現実的なセキュリティ管理レベルとは？

弊社では、近々にASPサービスを立ち上げようと企画しておりまして、サーバーの運営体制について現在検討中です。

ご教示願いたいのは、
１）現実的には、セキュリティ管理をどの程度のレベルまで確保すべきか？
２）セキュリティ管理をアウトソーシングする場合、幾ら位でどの程度までのサービスを期待すべきでしょうか？
、、、の2点です。

サイトに蓄積されるデータは、ある種の機械設備の整備記録であり、それほど漏洩に神経質になる必要はない性格のデータです。
お金を掛ければいくらでもキッチリとした管理が出来るのでしょうが、やはり守ろうとするデータとの兼ね合いを取るのが重要だと思います。そこのところの匙加減が解りません。
何卒ご回答方、よろしくお願い申し上げます

No.1 ベストアンサー 回答者： mnabe 回答日時： 2001/06/11 17:06

１）現実的には、セキュリティ管理をどの程度のレベルまで確保すべきか？

　については、レベルってのがわかりません。
　セキュリティに関しては、足りないことはあってもやり過ぎって事はありません。完璧を目指すべきです。99%大丈夫って思っても、1%の甘さがあれば、そこから彼らは入って来ます。

２）セキュリティ管理をアウトソーシングする場合、幾ら位でどの程度までのサービスを期待すべきでしょうか？
　これも同じで、完璧にやってもらいましょう。サービスを提供する方としては、完璧を目指しているのですから...ね。しかし、この場合でもサービスの方で穴があっては同じ事ですので、やはりサービスには完璧を求めましょう。後は金額的な折り合いをどこで付けるのか...になると思います。
　サービス的には、いろいろあって、全て引っくるめてやってもらうと金額も高くなりますので、監視だけお願いするとか、監視と対応をお願いするとか、いろいろオプションがあると思いますので、それはサービスに聞いてみるのがベストですね。

>やはり守ろうとするデータとの兼ね合いを取るのが重要だと思います。
　これはちょっと違うかもしれません。確かにデータは大事です。盗まれる事も考慮する必要はありますが、盗まれるよりも改竄される方が恐いと思いませんか？
　それに、それよりも恐いのは、会社の信用問題に発展しますよね？　サーバがハックされて、データが改竄されたとか、ホームページのトップページが改竄されたとか、クラック達の遊び場にされたとか...そんな情報が流れた大変ですよね？　そうならない為にも、やはりセキュリティは完全を目指すべきです。

　金額との折り合いの話になるのですが、もし外に出すのだとしたら、自社でやる場合の事を考えると良いと思います。自社で、一人の人が、サーバの管理者を行うとしたら、その人にかかる月の費用(給与＋経費)が必要です。しかし、それを外に委託すれば、その費用程度までならOKとするのが良いと思います。私なら、その人の1.5倍まではOKと考えます(理由：外に委託する事で、その人物が他の仕事を行って利益を上げる可能性がある為、それでも会社としたら、プラスですよね)。

この回答へのお礼

回答ありがとうございます

近視眼的には、利益を生まない投資と見えるので、そこそこの所でお茶を濁しておけば良いのかな～、、と甘い考えをもっておりました、
が！確かにご指摘の通りだと思い至りました。
企業にとって一番大切な「顧客からの信頼」に傷をつける可能性があることに対しては、やはり真剣に考えなくてはなりませんね。

本件、もう少しちゃんとした見方で再検討してみます

重ね々々、御礼申し上げます
ありがとうございました

お礼日時：2001/06/11 18:45

No.2 回答者： kens-f 回答日時： 2001/06/11 17:10

＞１）セキュリティレベル

それは当然しっかりしたレベルじゃないでしょうか？
通信案件が見えないのでなんとも言いがたいですが・・・・

＞２）アウトソーシング
構築するネットワークの規模やサーバの規模によって違いますよね。
随時セキュリティホールをつぶしていくなら結構するんじゃないかなぁ？
それより予算の範囲内で出来るサービスって事じゃないかなぁ。
期待するサービスと予算が合わなければ普通受けないですよね。

では。

この回答へのお礼

回答ありがとうございました
こんなに迅速にご教示頂けるとは思っていませんでした

・最新のセキュリティ情報の追跡
・ファイアウォール設定と定期的見直し
・当該システムのセキュリティホールの調査＆対策実施

上記の内容で、つい先ほど専門業者さんと打ち合わせたのですが、想像していた金額の一桁上の金額でした(@_@)

以上、御礼まで

お礼日時：2001/06/11 18:46