DMZとは。仕組みと構築方法・メリットデメリットを解説

DMZ(DeMilitarized Zone:非武装地帯)は、インターネットと社内ネットワークの間に作られるネットワークで、大切な情報を外部に公開しなければならない時などセキュリティを確保するために用いられる方法です。

こうした仕組みは、サイバー攻撃など脅威が非常に多く問題となっている現在では、とても重要なものです。

今回は、ネットワークセキュリティで重要な役割を果たすDMZについて解説します。

Winserver共用サーバー
安心のWAF導入済み
VPSWAFの導入可能
\月額990円~ 2週間無料トライアル/
共用サーバーを2週間無料で試す
VPSを2週間無料で試す

DMZとは

DMZとはどういうもので、どのような役割を果たしているのでしょうか。まずは、基本的な事柄について見ていきましょう。

DMZの概要

企業などでよく見られるネットワークは、外部ネットワークである「インターネット」と「社内ネットワーク」の2つから構成されているものです。

社内ネットワークをインターネットと分けることで、以下のようなことを防ぎセキュリティの確保を行っています。

  • インターネットから社内ネットワークへの不正なアクセスを防ぐ
  • 社内ネットワークから不要にインターネットにアクセスし、情報が流出することを防ぐ

これらに対して、DMZは「両方のネットワークとは別に存在する緩衝地帯」という位置付けのネットワークとなります。

つまり、純粋な社内ネットワークではなく、インターネットとの間に存在する別のネットワークです。

このネットワークはなぜ必要で何をしているのでしょうか。

次の章で見ていきましょう。

DMZが果たす役割とは

DMZはなぜ必要で、設置されることでどのような役割を果たしているのでしょうか。

DMZが果たしている役割は、大きく以下の3つが挙げられます。

  • Webサーバーやメールサーバーなど外部に公開するサーバーを隔離する
  • 社内ネットワークに不正な通信や攻撃を侵入させない
  • 外部ネットワークから内部ネットワークへの壁を増やす

DMZを設置する大きな理由としては、たとえば外部公開用のWebサーバーやメールサーバーなどは外部のアクセスを受け付けるように設定する必要があります。

しかしその反面外部からの攻撃を受けやすくなり、乗っ取りなどの被害に遭う可能性も高くなります。

DMZを設置すると、こうした外部公開用のサーバーはDMZにおいて社内ネットワークとは分けることができるので、社内ネットワークがより安全になります。

DMZの仕組み

非武装地帯とも言われるDMZですが、どのような仕組みになっているのでしょうか。

ファイアウォールとの関連も含めて解説します。

DMZの仕組みとは

DMZはどのような仕組みで構成されているのでしょうか。

DMZの仕組みは大きく分けて以下の3つのポイントに集約されます。

  • 社内ネットワーク、インターネット、DMZネットワークの3つのネットワークを設置する
  • 各ネットワークの間にファイアウォールを設置する
  • 各ネットワークに適切なサーバー等を設置する

これを図で示すと以下のようになります。

ここで、ポイントとなるのがファイアウォールです。

DMZとファイアウォールについては、次に解説します。

DMZとファイアウォール

DMZを設置する際にファイアウォールは非常に大きなポイントとなります。

通常はインターネットと社内ネットワークの間にファイアウォールが設置されます。

ここでDMZを設置する場合は、ファイアウォールにDMZ用のインターフェイスを設ける、あるいはこれらのネットワークとの間にDMZ用のファイアウォールを設けるといった方法がとられます。

おおまかな構成としては先ほどの図のとおりとなります。

もし一つのファイアウォールだけで実現しようとする場合(シングルファイアーウォール型)は、導入は比較的容易に行えます。

ですが細かい設定等は難しくなるケースもあるので注意が必要です。

これらの構成については後ほど解説します。

なお、このようにして設置したDMZ領域は、社内ネットワークやインターネットと区別してDMZネットワークと呼ばれることもあります。

前者の2つのネットワークとは別のサブネットワークであるという意味からの言葉です。

DMZ領域(DMZネットワーク)の種類

DMZを含むDMZネットワークには、先ほどファイアウォールとの関連で少し触れたように、いくつかの種類があります。

それは、大きく分けて以下の2つです。

いずれも目的は外部公開用の仕組みを社内ネットワークなどのプライベートネットワークから分離させて、プライベートネットワーク上のリソースを守ることにあります。

シングルファイアーウォール型

一つのファイアウォールだけを設置する方法。

導入コストは下げられるがDMZのアクセスと社内ネットワークのアクセスを一つのネットワークで行うので、ファイアウォールのルールが複雑になる。

デュアルファイアーウォール型

2つのファイアウォールを設置する方法。

DMZヘは1つのファイアウォールを通過すればアクセスできる。

さらに社内ネットワークにアクセスするには2段階目のファイアウォールの通過が必要。

セキュリティレベルを高くすることができる。

 

このように、DMZネットワークには大きく2つの種類がありますが、目的や予算に合わせて選択しましょう。

DMZのメリットやデメリット

DMZは、社内ネットワークに直接外部からアクセスさせないようにする、情報を守るなどといったことを実現できるメリットがあります。

改めてDMZを設置することによって、どのようなメリットがあるのでしょうか。逆にデメリットはないのでしょうか。

以下で整理をしてみました。

<DMZのメリット>

DMZを設置することのメリットは以下のようなものが挙げられます。

  • 標的型攻撃を防ぐことができる
  • 情報漏洩を防ぐことができる

特定の企業や組織をターゲットとして行われる標的型攻撃は、感染したシステムから攻撃を繰り返しますが、DMZに置くことによって被害を最小限に防ぐことができます。

もう一つ、外部公開システムをDMZ内に置いて社内ネットワークと分けることで、社内の情報へのアクセスやそれに伴う情報の外部流出や漏洩を防ぐことができます。

標準型攻撃についてはサイバー攻撃について書いた下記コラムも参照してください。

<DMZのデメリット>

逆にDMZを設置することによって以下のような点はデメリットであると言えます。

  • ネットワークの構成や設定が複雑になる
  • 社内ネットワークは守れるが、公開サーバーを守るものではない

社内ネットワークとインターネットという2つの構成に、さらにDMZが加わることで構成や設定が複雑になり運用が大変になるケースがあります。

また、DMZに外部公開用のサーバーを設置することで、社内ネットワークは守られますが、DMZに設置される公開サーバーはそのままでは守れないといったデメリットがあります。

したがって、別途セキュリティ対策が必要となります。

これを踏まえてDMZで出来ること、出来ないことを整理すると以下のようになります。

<DMZで出来ること>

  • インターネットからの内部情報の保護
  • サイバー攻撃などへの対策

<DMZで出来ないこと>

  • ウィルス感染の防止
  • Webアクセスの通信内容による防御

DMZの構築方法

セキュリティの向上に大きな役割を果たすDMZですが、具体的にどうすれば構築して利用することができるのでしょうか。

ここでは、DMZの構築について見ていきましょう。

構築のポイント

まず、DMZの構築を行う際に検討すべきポイントについて見ておきましょう。

DMZを構築する際には、以下のポイントを決めておく必要があります。

  • シングル型かデュアル型かを決めておく
  • 各ネットワークに置くサーバーを明確にしておく(DMZにデータサーバを置かない)
  • 攻撃の影響を受けにくいネットワーク構成を決める
  • WAFなど他のセキュリティ対策との組み合わせも決める

シングル、デュアルといった構成を決めることもそうですが、ファイアウォールの構成等、セキュリティ向上を念頭に決めておくことが大切です。

構築の流れ

実際にDMZを設置する際の流れはどのようになるのでしょうか。

大まかには、以下のようになります。

  • DMZネットワークの設置
  • ファイアウォールの設定
  • 確認

簡単に言うと、既存の社内ネットワークとインターネット、ファイアウォールの中に新しく1つのネットワークセグメントを追加するといった流れです。

DMZを使う際の注意点とは

最後にDMZを使う際の注意点について見ておきましょう。

DMZを使ったり、構築したりといった際に、何か注意すべき点はあるのでしょうか。

DMZを使う際には、先にも少し触れた内容もありますが、以下のような点に注意をしておく必要があります。

  • いろいろなセキュリティ対策を組み合わせること
  • 内部ネットワークへのセキュリティ対策は必ず実施すること
  • どの情報をどこに配置するかは厳密にしておくことが大切

など

このように、どのセキュリティ対策でも言えることですが、対策を万全にするためにはいくつかのセキュリティ対策を組み合わせることが大切です。

また、内部ネットワークにウイルス等が入ってしまった場合には、DMZは無力ですので必ずその他の対策を併用しましょう。

加えて、情報マネジメントの内容ですが、どういった情報を公開し、どこに設置し誰が管理するかを明確にしておくことが大切です。

まとめ

DMZは、インターネットと社内ネットワークなどのプライベートネットワークとの間に設けられるもう一つのサブネットワークとも言えるものです。

今回解説したように、DMZにはファイアウォールが大きく関わっており、2種類の構成ともファイアウォールとどのように組み合わせるかが重要となっています。

DMZには、メリットもあればデメリットもあります。

導入を行う場合は、解説した内容を踏まえ、構成、他のセキュリティ対策との組み合わせなど、目的に合ったものを検討するようにしましょう。

Windowsファイアウォール設定マニュアル

Windowsファイアウォール
設定マニュアル

Windowsファイアウォールを使って、スコープの設定、ポート開放、特定IPアドレスからの通信遮断を行う手順を解説します。

Windowsファイアウォール設定マニュアル

Windowsファイアウォール
設定マニュアル

Windowsファイアウォールを使って、スコープの設定、ポート開放、特定IPアドレスからの通信遮断を行う手順を解説します。

資料をダウンロードする

NVIDIA製GPU搭載
高性能・高火力の専用サーバー!
「Tesla V100」「RTX-5000」「RTX-4000」

▶ プランを見る

関連記事

特集記事

Windows Serverなら「Winserver」

サーバー移行など、ご相談ください◎

Windows環境を利用するなら!

クラシックASPの移行事例をご紹介!

月額495円から使えるVPS

TOP