QA@IT

業務用Webアプリケーションのセキュリティについて

5044 PV

インターネットを介した、業務用途でのWebアプリケーションの構築に関して質問です。

自社の商品などをブラウザや専用アプリケーションからWeb上に登録し、
それを得意先に閲覧してもらい発注を受ける、というようなものを想定しています。

システムとしては、普通のレンタルサーバを借り、
そこにPHP+MySQLかなにかで作ったWebアプリ(というかWebページ?)を置くとします。

ここで質問です。
1.上記のような自社や特定企業のみがアクセスすること前提のシステムについて
  レンサバ+PHP+MySQLのようなインターネットに公開されるシステムで構築するというのは一般的な方法なのでしょうか?
  一般的でないとすれば、普通はどのようなシステムで開発するものなのでしょうか?

2.レンサバ+PHP+MySQLのようなシステムで作る場合、
  自社や特定企業の人間のみがアクセスできるようなアクセス制限の手法としては
  どのような方法があるのでしょうか?
  アプリの置かれたサーバへのアクセスは、ブラウザでなくとも
  自前のデスクトップアプリケーションでHTTP接続したりするのでも構いません。

以上よろしくお願いします。

  • 業務上の秘密、顧客情報を第三者が管理するサーバーに置くことの是非までは聞いてないですよね? (それが「一般的」かどうかをここで聞いても多分誰も答えられないし、その是非は質問者さんの「自社」の人しか判断できないと思いますので) -

回答

1. 一般的な構成か?

サーバ上に持つ情報の重要度や、公開範囲によって異なるので一概に良い・悪いは言えませんが、「得意先に閲覧してもらい発注を受ける」を検討すると特に違和感のない構成かと思います。
外部の人が見ないのであればotnさんも書かれているように社内ネットワークとVPNでつなげばよいのですが、得意先に手間を掛ける選択肢は取りづらいでしょう。

2. アクセス制限の方法は?

こちらも得意先の手間をできるだけ少なくすることを考えると、取りづらい手段もありますが、よく使われているアクセス制限は以下のようなものになります。

  • Webアプリ側でのユーザ名・パスワード認証(デスクトップアプリケーションの場合もこれに含まれます)
  • Basic認証を使用したユーザ名・パスワード認証
  • クライアント証明書を事前に配布しておくことにより、特定のPCしか接続できなくする
  • ワンタイムトークン(銀行などで使われていますが、これは他の認証手段と組み合わせて使用されます)
編集 履歴 (0)

「普通」は人によって違うと思いますが、
私の考える普通だと、VPNで自社と繋いで、一般のインターネットからはアクセス不可にするんでしょうね。
あとはディスクの暗号化を必要に応じて。

大企業・中堅企業でもAWS上に社内システムを置くのは(多数派でないにせよ)結構普通だと思います。

発注はメールフォームでメール送信するだけで、発注者情報含め発注関係の情報を一切サーバー上に持たないなら、ネットワーク的にインターネット公開して、パスワードで保護くらいでもいいかも。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。