ウイルス対策・不正アクセス対策の関連情報

コピー完了

記事TOP

DMZ(非武装地帯)とは?意味や仕組み・役割・構築するメリット・必要性

最終更新日:(記事の情報は現在から1505日前のものです)
DMZ(非武装地帯)とは、外部ネットワーク経由の攻撃から内部ネットワークを保護する緩衝地帯のことです。情報セキュリティ面で大きなメリットを持つDMZの概要、仕組みを解説しながらその必要性を紹介します。

DMZとは

DMZとは「DeMilitarized Zone」を略したものであり、非武装地帯を意味します。企業・組織が内部ネットワークに存在する機密情報を守りつつ、インターネットの外部ネットワークへアクセスを行う際、使用される緩衝地帯のことです。

DMZとは

DMZを設ける意味

インターネットに公開するサーバーは外部からのアクセスが可能なため、不正アクセスされる危険があります。

インターネットを通じたハッキングや悪意に満ちた攻撃から内部ネットワークの機密情報を守るため、企業はファイアウォールを設定しています。ファイアウォールの設定によって、信頼できない外部ネットワークからのアクセスを遮断できます。

しかし、この状態では内部ネットワークからインターネットへのアクセスができず、Webサイトの外部公開やメール管理もできません

そこで、ファイアウォールと外部ネットワーク間に、DMZセグメントという緩衝地帯を設けます。そのため「ファイアウォール」という城壁に守られた、内部ネットワークの外にある非武装地帯といわれています。

ファイアウォールについては以下の記事で詳しく解説しているので、ぜひご覧ください。

ファイアウォールとは?セキュリティ基礎知識・仕組み・種類を初心者向けに解説
セキュリティ対策機能のひとつであるファイアウォールとは何か?ファイアウォールの仕組みや種類、導入時の注意点、近年注...
詳細を見る

DMZの仕組み

DMZの仕組みは、簡単にいうと、外部ネットワークのアクセスを可能にしつつ、内部ネットワークへの被害をおさえる仕組みです。

外部とのアクセスを必要とする「Webサーバー」、「メールサーバー」、「DNSサーバー」などの公開サーバー、プロキシサーバーがDMZセグメントに置かれます。これにより、外部ネットワークとアクセスを行っています。

一方で、内部ネットワークへの接続はセキュリティ対策を施したうえで行われており、外部攻撃による被害拡散を防いでいるのです。

従来では、内部ネットワークと外部ネットワークの間にあるファイアウォールから、ネットワークセグメントを分岐させてDMZを設ける、という方法が一般的でした。

しかし最近では、「内部ネットワーク > ファイアウォール > DMZ > ファイアウォール > 外部ネットワーク」という手法が増えています。内部・外部ネットワーク間に2つのファイアウォールを設けてDMZセグメントを挟み込むことで、より強固なセキュリティを確保できます。

DNSサーバーやプロキシサーバーについては以下の記事で解説しているので、ぜひご覧ください。

DNSサーバーとは?仕組みやエラーのときの対処法【図解】
DNSサーバーとは、ドメインとIPアドレスをリンクさせるものです。読者の中にはDNSサーバーが応答しないためにサイ...
詳細を見る
プロキシサーバーとは?仕組みを図解 | Chrome・IE・Safariの設定方法
プロキシサーバーとは、コンピューターに代わってインターネットに接続しサイトへアクセスするサーバーを指します。プロキ...
詳細を見る

DMZと静的IPマスカレード/NAPTの違いとは?

近年ではWebサーバーの設置やPS4、任天堂Switchなどのオンラインゲームでインターネットに接続する際に「DMZ」や「静的IPマスカレード/NAPT」の利用が一般的になっています。

DMZと静的IPマスカレード/NAPTは、どちらも「サーバーをインターネットに公開する」という意味では同じです。しかし、設定方法やセキュリティに大きな差異があります。

DMZ 静的IPマスカレード/NAPT
概要 外部ネットワークと内部ネットワークの「中間」に位置するネットワーク 1つのグローバルIPアドレスを複数台のパソコンでインターネット接続する仕組み
公開ポート IPアドレス単位で転送。公開ポートが設定不要 IPアドレスとポート番号で転送。事前に公開ポートを指定する必要がある
セキュリティ 全通信がサーバーに辿り着けるものの内部ネットワークに強い 公開ポートだけをルーターを通るためセキュリティは高い
ルーターの設定 簡単 難しい

「DMZ」や「静的IPマスカレード」はルーターやファイアウォール専用機で設定可能です。

DMZのメリット

DMZを設けることによって、内部・外部ネットワークおよびDMZセグメントは、それぞれが隔離されたネットワークになります。これによって得られるメリットは次のとおりです。

  • 標的型攻撃に強い
  • 情報漏えいを防げる

それぞれのメリットについて詳しく説明していきます。

標的型攻撃に強い

広く外部公開を行う必要のある公開Webサーバーは、常に外部からの攻撃にさらされています。これが社内ネットワークと接続されていると、被害がほかのサーバーやPCを含む、広範囲におよぶ可能性が大きくなるのです。

それらを防ぐために、WebサーバーをDMZセグメントに置き、外部ネットワークからのアクセスを許可します。さらに、内部ネットワークへのアクセスを遮断することで、リモートハッキングなどの攻撃被害を最小限にし、耐性を強化できます。

標的型攻撃についてはこちらから。

標的型攻撃とは?仕組みや事例、対策 - もし被害にあったら?
近年のサイバー攻撃の中で、最も脅威とされているのが標的型攻撃です。標的型攻撃の定義や仕組み、事例、対策、攻撃を受け...
詳細を見る

情報漏えいを防げる

同様に、機密情報を扱うシステムなどをDMZセグメントに設置し、外部からも内部からもアクセスを遮断することも可能です。より強固に隔離・分離されたDMZネットワークセグメントが構成され、情報漏えいを防げます。

この手法は、外部からの攻撃に有効なだけでなく、マルウェアなどに感染したPCが内部ネットワークに接続された場合、悪意ある内部者が存在する場合にも効果があります。

情報漏えい対策については、以上の記事でも解説しているので参考にしてみてください。

情報漏えいの事例 - 原因から対策を考える | 個人情報が危ない
近年、急速に重要視されている個人情報の保護。そんな個人情報が漏えいする原因と対策、漏れてしまったらどうなるのか、実...
詳細を見る

DMZのデメリット

DMZはファイアウォールと組み合わせて構築することが基本となり、DMZセグメントを設けること自体にデメリットが存在するわけではありません。

しかし、内部からも外部からもファイアウォールで隔離されている、というDMZの存在に起因するデメリットは存在します。

  • 設定が煩雑になりやすい
  • 公開サーバーへの攻撃は防げない

上記の内容について詳しく説明します。

設定が煩雑になりやすい

ファイアウォールとDMZを組み合わせて構築されたネットワークの場合、内部ネットワーク・外部ネットワーク・DMZという、3つの隔離されたセグメントが存在することになります。

この場合、DMZセグメントに置かれたWebサーバーは、外部ネットワークと接続するポートを開ける一方、内部へのポートは遮断し、プロキシサーバーは両方のポートを開けておく必要があります。

このように、DMZセグメント内に存在するサーバーは、それぞれの用途によって設定を変更する必要があり、煩雑さが思わぬ人為的ミスを招く可能性は否定できません。

公開サーバーへの攻撃は防げない

信頼のできない外部ネットワークであるインターネットは、セキュリティ面では危険な領域ですが、DMZネットワークセグメントも安全とはいえません。

公開サーバー用にDMZセグメントを設ければ、ハッキングなどの攻撃から内部ネットワークへの被害を防げますが、公開サーバー自体は攻撃を完全に防ぐ術はなく、隣接する内部ネットワークが影響を受ける可能性もあります。

DMZの設定方法・構築するポイント

ファイアウォールとDMZの組み合わせは、内部ネットワークを標的型攻撃から保護する、情報漏えいを防ぐという効果がありますが、あらゆる攻撃に耐えうるシステムということでもありません。

より強固な保護システムとして機能させるには、いくつかのポイントを考慮したうえでシステム構築、設定を行う必要があります。

公開サーバーを攻撃から守るための対策を多重化する

Webサーバーを標的にしたハッキングには、Webアプリケーションやミドルウェアのぜい弱性を狙い、不正プログラムを大量に送り込む「バッファ・オーバーフロー攻撃」という手法が増加しています。

こういった攻撃を阻止するため、既知の攻撃パターンを登録して対比することで、不正アクセスを検出するIDS(侵入検知システム)や、Webシステムの保護に特化したWAF(Webアプリケーション・ファイアウォール)を、DMZと併用して適用するなど、多重化した対策を行う必要があります。

IDS・IPSとは?不正侵入検知・防御の仕組み | 違いやシステムを紹介
IDS・IPSは、不正な通信を検知・ブロックするためのシステムです。IDSとIPSの違い、WAFやファイアーウォー...
詳細を見る
WAFとは?仕組みとファイアウォール・IPS/IDSとの違い、種類
WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕...
詳細を見る

重要情報は公開サーバーと同じセグメントに置かない

公開サーバーがバッファ・オーバーフロー攻撃された場合、ファイアウォールではこれを防ぎきれないため、隣接する内部ネットワークにまで影響が及ぶ可能性があります。

上述したIDSを施すことによって、この影響を最小限にすることは可能ですが、隔離されたネットワークセグメントであるDMZ内のサーバーは大きな被害を受ける可能性が大きいといえるでしょう。

これを事前に防止するためには、外部ネットワークとアクセスを行う公開サーバーと同じセグメントに、重要情報のあるデータサーバーを置かないことが重要です。

DMZは必須の対策だが過信は禁物

DMZについて解説してきましたが、内容をまとめると次のようになります。

  • DMZ は公開したい社内サーバーのセキュリティ向上が見込めるが万能ではない
  • 社内にある非公開サーバーのセキュリティも高める
  • 影響を受けにくいような NW 構成にしておくことが大事

内部/外部ネットワークを隔離したうえで、外部とのアクセスを可能にするDMZは、ネットワーク構築の際に必須のものといえます。情報のデジタル化が進み、それをいかに活用していくかが問われる現代のビジネスにおいても重要な役割を担っています。

しかし、日々進化する攻撃パターンを前にして、対策を施しているから大丈夫、と過信するのは危険です。

情報を保護し、リスクを最小限にするため、DMZを含むあらゆる対策を施したうえで、情報収集を怠らない意識が必要だといえるでしょう。

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類のビジネステンプレートが自由に使える!

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査

ウイルス対策ソフト_20240402.pptx (2).pdf
ウイルス対策・不正アクセス対策
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
貴社のサービスを
BOXIL SaaSに掲載しませんか?
累計掲載実績1,200社超
BOXIL会員数200,000人超
※ 2024年3月時点
ウイルス対策・不正アクセス対策の最近更新された記事
セキュリティソフト33選を比較!ウイルス対策におすすめのサービス【企業向け】
スパイウェア対策の正しい方法とは?感染する前にソフト導入を!
産業用制御システム(ICS)のサイバーセキュリティとは?その現状と急務となる課題
スマホウイルス対策おすすめアプリ・ソフト | Android対応 - 無料あり
マルウェアとは?種類や症状、駆除・消去方法、ウイルスとの違い
Web改ざん検知とは?サービス7製品比較・種類・検知方法
情報漏えい対策ソフトを徹底比較!ツール・ポイント・システム
フィルタリングソフトとは?おすすめ9選 - 導入すべきセキュリティ問題の背景
無料で使えるおすすめのウイルス対策・不正アクセス対策ソフト5選!ソフトの特徴と選ぶ際のポイントを解説!
ワナクライ(WannaCry)とは?身代金要求ランサムウェア対策を解説・特徴・被害状況