コピー完了

記事TOP

DMZ(非武装地帯)とは | 意味や仕組み・役割・構築するメリット・必要性

最終更新日:
記事の情報は最終更新日時点のものです。
DMZ(非武装地帯)とは、外部ネットワーク経由の攻撃から内部ネットワークを保護する緩衝地帯のことです。情報セキュリティ面で大きなメリットを持つDMZの概要、仕組みを解説しながらその必要性を紹介します。

DMZとは

DMZとは「DeMilitarized Zone」を略したものであり、非武装地帯を意味します。企業・組織が内部ネットワークに存在する機密情報を守りつつ、インターネットの外部ネットワークへアクセスを行う際、使用される緩衝地帯のことです。

DMZとは

DMZを設ける意味

インターネットに公開するサーバーは外部からのアクセスが可能なため、不正アクセスされる危険があります。

インターネットを通じたハッキングや悪意に満ちた攻撃から内部ネットワークの機密情報を守るため、企業はファイアウォールを設定しています。ファイアウォールの設定によって、信頼できない外部ネットワークからのアクセスを遮断できます。

しかし、この状態では内部ネットワークからインターネットへのアクセスができず、Webサイトの外部公開やメール管理もできません

そこで、ファイアウォールと外部ネットワーク間に、DMZセグメントという緩衝地帯を設けます。そのため「ファイアウォール」という城壁に守られた、内部ネットワークの外にある非武装地帯といわれています。

ファイアウォールについては以下の記事で詳しく解説しているので、ぜひご覧ください。

DMZの仕組み

DMZの仕組みは、簡単にいうと、外部ネットワークのアクセスを可能にしつつ、内部ネットワークへの被害をおさえる仕組みです。

外部とのアクセスを必要とする「Webサーバー」、「メールサーバー」、「DNSサーバー」などの公開サーバー、プロキシサーバーがDMZセグメントに置かれます。これにより、外部ネットワークとアクセスを行っています。

一方で、内部ネットワークへの接続はセキュリティ対策を施したうえで行われており、外部攻撃による被害拡散を防いでいるのです。

従来では、内部ネットワークと外部ネットワークの間にあるファイアウォールから、ネットワークセグメントを分岐させてDMZを設ける、という方法が一般的でした。

しかし最近では、「内部ネットワーク > ファイアウォール > DMZ > ファイアウォール > 外部ネットワーク」という手法が増えています。内部・外部ネットワーク間に2つのファイアウォールを設けてDMZセグメントを挟み込むことで、より強固なセキュリティを確保できます。

DNSサーバーやプロキシサーバーについては以下の記事で解説しているので、ぜひご覧ください。

DMZと静的IPマスカレード/NAPTの違いとは?

近年ではWebサーバーの設置やPS4、任天堂Switchなどのオンラインゲームでインターネットに接続する際に「DMZ」や「静的IPマスカレード/NAPT」の利用が一般的になっています。

DMZと静的IPマスカレード/NAPTは、どちらも「サーバーをインターネットに公開する」という意味では同じです。しかし、設定方法やセキュリティに大きな差異があります。

DMZ 静的IPマスカレード/NAPT
概要 外部ネットワークと内部ネットワークの「中間」に位置するネットワーク 1つのグローバルIPアドレスを複数台のパソコンでインターネット接続する仕組み
公開ポート IPアドレス単位で転送。公開ポートが設定不要 IPアドレスとポート番号で転送。事前に公開ポートを指定する必要がある
セキュリティ 全通信がサーバーに辿り着けるものの内部ネットワークに強い 公開ポートだけをルーターを通るためセキュリティは高い
ルーターの設定 簡単 難しい

「DMZ」や「静的IPマスカレード」はルーターやファイアウォール専用機で設定可能です。

DMZのメリット

DMZを設けることによって、内部・外部ネットワークおよびDMZセグメントは、それぞれが隔離されたネットワークになります。これによって得られるメリットは次のとおりです。

  • 標的型攻撃に強い
  • 情報漏えいを防げる

それぞれのメリットについて詳しく説明していきます。

標的型攻撃に強い

広く外部公開を行う必要のある公開Webサーバーは、常に外部からの攻撃にさらされています。これが社内ネットワークと接続されていると、被害がほかのサーバーやPCを含む、広範囲におよぶ可能性が大きくなるのです。

それらを防ぐために、WebサーバーをDMZセグメントに置き、外部ネットワークからのアクセスを許可します。さらに、内部ネットワークへのアクセスを遮断することで、リモートハッキングなどの攻撃被害を最小限にし、耐性を強化できます。

標的型攻撃についてはこちらから。

情報漏えいを防げる

同様に、機密情報を扱うシステムなどをDMZセグメントに設置し、外部からも内部からもアクセスを遮断することも可能です。より強固に隔離・分離されたDMZネットワークセグメントが構成され、情報漏えいを防げます。

この手法は、外部からの攻撃に有効なだけでなく、マルウェアなどに感染したPCが内部ネットワークに接続された場合、悪意ある内部者が存在する場合にも効果があります。

情報漏えい対策については、以上の記事でも解説しているので参考にしてみてください。

DMZのデメリット

DMZはファイアウォールと組み合わせて構築することが基本となり、DMZセグメントを設けること自体にデメリットが存在するわけではありません。

しかし、内部からも外部からもファイアウォールで隔離されている、というDMZの存在に起因するデメリットは存在します。

  • 設定が煩雑になりやすい
  • 公開サーバーへの攻撃は防げない

上記の内容について詳しく説明します。

設定が煩雑になりやすい

ファイアウォールとDMZを組み合わせて構築されたネットワークの場合、内部ネットワーク・外部ネットワーク・DMZという、3つの隔離されたセグメントが存在することになります。

この場合、DMZセグメントに置かれたWebサーバーは、外部ネットワークと接続するポートを開ける一方、内部へのポートは遮断し、プロキシサーバーは両方のポートを開けておく必要があります。

このように、DMZセグメント内に存在するサーバーは、それぞれの用途によって設定を変更する必要があり、煩雑さが思わぬ人為的ミスを招く可能性は否定できません。

公開サーバーへの攻撃は防げない

信頼のできない外部ネットワークであるインターネットは、セキュリティ面では危険な領域ですが、DMZネットワークセグメントも安全とはいえません。

公開サーバー用にDMZセグメントを設ければ、ハッキングなどの攻撃から内部ネットワークへの被害を防げますが、公開サーバー自体は攻撃を完全に防ぐ術はなく、隣接する内部ネットワークが影響を受ける可能性もあります。

DMZの設定方法・構築するポイント

ファイアウォールとDMZの組み合わせは、内部ネットワークを標的型攻撃から保護する、情報漏えいを防ぐという効果がありますが、あらゆる攻撃に耐えうるシステムということでもありません。

より強固な保護システムとして機能させるには、いくつかのポイントを考慮したうえでシステム構築、設定を行う必要があります。

公開サーバーを攻撃から守るための対策を多重化する

Webサーバーを標的にしたハッキングには、Webアプリケーションやミドルウェアのぜい弱性を狙い、不正プログラムを大量に送り込む「バッファ・オーバーフロー攻撃」という手法が増加しています。

こういった攻撃を阻止するため、既知の攻撃パターンを登録して対比することで、不正アクセスを検出するIDS(侵入検知システム)や、Webシステムの保護に特化したWAF(Webアプリケーション・ファイアウォール)を、DMZと併用して適用するなど、多重化した対策を行う必要があります。

重要情報は公開サーバーと同じセグメントに置かない

公開サーバーがバッファ・オーバーフロー攻撃された場合、ファイアウォールではこれを防ぎきれないため、隣接する内部ネットワークにまで影響が及ぶ可能性があります。

上述したIDSを施すことによって、この影響を最小限にすることは可能ですが、隔離されたネットワークセグメントであるDMZ内のサーバーは大きな被害を受ける可能性が大きいといえるでしょう。

これを事前に防止するためには、外部ネットワークとアクセスを行う公開サーバーと同じセグメントに、重要情報のあるデータサーバーを置かないことが重要です。

DMZは必須の対策だが過信は禁物

DMZについて解説してきましたが、内容をまとめると次のようになります。

  • DMZ は公開したい社内サーバーのセキュリティ向上が見込めるが万能ではない
  • 社内にある非公開サーバーのセキュリティも高める
  • 影響を受けにくいような NW 構成にしておくことが大事

内部/外部ネットワークを隔離したうえで、外部とのアクセスを可能にするDMZは、ネットワーク構築の際に必須のものといえます。情報のデジタル化が進み、それをいかに活用していくかが問われる現代のビジネスにおいても重要な役割を担っています。

しかし、日々進化する攻撃パターンを前にして、対策を施しているから大丈夫、と過信するのは危険です。

情報を保護し、リスクを最小限にするため、DMZを含むあらゆる対策を施したうえで、情報収集を怠らない意識が必要だといえるでしょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。

ウイルス対策・不正アクセス対策
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
掲載社数3,000
月間発生リード数30,000件以上
ウイルス対策・不正アクセス対策の最近更新された記事
セキュリティソフト35選を比較 | ウイルス対策におすすめのサービス【企業向け】
スマホウイルス対策おすすめアプリ・ソフト | Android対応 - 無料あり
[PR]急務! LanScopeシリーズでテレワーク環境におけるサイバーセキュリティと業務生産性の両立を実現
ノートン製品が見つからないときの対処法 | Windows 10アップグレード後の不具合
コンピューターウイルスに感染時の症状とは | PC・ブラウザ上でのトラブル
ルートキットの種類とは | 感染経路・特徴・対策は?
マルウェアの駆除方法とは | 専用ソフトで感染をスマートに対処しよう
コンピューターウイルスの感染経路とは?注意すべきポイントまで徹底解説
マルウェア対策を徹底解説!スマートフォン・対策ソフトなど
タブレット対応ウイルス対策セキュリティソフト「AntiVirus Free」12の機能を無料で使い倒す方法
ウイルス対策・不正アクセス対策のサービスに興味がありますか?
CLOSE
Kaspersky
Endpoint Protection for SMB
G DATA  Internet Security
FFRI yarai
Symantec Email Security.cloud
LB アクセスログ2
Kaspersky: 企業情報未登録、Endpoint Protection for SMB: 企業情報未登録、G DATA Internet Security: 企業情報未登録、FFRI yarai: 企業情報未登録、Symantec Email Security.cloud: 株式会社IDCフロンティア、LB アクセスログ2: 株式会社ライフボート、LB USBロック Plus: 株式会社ライフボート、i-FILTER×m-FILTER: デジタルアーツ株式会社、DigitalArts@Cloud: デジタルアーツ株式会社、SaniTOX: 株式会社ブリッジーズ、Capy: 株式会社サムライズ、LBアクセスログ2 Pro: 株式会社ライフボート、AppGuard: 大興電子通信株式会社、DIT Security: デジタル・インフォメーション・テクノロジー株式会社、LB USBロック Pro: 株式会社ライフボート、LBパソコンロック4 Pro: 株式会社ライフボート、SentinelOne: 株式会社TTM、FortiClient EMS: 株式会社TTM、Deep Security® IT Protection Service: 株式会社シーイーシー、EISS: 株式会社セキュアイノベーション、フィッシング・BEC訓練: 株式会社システナ、AzureAD活用セキュアテレワーク導入支援: 株式会社システナ