個人情報を扱う病院サイトをEC2の2台で、セキュアに構築

病院やクリニックを10以上展開されている医療法人のコーポレートサイト構築事例をご紹介します。

クライアントの課題

従来は専用サーバーを利用していましたが、サーバーのスペックに陥るケースがあり、クラウドでの構築を希望されていました。また、一部の機能で個人情報を取り扱うためセキュリティも気にされていました。 CMSは独自システムでMySQLを利用します。

提案内容

次の内容を提案し構築しました。

  • クラウドインフラとして柔軟なスペック変更が可能なAWSを採用
  • 独自CMSを動作させる環境としてEC2を構築
  • 個人情報の取扱いがあることから、WebサーバーとDBサーバーを分離
  • データベースはRDSを採用予定でしたが、DBサーバーでバッチ処理やシステム導入の可能性があり、EC2へMySQLを構築

構成

導入の効果

クライアントははじめてのAWS利用でしたが、構築後は特にサイトダウンやトラブルもなく運営できています。今回、セキュリティを高めるためにセキュリティ製品を導入するまでの予算はありませんでしたが、WebサーバーとDBサーバーの分離により、一定のセキュリティを担保しました。また、適切なACL設定により不要なアクセスを遮断できました。

おわりに

個人情報の取り扱いを含むコーポレートサイトの構築事例をお伝えしました。セキュリティを高めようとするとWAFの導入やIPS/IDSの導入など多数できることはあります。コーポレートサイトのようにコストをかけずらいサーバーでは、予算との兼ね合いでどこまで行うかをしっかり擦り合わせることが重要です。

個人情報を扱うセキュリティを考慮したWebサイトで、コストを抑えたサーバー事例でした。