DMZ

導入

DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。


ネットワーク・セキュリティの世界では「DMZ」と呼ばれる特別なネットワーク領域が作られることがあります。これは、ネットワークに接続する大切な情報や端末を守るために設けられる「緩衝領域」の役割を果たします。DMZはどのように構築でき、どんな機能を持つのか、またどんな使われ方をするのか。DMZの基本的な仕組みをやさしく解説していきます。


非武装地帯(ひぶそうちたい、DMZ、DeMilitarized Zone)とは、コンピュータネットワークにおいて、外部ネットワークと内部ネットワークの中間に設けられるネットワークのことである[1]。それぞれのネットワーク間の通信を適宜制限しつつ、DMZには、メールサーバウェブサーバDNSコンテンツサーバProxyサーバなど、インターネット等の外部ネットワークと接続する必要があるサーバ等を接続することにより、内部ネットワーク(プライベートネットワーク)のセキュリティを保護しつつ、外部と接続することを目的とする。

軍事用語の「非武装地帯」から転用された用語であり、バリアセグメントなどとも呼ばれる。英語では、Data Management Zone, Demarcation Zone または Perimeter Network とも呼ぶ。


「DMZ」と言う用語を聞いたことがあるでしょうか?「DMZとは」をキーワードにネットサーフィンすると「非武装地帯 (DMZ)(ひぶそうちたい、DeMilitarized Zone)は、元来は軍事用語で、紛争地域の軍事境界線地域に取り決めた軍事活動を禁じられた地域のことを指します。それでは軍事用語がICT用語と関係があるのでしょうか?本記事で分かりやすく解説します。

「非武装地帯(DMZ)」の単語がICT用語にも使用される理由は、企業・団体・その他組織が有する内部のネットワーク環境(イントラネット環境)と外部のインターネット環境を接続するための中間ポイントとなる場所を「非武装地帯(DMZ)」としたようです。軍事用語の「非武装地帯(DMZ)」は両社が自由に往来できる地域と同様に、内部ネットワーク環境(イントラネット環境)と外部インターネット環境との接続を容易にする地点を示しています。「非武装地帯(DMZ)」からICT用語に流用されていますが、機密情報・機密保護・防火壁・防衛などの「セキュリティー」関連用語ではありません。ネットワーク構成一般に通用する用語になっています。

企業・団体・その他組織が有するプライベートのネットワーク環境(イントラネット環境)と外部インターネット環境を、論理的に接続しながら、隔離して内側の安全性を高位に保ちます。さらに、公開Webサーバーなどと外側からのアクセスと内側からの管理の利便性を両立させるなどの目的で、双方の中間ポイントに「非武装地帯(DMZ)」として設けられるネットワーク領域のことを示しています。「DMZ」は企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境)の一部を分離して外部から「ファイアウォール」を介して接続可能な状態にしたものです。

外部からのアクセスを可能とする必要がある「Webサーバー」「DNSサーバー(DNS(Domain Name System:ドメインネームシステム)は、インターネットなどのIPネットワーク上でドメイン名(ホスト名)とIPアドレスの対応関係を管理するシステムです。)、メールサーバーなどを運用するために設定されることが多いようです。「DMZ」よりも内側のネットワーク(企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境))へは、外部インターネット環境からの接続することは出来ない仕組みになっています。

また、内部ネットワーク(企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境))のうち「ファイアウォール」で保護されずに、無防備な状態で外部インターネット環境に接続されている領域を「バリアセグメント」と言います。外部インターネット環境からの通信回線を直接接続するルーターやスイッチングハブなどを設置しますが、公開サーバーなどを設置するケースがあります。









とは

DMZ(DeMilitarized Zone)とは、インターネットなどの信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれる、ネットワーク領域のことだ。直訳して「非武装地帯」とも呼ばれる。

 インターネットに公開するWebサーバなどは、外部からのアクセスを許可しているため攻撃されやすく、常に不正アクセスの危険をはらんでいる。このようなサーバと同じネットワーク内に顧客情報のような非公開の情報資産を置いておくことは大変危険である。

 重要な情報資産を参照しながら外部に向けてサービスを展開しなければならない場合には、インターネットと内部ネットワークをファイアウォールによって分離し、さらにその中間に確保した「外部との通信を直接行うコンピュータを設置するネットワーク領域」(DMZ)を、緩衝領域として設けることが一般的である。

 DMZを含むネットワークを構成する場合、一般的には、ファイアウォールによって「インターネット→DMZ」「内部ネットワーク→DMZ」「DMZ→インターネット」の通信は許可されているが、「DMZ→内部ネットワーク」の通信は制限される。「内部ネットワーク→インターネット」の通信は、以前は直接通信させることもあったが、最近はDMZにProxyサーバを設置し、内部ネットワークに設置されたコンピュータをインターネットと直接通信させないような構成を採用することが多い。


DMZとは「DeMilitarized Zone」の略で、日本語では「非武装地帯」と直訳されます。もともとは軍事・政治的な用語から転用されたもので、その名の通り「武装しない領域」を意味しており、「武器を持って立ち入らない。軍事的な活動を許さない領域」のことを指しています。

 ネットワーク用語と軍事用語のDMZ、どちらにも共通しているのは「危険なエリア」と「安全なエリア」の中間である「緩衝地帯」として機能するということです。危険な地域のすぐそばに大切なものを置いておくのは危ないので、何かトラブルが起きても大丈夫なように緩衝地帯を設けて、そこには大切なものは置かないようにするのです。

 コンピュータ・ネットワークの世界における「危険なエリア」とは、インターネットのような安全性が確認できない「外部ネットワーク」などを指します。インターネット上には悪意ある攻撃者などが存在しており、ネット上に開放しているWebサーバやメールサーバはいつ攻撃されてもおかしくない状態です。外部に開かれているサーバを、機密情報等を含む内部ネットワークと同じ場所に置いてしまうと、サーバが攻撃を受けた際に内部ネットワークにも侵入されるリスクがあります。

 そこで、DMZという隔離された領域を設けて、外部ネットワークからアクセスを受ける領域を内部ネットワークから切り離します。

 より身近な例でいえば、「家の玄関ドアから門扉までの庭などの空間」や「共用玄関のあるマンションのエントランスホール」の方が感覚的には近いかも知れません。そこは自分たちの敷地内でありながら、外部の人間も内部の人間も入りやすい場所です。しかも、大切なものがあまり置かれていないので泥棒が入っても被害が少なく、不審者がいれば警戒できる場所でもあります。

 DMZはこうした空間と同じ役割を持っています。緩衝地帯があることで、大切なものを安全な場所に隔離でき、外から来た人と気軽に交流もできるということです。


DMZの特徴は、内部ネットワークと外部ネットワークからDMZに接続することは許容しながらも、DMZからは外部ネットワークだけに接続を許容している点にある。すなわち、DMZ内のホストからは、内部ネットワークに接続することができない。DMZは、侵入者がDMZのホストに侵入した場合にも、内部ネットワークを保護しながら、DMZのホストが外部ネットワークに対してサービスを供給することを可能にする。その一方で、その侵入者による外部ネットワークから内部ネットワークへの接続の試みに対し、DMZは侵入者にとっての袋小路として機能する。


DMZとは、DeMilitarized Zoneの略で、直訳すると「非武装地帯」で、インタネットなどの外部ネットワークと社内ネットワークの中間につくられるネットワーク上のセグメント(区域)のこと。

外部ネットワークからも内部ネットワークからもファイアウォールなどによって隔離されている。この隔離されたDMZ内にサーバを設置するなどによってセキュリティ強化を図れる。

外部に公開することが前提となるWebサーバは、常にリスクに晒されている。もし、Webサーバーを社内ネットワークに置くと万が一乗っ取られたり(リモートハッキング)、悪意のあるマルウェアなどを組み込まれたりした場合、社内ネットワークに接続されているその他のサーバやパソコンがすべて被害を受ける可能性がある。

DMZ内に公開用のWebサーバを設置して、社内ネットワークと隔離することで、不正侵入された後のマルウェアの感染拡大を防ぐことができたり、業務システムなどへの侵入による機密情報の漏洩を防止することが可能になる。

このようなネットワークの分離は、増加している標的型攻撃(APT)対策やマイナンバー保護などにも有効として、総務省IPA(独立行政法人情報処理推進機構)も推奨している。機密情報を扱うシステムやマイナンバーを取り扱う業務用端末(PC)などをインターネットや一般の社内ネットワークから分離、隔離することで、社員のPCがマルウエア感染しても、隔離されているサーバや業務端末を感染拡大から守り、機密情報の漏洩を防ぐことができる。

DMZの構成には、2台のファイアウォールを設置して、
インターネットファイアウォール(FW)-DMZ - FW - 社内ネットワーク
とする方法がセキュリティ強度が高くなるが、ファイアウォール1台だけで構成する方法もある。

ネットワークセキュリティを強化していくためには、ファイアウォールを利用したDMZにIDSIPSWAFなどを組み合わせて総合的な対策をする必要がある


DMZ とは De-Militarized Zone (非武装地帯) の略で、IT 用語の解釈では『社内のサーバをインターネットからアクセスさせたいけど、社内の他のサーバとは分離したいときに使う NW 構成』のことです。

公開サーバとして一般的なのは Web サーバ、DNS サーバ、メールサーバです。

DMZ の具体的な構成例としては以下の 2 パターンが有名です。FW 1 台で DMZ 専用インタフェースを設けるパターンと、FW 2 台で挟み込むパターンです。

どちらも同じことができますが FW 1 台構成のほうがより一般的です。FW 2 台構成は例えばデータセンタなど WAN を挟むときに使われることがあります。


「DMZ」とは何か?紹介します。「DMZ」はDeMilitarized Zoneの略称で、直訳すると「非武装地帯」です。ICT業界の用語として使用されていますが、企業・団体・その他組織が有する内部ネットワーク環境(イントラネット環境)と外部インターネット環境の中間域に設定するネットワーク上の区域(セグメント)を示しています。外部インターネット環境からも内部ネットワーク環境(インターネット環境)からも「ファイアウォール」によって隔離されています。

この隔離された「DMZ」セグメント内にセキュリティー機能を有したサーバーを設置する・「ファイアウォール専用機」を設置する等でセキュリティー強化を図ることができます。また「DMZ」セグメント内に外部公開向けのサーバー機を設置して、社内ネットワーク環境(イントラネット環境)と隔離することで、内部ネットワーク環境(イントラネット環境)への不正アクセス・サイバー攻撃を防御して、コンピューター・ウイルスなどの感染拡大を防ぐことができます。社内の業務システムへの不正侵入を防御して、機密情報の漏洩を阻止するというわけです。

一般的な「DMZ」セグメントへの機器導入の構成は、2台の「ファイアウォール機能有した機器」を設置します。構成は①内部ネットワーク環境(イントラネット環境)⇔②「ファイアウォール機能を有した機器」⇔③「DMZ」セグメント⇔④「ファイアウォール機能を有した機器」⇔⑤外部インターネット環境の接続方法になります。①~⑤の配置・構成で機器を設置することで、セキュリティーの強度が高位になります。前記の構成は費用が掛かりますので、②④「ファイアウォール機能を有した機器」のいずれかを割愛した構成で運用するケースがあります。但し、セキュリティーの強度が劣ります。


DMZ(非武装地帯)とは、外部に公開するために隔離した内部ネットワークのことです。英語では「Data Management Zone」「Demarcation Zone」「Perimeter Network」「demilitarized zone」などと呼ばれており、「demilitarized」の意味は「非武装」で、「zone」の意味は「地域・区域」です。日本語では「非武装地帯」となります。

またDMZの特徴は、外部ネットワークから内部ネットワークに不法な接続を試みたとしても、DMZ内のホストからは、内部におけるネットワークに接続することができないことです。

メールサーバ、ウェブサーバ、DNSコンテンツサーバ、Proxyサーバなど、外部ネットワークといった外部ネットワークからアクセスしやすいサーバのために使われます。


非武装地帯を意味する「DeMilitarized Zone」の頭文字を取った略称。外部ネットワーク経由の攻撃から、内部ネットワークを保護する緩衝地帯のこと。インターネット上のWebサーバー、メールサーバー、DNSコンテンツサーバー、Proxyサーバーなどは、外部に公開されているため攻撃されやすく、不正アクセスの危険にさらされている。そこで、ファイアウォールと外部ネットワークの間にDMZ(非武装地帯)を設けることで、外部ネットワークへのアクセスを可能にしつつ、内部ネットワークを保護できる仕組みである。

かつては内部ネットワークと外部ネットワークの間にあるファイアウォールから、ネットワークセグメントを分岐させてDMZを設ける手法が一般的だったが、セキュリティ性を高めるために、2台のファイアウォールでDMZを挟み込むように構成することもある。

ファイアウォールとDMZを組み合わせて構築したネットワークには、「内部ネットワーク」「外部ネットワーク」「DMZ」の三つのセグメントが存在するため、設定が煩雑になりやすく、人為的ミスを招くリスクが高い。また、サーバー用にDMZセグメントを設ければ、ハッキングなどの攻撃から内部ネットワークを保護できるが、サーバー自体への攻撃を完全に抑えることはできない。隣接する内部ネットワークが何らかの攻撃を受けるリスクに備え、ほかの対策との併用なども検討しなければならない。





H2候補

  • DMZの仕組み、カギは「ファイアウォール」
  • DMZのさまざまな構築方法
  • 安全性と利便性のバランスを整えるべし
  • DMZ でできること・できないこと
  • WebサーバとDBサーバを同一筐体に実装し、DMZに配置することのリスク
  • DMZの仕組み
  • DMZのメリット
  • DMZのデメリット
  • DMZの設定方法・構築するポイント
  • DMZの一般的な公開サーバ3つ
  • DMZを導入するメリット3つ
  • DMZを導入するデメリット2つ
  • DMZの仕組みとは?
  • DMZの構成例
  • DMZを構築する際のポイント3つ
  • DMZを導入しよう

まとめ

※ このページは現在準備中です。記述内容は、以下の参考リンクより抜粋したものです。

参考

  • https://www.atmarkit.co.jp/ait/articles/0401/01/news053.html#:~:text=LINE-,DMZ%EF%BC%88DeMilitarized%20Zone%EF%BC%89%E3%81%A8%E3%81%AF%E3%80%81%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%81%AA%E3%81%A9%E3%81%AE%E4%BF%A1%E9%A0%BC,%E3%80%8C%E9%9D%9E%E6%AD%A6%E8%A3%85%E5%9C%B0%E5%B8%AF%E3%80%8D%E3%81%A8%E3%82%82%E5%91%BC%E3%81%B0%E3%82%8C%E3%82%8B%E3%80%82
  • https://www.sbbit.jp/article/cont1/37677
  • https://ja.wikipedia.org/wiki/%E9%9D%9E%E6%AD%A6%E8%A3%85%E5%9C%B0%E5%B8%AF_(%E3%82%B3%E3%83%B3%E3%83%94%E3%83%A5%E3%83%BC%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)
  • https://it-trend.jp/words/dmz
  • https://milestone-of-se.nesuke.com/nw-basic/fw/dmz/
  • https://locked.jp/blog/what-is-dmz/
  • https://www.fenet.jp/infla/column/network/dmz%E3%81%AF%E6%A8%99%E7%9A%84%E5%9E%8B%E6%94%BB%E6%92%83%E3%81%AB%E5%BC%B7%E3%81%84%EF%BC%81%E5%B0%8E%E5%85%A5%E3%81%99%E3%82%8B3%E3%81%A4%E3%81%AE%E3%83%A1%E3%83%AA%E3%83%83%E3%83%88%E3%82%84/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です