これはもはやネットワークの問題のような気がしますので、他で質問された方がいい気もします。
私がとりあえず思いつく方法は以下の通りですが、ネットワーク専門ではないのでアイデアだけですが・・・
まず、固定ipの利用が可能なVPSなどで、squidを使ってproxyサーバーを作ります。
社内からは80番及び443番ポートへのアクセスはこのプロキシ経由でアクセスするようにするのですが、ルーターでそのように設定することが望ましいですが、各PCでもそのように設定可能です。
グループウェアのWebサーバーは.htaccessなどでproxyサーバーからのipアドレスでアクセスを絞れるようにします。
このままではproxyサーバーは踏み台にされ放題なので、proxyで転送するアクセス元を会社が契約しているISPの(逆引き可能な)ドメインで制限したり、認証をかけたりします。
この方法のデメリットは社員に技術があれば自分のPCにPROXYサーバーを設定すればグループウェアを見ることができる可能性がゼロではないことです。
また、新しくサーバーを立てる費用と手間がかかりますが、PROXYサーバーとグループウェアを一台のVPSで済ます事もできます。
あと、高性能ではないproxyサーバーですと、Webアクセスが全般に遅くなる可能性があります。
・・・・・・と、すごい長い思いつきを書いたのですが、こんな事をするぐらいなら、社内LAN内にグループウェアのサーバー立てた方が早いですね・・・すいません。
データセンターなどに置きたいということと、ロリポップにグループウェアを置くことが矛盾するようにも見えますが、どうなんでしょうか。
munyaguさん、お早い回答ありがとうございます。
私も社内サーバーを構築してやれるようにすることが一番の解決策だと思っています。
現状のサイボウズOffice9は、社内に置いたラックマウントサーバーで運用されているので、安全ではあるものの、費用削減できないものかと考えた経緯があります。(多分、年12万円コースかと)
現状はプレゼンするためにロリポで試験的に試していますが、VPSなども考えたりもしています。
なにより、サイボウズにかかる費用考えれば、社内に自前パソコンを持って行って試してもらったほうが早く話が纏まりそうでもあります。
.htaccessとか、ちょっと詳しい人でないとできないような操作が増えるよりは、プラグインなどで設定できる方法はないものかと思っているだけなので、よしなにお願い致します。
思い付くのは会員制サイト方式ですね。
ログインしないと閲覧できないようにしてしまうのが手っ取りでしょうね。
ユーザー情報の管理に疎い方々の為に一枚あたり3000円程度の費用が発生しますが、FIDO U2F準拠のハードウェアキーを併用してはどうでしょうか。
それでもセキュリティが…
って話になれば、やはり社内LAN内にサーバー立てるしかないと思います。
npsslさん、ありがとうございます。
既に登録メンバー以外のアクセスは拒否設定にしてはいます。
ただ、会社の人達はパスワードに対する意識が低く、忘れにくいパスワードにしていることも多いので、最悪、対象社員が退社してもおなし設定でも、外部からのアクセスを阻止できれば、安心して利用できるかなという思いがあります。
クラウド化したい理由には、やっぱりハードウェア的なトラブルに、社員では対応が難しく、ハウジングサービスやVPSの活用を目指したいのです。
ご紹介いただいた「FIDO U2F準拠のハードウェアキー」も十分検討する余地があるかなぁと思っています。初期投資として、今いる社員分揃えると30万近くになりますが、ランニングコスト考えれば、サイボウズを社内運用するよりは経費削減にはなると思います。
素晴らしいアイディアありがとうございました。
あと思いつくものとしてクライアント証明書による認証を用いることも可能かもしれません。
正規に証明書を発行されたユーザーしか利用できなくなりますし、脱退時にはそれを失効させることが出来ます。個人証明書をインストールする際のための自動発行パスワードくらいに強固なパスワードを利用するだけでも流出等のリスクは激減するはずです。(アクセスできないはずなので)
なお、この応用でスマートカードを既に利用していたりしたらそれを使えたりもしますが…それは別の話ですかね。
