• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:Webサイトで個人情報を収集する場合の体制づくりについて)

Webサイトで個人情報を収集する場合の体制づくりについて

このQ&Aのポイント
  • Webサイトで個人情報を収集する場合の体制づくりには、SSL化やデータベースのセキュリティ対策、入力フォームの脆弱性対策などが必要です。
  • データベースサーバをWebサーバと別にすることで、セキュリティを高めることができますが、アピールの効果は不明です。
  • データベースのバックアップ先を自社にする場合、プライバシーマーク取得やセキュリティ体制の構築が必要です。

質問者が選んだベストアンサー

  • ベストアンサー
  • nori_007
  • ベストアンサー率35% (369/1048)
回答No.3

不明な点の補足しますね(^^)。 >この質問ではSSLのことは尋ねておりませんが・・・・・。 SSL は単に例です。 >「弊社サイトのサーバはレンタルではありません。Webサーバとデータベースサーバは別にしておりますし、それぞれ購入して運用しております。」 と、表記してどれだの一般の方が理解出来るかと言う事です。 多くは、だから絶対安心なんだねと、言うイメージを持つかと言う事です。 >済みません、文面のつながりがよくわからないので繰り返し考えてみます。 レンタルサーバにも種類があります。データセンターに置く事をイメージしているので有れば、レンタルサーバでは無く自社サーバになりますね。その場合、サーバの管理は自社になります。 また、レンタルサーバで機能だけ借りれば、サーバのメンテナンス業務はサーバ会社の仕事になると言う事を言いたいのですが・・・、質問の意図を勘違いしていますか? >Webからアクセスできない領域に取得データを保管する、というのは当然だと思います。 この件ですが、レンタルサーバ会社によっては、web データを公開している領域にしか、データが保存出来ないレンタルサーバも有るという事です。ですので、当然と思っていても、借りたレンタルサーバでは、出来ない場合もあります。 >サーバとの通信全般をSSL化というのは、送信フォームがある領域は全てSSLで通信させればよいという話ですね。了解しました。これはhttpsでURLを開くようにすれば良いと思います。 この件は、ファイルアップロード、ダウンロードする際に、FTP や、自社ドメイン同士のメール等を、全て SSL 化することです。 >データベースサーバにデータを残したままの方が と言う事にあんると、レンタルサーバで無く、データセンターにご自身でサーバを用意して設置してと言う事になりますが、データセンター内に、インターネットに公開しているサーバと、ファイヤーウォール内にあるサーバを設置する事が出来ますか? イメージとして、一般的的なレンタルサーバを借りて公開し、データ入力して頂き、入力されたーデータは SSL 化され、データセンターに設置されたデータベースへ送信、その際データセンター側では、web サーバの IP アドレス以外は通信を遮断する。 データセンターへは、会社から専用線でアクセス出来るようにする。データセンターでは、会社の IP アドレスしか接続を許さない。 と言うシステムになるとおもいます。 ここまでの、システムにならこのような場で相談しないで、システムベンダーさんと相談した方が良いと思います。

touchy
質問者

お礼

再度くわしくありがとうございます。 とても助かっております。 > イメージとして、一般的的なレンタルサーバを借りて公開し、データ入力して頂き、入力されたーデータは SSL 化され、 > データセンターに設置されたデータベースへ送信、その際データセンター側では、web サーバの IP アドレス以外は通信を遮断する。 > データセンターへは、会社から専用線でアクセス出来るようにする。データセンターでは、会社の IP アドレスしか接続を許さない。 > と言うシステムになるとおもいます。 なるほど! これは大変参考になる案をいただきましてありがとうございます。 Webサーバは普通にレンタルサーバで借りて公開し、個人情報が送信される先のデータベースサーバ(DBサーバ)だけを購入して セキュアなデータセンターで運用するということですね。これが合理的ですね! データセンターのDBサーバへ会社からアクセスするのは専用線が最良ですが、高くなるので最初は無理だからここは普通のネット回線でいくしかないかなと思っております。 その他もいろいろとありがとうございました。

その他の回答 (2)

  • memphis
  • ベストアンサー率40% (975/2395)
回答No.2

回答1  なりません。 回答2  されないです。 回答3  それぞれのソフトのメーリングリストに入っていれば判ります。  もしくはセキュリティ関係のサイトをチェックするなど方法は色々とあります。 WEBとDBサーバを分けるのはいいですが、故障リスクは高くなるので予備サーバなどはどうされるつもりですか? また、会社のネットワークが何らかの原因で遮断された場合は ユーザの情報はどうやってアクセスするつもりですか? 正常時に大きな問題は無いですが、トラぶったときの事を考えて構築しましょう!

touchy
質問者

お礼

ありがとうございますm(_ _)m > WEBとDBサーバを分けるのはいいですが、故障リスクは高くなるので予備サーバなどはどうされるつもりですか? はい、もちろん予備サーバは事前に準備しておきます。 Webサーバとデータベースサーバを分ける方がセキュリティが高いですからそれを優先します。 > また、会社のネットワークが何らかの原因で遮断された場合は > ユーザの情報はどうやってアクセスするつもりですか? > 正常時に大きな問題は無いですが、トラぶったときの事を考えて構築しましょう! そうですね、おっしゃるとおりです。 ただ、ネットワークはまず切れることはないようにしていますし、プロバイダーも今どきほとんど切れることはないですので、非常に確率は低いと思います。 がしかし、近江商人の例もあるので会社サーバにやはりデータは置くようにしようと考え直したいと思います。 閲覧についてはイントラネットでブラウジングすれば良いですものね。 ご回答いただいたように、プライバシーマーク取得やISD取得がなくとも問題視されないようであれば、会社サーバに保存するしかないと思っております。

  • nori_007
  • ベストアンサー率35% (369/1048)
回答No.1

完璧を求めるので有れば、レンタルサーバは不可です。 自社でサーバを運用し、ネットの外へ公開するサーバ、web サーバと、収集したデータを管理データベースは、ファイヤーウォール内側に設置し、アクセス出来るユーザを限定する等を検討してください。 >質問[1] :データベースサーバをWebサーバと別にしていることはアピールになり得ますか? ならないと思います。B to B ならまだしも、B to C だとしたら多くのは、SSL は??と言う感じではないでしょうか。 だから、しなくても良い言う話ではありません。アピールになると言う考えが無駄と言う事です。 >質問[2] プライバシーマーク取得しないでデータベースのバックアップ先を自社にして問題視されないのでしょうか? プライバーマークなんて簡単に取得出来ますので、取得してください。 望ましいのは、該当する ISO 規格です。 また、レンタルサーバでは、ファイヤーウォール内に有るデータベースサーバを用意している所は無いのでは? >質問[3] :XXS、CSRF、SQLインジェクション、バッファーオーバーフロー等の対処方法はどこに集積されている? がサーバ管理になります。ですので、サーバ管理者に集積されます。 レンタルサーバで有っても、種類によっては借りた側の責任になります。属に言う、root 権限のあるサーバ等は借りた側でセキュリティの対策を行います。吊るしのサーバの場合は、レンタルサーバ会社の仕事になります。 具体的にレンタルサーバで運用するので有れば、信頼出来るレンタルサーバ会社を選択し、共有サーバは利用出来ない。システムとして取得した個人情報のデータは web からアクセス出来ない領域に保管出来る等のサーバを選択する。 他に、 1、サーバの管理画面は管理者以外にアクセス出来ないように社内の体制を作ろ。 2、サーバから個人データを取得したら、サーバからデータを削除する。 3、ftp で接続出来る場合も、web データの有る領域にだけアクセス出来るようにする。サーバ会社の機能で出来るか要確認。 4、サーバとの通信全般も、SSL 化出来る事、サーバ会社の機能で出来るか要確認。 以上まではレンタルサーバを借りる最低限の条件だと思います。 後は、サーバから取り出したデータの管理です。これは純粋に社内の体制の問題です。 ご確認ください。

touchy
質問者

お礼

ありがとうございます。たくさんお答えいただいて感謝申し上げますm(_ _)m > 自社でサーバを運用し、ネットの外へ公開するサーバ、web サーバと、収集したデータを管理データベースは、 > ファイヤーウォール内側に設置し、アクセス出来るユーザを限定する等を検討 自社に置くのはセキュリティ体制的に無理ですので、サーバを購入してしかるべきデータセンターへ置くのが良いと思っております。 >> 質問[1] :データベースサーバをWebサーバと別にしていることはアピールになり得ますか? > ならないと思います。B to B ならまだしも、B to C だとしたら多くのは、SSL は??と言う感じではないでしょうか。 この質問ではSSLのことは尋ねておりませんが・・・・・。 Webサーバとデータベースサーバをそれぞれ購入し、これを二つともしかるべきデータセンターにて運用する体制だとしたら、 「弊社サイトのサーバはレンタルではありません。Webサーバとデータベースサーバは別にしておりますし、それぞれ購入して運用しております。」 ということをアピールしようと考えております。 大多数はレンタルサーバであり、Webサーバとデータベースサーバは同じサーバになっているので、それと比べたらどう考えてもセキュリティ環境が格段に違いますよね。 > プライバーマークなんて簡単に取得出来ますので、取得してください。 > 望ましいのは、該当する ISO 規格です。 ISO規格は何が該当するのか知りませんので調べてみます。 > また、レンタルサーバでは、ファイヤーウォール内に有るデータベースサーバを用意している所は無いのでは? そうですよね、私も同意見です。 ※1000文字以上でエラーになるので、続きは補足欄に投稿します。

touchy
質問者

補足

【お礼欄の続きです】 >> 質問[3] :XXS、CSRF、SQLインジェクション、バッファーオーバーフロー等の対処方法はどこに集積されている? > がサーバ管理になります。ですので、サーバ管理者に集積されます。 > レンタルサーバで有っても、種類によっては借りた側の責任になります。属に言う、root 権限のあるサーバ等は > 借りた側でセキュリティの対策を行います。吊るしのサーバの場合は、レンタルサーバ会社の仕事になります。 済みません、文面のつながりがよくわからないので繰り返し考えてみます。 > 具体的にレンタルサーバで運用するので有れば、信頼出来るレンタルサーバ会社を選択し、共有サーバは利用出来ない。 > システムとして取得した個人情報のデータは web からアクセス出来ない領域に保管出来る等のサーバを選択する。 済みません、ここもわからない文面のところがあるのですが、Webからアクセスできない領域に取得データを保管する、というのは当然だと思います。 データベースサーバへ保存してWebからアクセスできないようにしておくつもりです。 > 1、サーバの管理画面は管理者以外にアクセス出来ないように社内の体制を作ろ。 > 2、サーバから個人データを取得したら、サーバからデータを削除する。 > 3、ftp で接続出来る場合も、web データの有る領域にだけアクセス出来るようにする。サーバ会社の機能で出来るか要確認。 > 4、サーバとの通信全般も、SSL 化出来る事、サーバ会社の機能で出来るか要確認。 FTPの件、その通りですね。了解です。 サーバとの通信全般をSSL化というのは、送信フォームがある領域は全てSSLで通信させればよいという話ですね。了解しました。これはhttpsでURLを開くようにすれば良いと思います。 > 後は、サーバから取り出したデータの管理です。これは純粋に社内の体制の問題です。 社内にデータを保存するとなると、ISO規格の取得が必要になってきて困るところです・・・。商品発送時しかデータをダウンロードする必要性はなく、信頼できるデータベースサーバを選定した上で、データベースサーバにデータは保管したままで、管理画面から顧客・見込み客データの閲覧ができれば良いと思っていました。 データベースサーバにデータを残したままの方が、社内にダウンロードして社内サーバに保管するよりも返ってセキュアでないのかなと思っておりました。 とにもかくにもたくさんお答えいただきましてありがとうございますm(_ _)m

関連するQ&A