xserverで、PHP、MySQLを使用して、会員制サイトを作成します。
会員には、メールアドレス、氏名、電話番号、所属などの個人情報が必要になると思います。
前回会費を納めた日付なども含まれます。
こうしたものをクラウド上でシステム化した場合のセキュリティーの懸念とはどのように考えればよいでしょうか。
一般的な既存のシステムではどうやっていますでしょうか。
Xserverでの事例はありますでしょうか。
エックスサーバーに限った話ではありませんが、
以前、会員制サイトを作成する相談をプログラマーにしたら、
「作る事はできますが、セキュリティチェック会社への費用がかなりかかる」と言われた事があります。
個人情報流出の危険性を考えると、必要なコストだろうと思います。
「セキュリティチェック会社」で検索して調べてみてはいかがでしょうか。
[補足]
アクセスの多いサイトの生ログを見ると、毎日大量の攻撃が発生している事がわかります。
よく使われるファイル名、ありそうなファイル名でランダムにPOSTしてきて、運良く入れないか探っているようです。
ワードプレス目当てが一番多いですが、Laravelなどのphpフレームワークを想定しているファイル名も多いです。
海外IPだけではなく、日本IPからもそういう攻撃的なアクセスが見られるので、海外IPを制限したから大丈夫という訳でもなさそうです。
エックスサーバーの機能にWAFがあるので、これを使うことを検討してはどうでしょうか。
マニュアル:WAF設定
https://www.xserver.ne.jp/manual/man_server_waf.php
なお、各種機能を使って構築するのは自分の責任となります。
ご自分で構築することが懸念ということなら、lukecatさんのおっしゃるようにセキュリティチェック会社に外注するのも良いかと思います。
利用者が個人情報を入力してログインを行う必要のあるサイトの場合、エックスサーバー側の設定においては場合によって入力内容がキャッシュとして残り他ユーザーがアクセス出来てしまうという可能性もあるようなので、運用する際は当該設定を無効とする方が懸念はなくなるかと思います。
※構築内容にもよるので一概に問題が発生するということではないですが、下記それぞれのマニュアルにも注意事項として記載されているので、念の為この点は確認したほうがよいか思います。
■参考:サーバーキャッシュ設定
https://www.xserver.ne.jp/manual/man_server_cache.php
■参考:Xアクセラレータ(エックスアクセラレータ)
https://www.xserver.ne.jp/manual/man_server_xaccelerator.php
どのような内容の会員制サイトを想定されているのかがわかりかねるので、見当違いな回答になっておりましたら申し訳ありません。
サイトに保存(DBに格納)する項目について、本当に必要なのか?をあらかじめ評価することも検討することもお勧めします。
例えば、氏名、電話番号、所属について、本当に必要なのか、無ければどのような影響があるか?などの確認になります。
DBに格納する項目を減らすことでリスクを減らすアプローチになります。
会員制サイトだと、この辺りは必要になるイメージから検討するのではなく、それがないと会員に提供する特典やサービスにどのような影響が出るか?といった観点になります。
項目を削減することでの影響がごくわずか、影響は一定あるものの許容されるのであれば、そもそも登録させない(項目を設けない)考え方ですね。