ウェブサイトの委託者に対するセキュリティ

ロリポップのサーバーを借りて、サイト運営をしてるのですが、今後ウェブデザインを委託する予定があり、サイトのセキュリティ上、その者にサーバーを任せるのは不安なので（サーバーの情報を消すもしくは盗む可能性がないとはいいきれないから）通常ウェブデザインを委託するときなどはどのように委託者に対するセキュリティを考えているのでしょうか？

いま考えているのは、ファイルだけを私に渡してもらい、私がサーバーにあげるという方法です。

ほとんどそういった悪事をする人はいないことはわかっていますが、念のためにどういう仕組みで他の方々はセキュリティを考えているか教えていただけるとありがたいです。
回答よろしくおねがいします！

No.1 ベストアンサー 回答者： lowrider_2005 回答日時： 2014/12/29 09:50

cgiでプログラムが動かないようなコンテンツならその方法でいいと思います。

でも盗むといっても、そもそもその業者から受け取ったデータですよね？

あるいは全く同一の契約内容でもう一つロリポップを契約し、そちらをステージングサーバーとし、そこにアプロードしてもらう。内容を確認したらこちらの作業で本番サーバーにデータをコピーするとか。
この方法ならcgiを使っていても動作確認までできると思います。また本番サーバのDBに顧客情報を保存してあっても、業者に見られることはないはずです。
（当然cgiに悪意のあるプログラムが仕込まれていないかの確認は必要でしょうけど）

基本的にそういう業者とは機密保持契約（NDA）を結んでおくとか、そもそもISO27001やISMSなどの審査に適合した業者を選んでおけばそれほど心配する必要はないと思いますが。
そういう心配に対する審査なわけですし。

この回答へのお礼

回答ありがとうございます！
契約書を作って、別のサーバーを使ってもらってテストしてもらう方式にしたいとおもいます！

お礼日時：2015/01/14 16:45

No.2 回答者： hostinger-japan 回答日時： 2014/12/30 21:55

まずはソフト面での対策として、契約書に機密保持の項目を盛り込むであるとか、別途NDA（機密保持契約）を結ぶがあります。

ハード面での対策として、あなたがおっしゃられているように、業者にサーバーアクセス用の情報を与えず、自分でするというのも対策の一つかと存じます。ただ、この場合は実稼動前のテストや、問題が発生した際の修正に手間取るのが難点です。

ある程度の知識があるのであれば、テスト用のFTPアカウント、サブドメイン（例・abc.comを持っていれば、test.abc.com）、データベースなどを実働環境と同じサーバー上に用意して、そこで業者にテスト・修正を行わせた上で、あなたが本番環境に自分でアップロードするという方法もあります。

あまり詳しくないのであれば、別の回答者が指摘しているように、同じ環境のサーバーを2台借りる、と言う方法があります。ただ、いずれにせよ本番環境に移行する際にサイトのURLや、データベース名・ログイン・パスワードを等を変更する必要があるので、あなたの側にもそれをこなせるだけのある程度の知識は必要になるかと存じます。

この回答へのお礼

回答ありがとうございます！
参考にさせていただきます！

お礼日時：2015/01/14 16:46