コピー完了

記事TOP

DMZ(非武装地帯)とは | 意味と仕組み・構築するメリット・デメリット

最終更新日:
DMZ(非武装地帯)とは、外部ネットワーク経由の攻撃から内部ネットワークを保護する緩衝地帯です。情報セキュリティ面で大きなメリットを持つDMZの概要、仕組みを解説し、デメリット面も考察しながらその必要性を紹介します。

DMZとは

DMZとは「DeMilitarized Zone」を略したものであり、非武装地帯を意味します。

企業・組織が内部ネットワークに存在する機密情報を守りつつ、インターネットなどの外部ネットワークへアクセスを行う際、使用される緩衝地帯のことです。

近年ではWebサーバーの設置やPS4、任天堂Switchなどのオンラインゲームでインターネットに接続する際に「DMZ」や「静的IPマスカレード/NAPT」の利用が一般的になっています。

「DMZ」や「静的IPマスカレード」はルーターやファイアウォール専用機で設定可能です。

DMZを設ける意味

インターネットに公開するサーバーは外部からのアクセスが可能なため、不正アクセスされる危険があります。

近年では、インターネットを通じたハッキングなど、悪意に満ちた攻撃から内部ネットワークの機密情報を守るため、企業はファイアウォールを設定して信頼できない外部ネットワークからのアクセスを遮断しています。

しかし、この状態では内部ネットワークからインターネットへのアクセスができず、Webサイトの外部公開やメール管理もできません

このため、ファイアウォールと外部ネットワーク間に、DMZセグメントという緩衝地帯を設けており「ファイアウォール」という城壁に守られた、内部ネットワークの外にある非武装地帯なのです。

ファイアウォールについては以下の記事で詳しく解説しています。ぜひご覧ください。

DMZの仕組み

外部とのアクセスを必要とする「Webサーバー」、「メールサーバー」、「DNSサーバー」などの公開サーバー、プロキシサーバーがDMZセグメントに置かれ、外部ネットワークとアクセスを行っています。

その一方で、内部ネットワークへの接続はセキュリティ対策を施したうえで行われており、外部攻撃による被害拡散を防いでいます。

簡単にまとめると、外部ネットワークのアクセスを可能にしつつ、内部ネットワークへの被害をおさえるのがDMZです。

従来では、内部ネットワークと外部ネットワークの間にあるファイアウォールから、ネットワークセグメントを分岐させてDMZを設ける、という方法が一般的でした。

しかし、より強固なセキュリティ確保のため、内部・外部ネットワーク間に2つのファイアウォールを設けてDMZセグメントを挟み込む「内部ネットワーク > ファイアウォール > DMZ > ファイアウォール > 外部ネットワーク」という手法が増えてきており、コストは増加しますが最近の主流となっています。

DNSサーバーやプロキシサーバーについては以下の記事で解説しています。

DMZのメリット

DMZを設けることによって、内部・外部ネットワークおよびDMZセグメントは、それぞれが隔離されたネットワークになります。これによって得られるメリットは次のとおりです。
- 標的型攻撃に強い
- 情報漏えいを防げる

それぞれのメリットについて詳しく説明していきます。

標的型攻撃に強い

広く外部公開を行う必要のある公開Webサーバーなどは、常に外部からの攻撃にさらされており、これが社内ネットワークと接続されていると、被害がほかのサーバーやPCを含む、広範囲におよぶ可能性が大きくなります。

これを防ぐためWebサーバーをDMZセグメントに置き、外部ネットワークからのアクセスを許可する一方、内部ネットワークへのアクセスを遮断することにより、リモートハッキングなどの攻撃被害を最小限にし、耐性を強化できます。

標的型攻撃についてはこちらから。

情報漏えいを防げる

同様に、機密情報を扱うシステムなどをDMZセグメントに設置し、外部からも内部からもアクセスを遮断することによって、より強固に隔離・分離されたDMZネットワークセグメントが構成され、情報漏えい防止に有効です。

この手法は、外部からの攻撃に有効なだけでなく、マルウェアなどに感染したPCが内部ネットワークに接続された場合、悪意ある内部者が存在する場合などにも効果があります。

情報漏えい対策については、以上の記事でも解説しているので参考にしてみてください。

DMZのデメリット

DMZはファイアウォールと組み合わせて構築することが基本となり、DMZセグメントを設けること自体にデメリットが存在するわけではありません。

しかし、内部からも外部からもファイアウォールで隔離されている、というDMZの存在に起因するデメリットは存在します。

  • 設定が煩雑になりやすい
  • 公開サーバーへの攻撃は防げない

上記の内容について詳しく説明します。

設定が煩雑になりやすい

ファイアウォールとDMZを組み合わせて構築されたネットワークの場合、内部ネットワーク・外部ネットワーク・DMZという、3つの隔離されたセグメントが存在することになります。

この場合、DMZセグメントに置かれたWebサーバーは、外部ネットワークと接続するポートを開ける一方、内部へのポートは遮断し、プロキシサーバーは両方のポートを開けておく必要があります。

このように、DMZセグメント内に存在するサーバーは、それぞれの用途によって設定を変更する必要があり、煩雑さが思わぬ人為的ミスを招く可能性は否定できません。

公開サーバーへの攻撃は防げない

信頼のできない外部ネットワークであるインターネットは、セキュリティ面では危険な領域ですが、DMZネットワークセグメントも安全とはいえません。

公開サーバー用にDMZセグメントを設ければ、ハッキングなどの攻撃から内部ネットワークへの被害を防げますが、公開サーバー自体は攻撃を完全に防ぐ術はなく、隣接する内部ネットワークが、その影響を受ける可能性もあります。

DMZの設定方法・構築するポイント

 DMZ

ファイアウォールとDMZの組み合わせは、内部ネットワークを標的型攻撃から保護する、情報漏えいを防ぐという効果がありますが、あらゆる攻撃に耐えうるシステムということでもありません。

より強固な保護システムとして機能させるには、いくつかのポイントを考慮したうえでシステム構築、設定を行う必要があります。

公開サーバーを攻撃から守るための対策を多重化する

Webサーバーを標的にしたハッキングには、Webアプリケーションやミドルウェアのぜい弱性を狙い、不正プログラムを大量に送り込む「バッファ・オーバーフロー攻撃」という手法が増加しています。

こういった攻撃を阻止するため、既知の攻撃パターンを登録して対比することで、不正アクセスを検出するIDS(侵入検知システム)や、Webシステムの保護に特化したWAF(Webアプリケーション・ファイアウォール)を、DMZと併用して適用するなど、多重化した対策を行う必要があります。

重要情報は公開サーバーと同じセグメントに置かない

公開サーバーがバッファ・オーバーフロー攻撃された場合、ファイアウォールではこれを防ぎきれないため、隣接する内部ネットワークにまで影響が及ぶ可能性があります。

上述したIDSを施すことによって、この影響を最小限にすることは可能ですが、隔離されたネットワークセグメントであるDMZ内のサーバーは大きな被害を受ける可能性が大きいといえるでしょう。

これを事前に防止するためには、外部ネットワークとアクセスを行う公開サーバーと同じセグメントに、重要情報のあるデータサーバーなどを置かないことが重要です。

DMZは必須の対策だが過信は禁物

DMZについて解説してきましたが、内容をまとめると次のようになります。

  • DMZ は公開したい社内サーバーのセキュリティ向上が見込めるが万能ではない
  • 社内にある非公開サーバのセキュリティも高める
  • 影響を受けにくいような NW 構成にしておくことが大事

情報のデジタル化が進み、それをいかに活用していくかが問われる現代のビジネスにおいて、内部/外部ネットワークを隔離したうえで、外部とのアクセスを可能にするDMZは、ネットワーク構築の際に必須のものといえます。

しかし、日々進化する攻撃パターンを前にして、対策を施しているから大丈夫、と過信するのは危険です。

情報を保護し、リスクを最小限にするため、DMZを含むあらゆる対策を施したうえで、情報収集を怠らない意識が必要だといえるでしょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

ウイルス対策・不正アクセス対策
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
ウイルス対策・不正アクセス対策の最近更新された記事
[PR]急務! LanScopeシリーズでテレワーク環境におけるサイバーセキュリティと業務生産性の両立を実現
ノートン製品が見つからないときの対処法 | Windows 10アップグレード後の不具合
コンピューターウイルスに感染時の症状とは | PC・ブラウザ上でのトラブル
ルートキットの種類とは | 感染経路・特徴・対策は?
マルウェアの駆除方法とは | 専用ソフトで感染をスマートに対処しよう
コンピューターウイルスの感染経路とは?注意すべきポイントまで徹底解説
マルウェア対策を徹底解説!スマートフォン・対策ソフトなど
タブレット対応ウイルス対策セキュリティソフト「AntiVirus Free」12の機能を無料で使い倒す方法
WordPress改ざんチェック | 被害・方法 - あなたのサイトは大丈夫?
コンピューターウイルスとは | 種類・対策・感染経路 - 感染したらどうなる?