーについては、ど、ど、どのド素人です。

最近思うのですけど、昔の汎用コンピュータは、自社の電算室とか、コンピュータビルの中で御神体のように保護されていたものです。幾重ものカードキーや指紋認証をパスしなければ物理的にも、論理的にもコンピュータに近づけませんでした。
でも、現在、セキュリティ対策があるとしても、ほとんどのコンピュータがインターネットに接続されている現在、物理的な障壁は関係なくなりました。

例えれば、昔のコンピュータは、最前線から遠く離れた司令部で保護されていたわけです。サイパンが陥落しようとも、前線から遠く離れた国内の司令部にすぐに爆弾が落ちることはありません。
でも、現在のコンピュータは、敵の砲弾が飛び交う最前線に置かれているといえるでしょう。その司令部が堅固な防壁で守られているか、多数の警備の兵士が重装備で守っているか、制空権を確保しているか？という差はあれど、それらを破られたり、防衛体制の隙をつかれたら、あっという間に砲弾・爆弾の嵐が襲ってくるわけです。

ですから、セキュリティ知識のいない（警備体制がとれない）中小企業であるなら、専門家のいない状態の自社サーバを利用するよりも、専門家がセキュリティにしっかりと投資し、監視してくれているレンタルサーバを活用するほうが、安心だと思います。

特に、日本では年々、サイバー攻撃による情報漏えい・経済的な被害が増えていますが、米国では、逆にサイバー攻撃による被害、被害額は減少しているそうです。
これは、しばしば言われることですが、「日本の経営者は目に見えないものにお金を出さない」ため、目にみえにくいセキュリティ対策に対して、日本企業は予算を出し渋ることが原因だそうです。米国は、しっかりとセキュリティ対策の予算確保をしているから、その成果・結果が出ているってことのようです。

そういう日本のお国柄を考えれば、日本企業はレンタルサーバを利用したほうが、セキュリティが確保されやすいと思います。

ちなみに、私の契約したレンタルサーバのログをチェックすると、サーバが稼動し始めてすぐに、世界各地から契約したサーバへの攻撃が始まっています。人間が仕掛けているものもあるのかもしれませんが、多くはプログラムによる攻撃だと思います。何度、セキュリティソフトに弾かれようとも、飽きることなく、今日でも攻撃は続いています。
そのため、ネットで「○○のソフトにセキュリティホールが発見された！」というニュースが流れるごとに、ソフトのバージョンアップを行う作業をやっています・・・。

>>レンタルサーバーは、AWSのEC2を想定しています。
これを、ホストにして、各店舗からアクセスして、運用することを想定しています。
今のところ、（試験的には）問題なく動いています。

最近は、AWSを使われる企業がかなり増えているといいます。ですので、問題なく動いているなら、そのやり方でいいと思います。

>>社内にはセキュリティーの専門家と言える人がおりませんし、サーバ管理の手間もはぶきたいです。

専門家といえる知識は無くとも、セキュリティ専門家が話すことがなんとなくでも理解できるような知識は身につけておいたほうがいいと思います。
私は、仕事上は全く不要なんですけど、個人契約のレンタルサーバを持っているため、何度か有給をとって、セキュリティセミナー（無償）に出席して知識を仕入れています。
質問者さんの場合は、「仕事上でセキュリティの知識が不可欠です」という堂々とした理由をあげて、セミナー出席されてみたらいいと思います。

ネットのブログを見ると、サーバの知識が十分にある方であっても、会社内でのサーバの利用度がアップして、サーバ管理の重要度が上がってくると「レンタルサーバ、レンタル・アプリケーションに移行したいなあ」という状況になるみたいですよ。

No.1 回答者： lv4u 回答日時： 2015/01/02 08:20

>>で、どちらの方がベストチョイスなのでしょうか？？

質問文をみると、評価項目としては、維持費とセキュリティですね。

レンタルサーバといっても、ルート権限が貰えるＶＰＳなどの場合、自分でＯＳをゼロからインストールし、セキュリティは、すべて自前で設定します。
つまり、「セキュリティはお任せ」になりません。
が、システム構成の自由度は大きいです。

逆にルート権限が制限される通常のレンタルサーバは、質問者さんが考えられるように、「セキュリティはお任せ」で、気楽な面があります。
が、その反面、いろんな制限があって、自分がやりたいことができないってことも多いでしょう。

私は、個人ですけど３つのレンタルサーバの契約をしています。さくらとか、ロリポップなどのレンタルサーバ業者を選べば、会社から見たらゴミのような金額で契約可能です。
自宅にＰＣを追加して、サーバ設置するよりも、ずっと安く、手間がかからないと思います。

とはいえ、自宅内（会社内）サーバは、ＬＡＮ環境で使えますから、大量データがネットを流れるような処理でも、あまり遅延なく処理が進みます。
さらに、機密が重視されるデータであれば、社外サーバに置くことが社内規定上、認められないケースがあります。

ということで、社内サーバとレンタルサーバの比較を考えると、会社がサーバに求める要件の優先順位、必須条件などによって、ベストチョイスは変わると思います。
どっちがいいということはできません。

ただ、「社内にセキュリティの専門家といえる人がいない」「できるだけサーバ管理の手間をはぶきたい」「維持費・管理工数を少なくしたい」というなら、レンタルサーバを選ぶほうが良いと思います。

この回答への補足

Iv4uさん、早速のご回答ありがとうございます。

レンタルサーバーは、AWSのEC2を想定しています。
そこに、「FileMaker Pro」という、DBソフトを（試験的に）インストールしました。
これを、ホストにして、各店舗からアクセスして、運用することを想定しています。
今のところ、（試験的には）問題なく動いています。

扱うデータの内容は、顧客様の個人情報が含まれており、漏れると大変困ります。

処理速度は、扱うデータは大きくはないのですが、
リアルタイム（0.5[sec]内）にしたいです。

社内にはセキュリティーの専門家と言える人がおりませんし、サーバ管理の手間もはぶきたいです。

と、補足的情報です。

「OKWave」初めての者です。この様な書き込みは、ここでいいでしょか？

補足日時：2015/01/02 08:52

この回答へのお礼

Iv4uさん、アドバイスありがとうございます。

Iv4uさんの、アドバイスに対しての、補足情報を書き込みました（ここでいいのかな？）。

会社は中小企業です。その中でITに一番詳しいものは、たぶん私になるかはと思いますが、
セキュリティーについては、ど、ど、どのド素人です。

お礼日時：2015/01/02 09:01