自作グループウェアのレンタルサーバーでの運用について

タイトルの通り自作グループウェアをレンタルサーバー(CoreServer)で運用しようと思っています。
言語はPHPでDBはMySQLです。
機能はスケジュールや設備予約など販売中のグループウェアと大差なく＋で自分たち独自の機能(会議のための議題や予算などの会計システム等)です。
名簿システムも併設しようと思っています。
当然DBには個人情報やパスコードなどの漏洩するとまずい情報を保存します(パスコードはハッシュして保存、個人情報などは可逆暗号化して保存しています)
共有ファイルなども保存します。(public_html内のファルダです。public_html外のファルダにも保存はできるのでしょうか・・？)

規模は100人以下のユーザー数です。企業ではなくサークルです。

ざっくりとグループウェアに関する情報を書きましたが、ここで質問です。
・レンタルサーバーでの運用で情報漏洩やセキュリティは大丈夫なのか
ということです。

通信はSSLを用いています。
詳しい方や同じようにレンタルサーバーでグループウェアを運用している方など教えてください

No.1 ベストアンサー 回答者： naoiz 回答日時： 2020/02/01 01:45

私は“仕事”としてオンプレミス環境でグループウェアを運用しています。

あくまで意地悪な気持ちで回答しているわけではない事だけご理解ください。
ざっくりした事しか書かれていないので、ざっくりした回答しかできませんが。

> レンタルサーバーでの運用で情報漏洩やセキュリティは大丈夫なのか

レンタルサーバーであれクラウドサーバーであれオンプレミス環境であれ、情報漏洩やセキュリティリスクは大差ないと思います。
もう少し正確な表現をするならば、適正に管理運用されているサーバーからインフラ環境が原因で情報漏えいするリスクはほぼありえません。逆に情報漏洩リスクは主に使用するグループウェアの脆弱性と、利用者（レンタルサーバー利用者）の不適切な設定です。

例えば↓
> 共有ファイルなども保存します。(public_html内のファルダです。public_html外のファルダにも保存はできるのでしょうか・・？)

publicな領域にファイルを置くということは、ファイルへのアクセスは無制限とほぼ同義（Basic認証でもかけるなら別ですが）ということになります。『public_html外のファルダにも保存はできるのでしょうか・・？』という質問をされている時点で、大変失礼ですがセキュリティに関してザルなグループウェアなのかなと思ってしまいます。

というわけで結論としては、レンタルサーバー云々に関するセキュリティリスクに関して、CoreServerは他社に対して管理が特に劣っているとは思いませんので“インフラ環境としては”問題ないと思います。

この回答へのお礼

ありがとうございます。
今、セキュリティに関しての勉強を少しずつしており、SQLインジェクションなどの脆弱性にも気を付ける必要はあると思っています。
名簿などの特に個人情報が高いページなどはBasicを使い、DBは暗号化・ハッシュ化してという風に気を付けてはいます。
インフラ環境として、どうなのだろうと思って、質問したので意見が聞けて良かったです。(ネットで調べてもレンタルサーバで運用しているページを見つけられなかったので)
仕事として、運用されているということはSEなのですかね？自分もそっち方面に興味があるけど、大学の学部は全く違うんですよね・・・

お礼日時：2020/02/04 10:17

No.2 回答者： 噛めんサイダー 回答日時： 2020/02/04 18:04

サーバーを使うには、自社でインターネットに繋げられる会社はよほどな大企業でも無いでしょうから、ハウジングかホスティングで行いますね？

私の会社はハウジングで運営していますから、サーバーのセキュリティ自由自在だけど、逆に自社で行わなければならないけど、あなたの言ってるレンタルサーバーはホスティングですね？
つまり、同一サーバー上にたくさんの見知らぬ会社が同居しているので、サーバーセキュリティに関しては各社でどうにもなりません。
ファイアウォールもどの程度のものか分かりません。
自社のデーターはアプリケーションで保護するしか方法が無いわけです。
public_htmlは誰でもがアクセスできるエリアなのでセキュリティはありません。あったら他人はどのページも見られません。
DBはパブリックなエリアにはありませんょ。
セキュリティエリアに置いてパブリックエリアからSQLでアクセスするので、SQLを出力するアプリケーションソフトの脆弱性で決まります。
つまり、アプリケーションソフトをあなたが作っているなら脆弱性はあなた次第とゆうことになりますね？
添付ファイル類をpublic_html下に置くなら、それは誰でも見られますよ。見られたくなかったら、それもDBMSで管理するべきです。
機密データーを扱うならホスティングじゃなくてハウジングで運営することをお薦めします。