CRMや社内SNSサービスをネット上で‥。セキュリティが心配です

CRMまたは社内SNSの導入を検討しているのですが、導入が楽なのと、色々なオプションや機能が魅力的なので、ASPタイプの導入を考えています。

ただ、掲載されていくデータは会社にとって命のようなもの（顧客データや売上、訪問プロセスなどを登録予定）なので、それらをASPサーバで運用するのに、セキュリティ上問題ないのか心配です。
そこで下記お教え頂けませんでしょうか。

・SSL通信でないASPサービスを借りた場合、通信上でデータを読み取られるようなことは頻繁にあるのでしょうか。
・企業用のCRMやSNSをASPタイプのサービスで借りることは普通にあることなのでしょうか。

要を得ない質問で申し訳ありませんが、手間やコストがかかっても社内イントラ内で構築すべきなのか、ASPタイプで手離れがいいものがいいのか迷っております。どうぞよろしくおねがいします。

No.3 ベストアンサー 回答者： superside0 回答日時： 2008/06/20 14:27

VPNやSSLを使わないというのは論外ですが、それでも

機密情報を外部に保存することに抵抗があるというのはよく聞く話です。
いくらVPNやSSLで通信経路を暗号化しても、
サーバーをクラックされたりとか、無条件にアクセスが可能なASP業者の信用をどう保証してくれるかという点で。

もちろん、ASP業者にとっても、それは命綱なので、必死になって対策はしていると思います。
ただ、社内イントラにサーバーを設置して外部からのアクセスはあり得ないとするよりは、どうしても信頼度の点で見劣りします。

しかしながら、これは逆説になってしまうのですが、
情報漏洩のほとんどが内部から、という統計もあるようなので、
外部からの盗聴だけを対策して、情報漏洩の対策をした気になるのが一番恐いことです。
意識の低い人がイントラに設置して、誰でも機密情報にアクセスできる状態で放置するぐらいなら、ASPのほうがましと言われるのは、この辺りの視点からだと思われます。

この回答へのお礼

> 機密情報を外部に保存することに抵抗があるというのはよく聞く話です。
< こういうのの導入が初めてなので、こういうアドバイスは助かります。
イントラに設置してもインターネット上で借りても、確かに内部からの漏えいの可能性は高くなりますね‥。
ただそれは考えるとキリがないので、外部はSSLとサービス会社をきちんと調べる、内部に置くなら（W2003SVなので）ウィンドウズの認証機能をきちんと使う、という使い方でやれればと思っています。

非常に現場の事情に則したアドバイス、ありがとうございました！勉強になります。

お礼日時：2008/06/20 17:43

No.4 回答者： pakuti 回答日時： 2008/06/21 11:53

SSL通信をしていようがいまいが、ASPは無しでしょう

その情報をただで公開すると言う考えが無いのなら

セキュリティで考慮しなくてはいけないのは
通信の暗号だけではありません。
もっと言うと通信の暗号なんてのは気休め程度です。
情報が漏れてしまう理由として通信の傍受はあまり関係ありません。

そのASPが絶対的に信用出来るか。
そのASPの保守をしている関連会社が絶対的に信用出来るか。
のほうが重要です。

悪意がありお金にするために情報を抜き取る場合や
バックアップ等の目的でUSBに保存WinnyやSHAREで流出など

まぁ、社内で運用してもありうる内容ですけどね

No.2 回答者： FEX2053 回答日時： 2008/06/20 13:48

>SSL通信でないASPサービスを借りた場合、通信上でデータを読み取ら

>れるようなことは頻繁にあるのでしょうか。

「頻繁」の言葉の定義によりますが、SSL通信にしていないデータは
経路上で簡単に解読できますから、発生確率の有無に関係なくセキュ
リティ上問題あると言えます。

もっとも、実務的に言えば、ネット上に流れているデータは膨大なので、
想像されるようにその中から読み取られるような確率は非常に低いです。

ただし、通常セキュリティを破る場合は「SSL通信をしていないサーバ」
に狙いを定めて通信傍受を行いますので、狙われたらひとたまりもない
です。ちなみにその手のマーケットでは「セキュリティの甘いサーバ」
の一覧表が頻繁に取引されているとも言われています。

ちなみに、SSL通信をやっていれば、「狙う」時点から外されますし、
それ以上にSSL通信の暗号破りは非常に難しいので、セキュリティ上は
安心だと思って良いです。

>・企業用のCRMやSNSをASPタイプのサービスで借りることは普通に
>あることなのでしょうか。

SNSについては余り知りませんが、CRMは提供している企業は結構あります。
考えて見れば外部にメールサーバーを丸投げしている会社も少なくない
のですから、SNSやCRMも同じと考えればいいです。
http://www.atmarkit.co.jp/news/200210/08/sfdc.html

この回答へのお礼

> ただし、通常セキュリティを破る場合は「SSL通信をしていないサーバ」に狙いを定めて通信傍受を行いますので、狙われたらひとたまりもないです。
< 重要なデータを扱う上でこんなアドバイスをお聞きしたら、とてもじゃないですがSSLなしのASPは導入不可になりました‥。ありがとうございます！

CRMは結構あるのですね。参考URLのセールスフォースなどは有名なんですね。とても勉強になりました。
SSL対応のASPサービスを借りる方向で検討してみたいと思います。
いつ来てもここは勉強になります。
ありがとうございました。お礼申し上げます。

お礼日時：2008/06/20 14:06

No.1 回答者： DIooggooID 回答日時： 2008/06/20 13:42

・"SSL通信" ということは、インターネットの利用を前提にしていらっしゃいますか？

　インターネットの利用を前提にするのであれば、データを読み取られるようなことは頻繁にあると考えるべきです。
　※その情報が悪用されるかどうかは別として、常時、流出しています。


・ＡＳＰサービスの利用は一般的に行われていると思いますが、取り扱う情報により、専用線の利用やＶＰＮを前提にすべきだと思います。

この回答へのお礼

頻繁にあるのですね！驚きです。
ASPサービスではなかなかVPNまで取り入れてくれるサービスも少ないようなので、もう少し検討したいと思います。

ありがとうございました！

お礼日時：2008/06/20 14:01