DMZ(非武装地帯)とは | 意味や仕組み・役割・構築するメリット・必要性

DMZとは

DMZとは「DeMilitarized Zone」を略したものであり、非武装地帯を意味します。企業・組織が内部ネットワークに存在する機密情報を守りつつ、インターネットの外部ネットワークへアクセスを行う際、使用される緩衝地帯のことです。

DMZとは

DMZを設ける意味

インターネットに公開するサーバーは外部からのアクセスが可能なため、不正アクセスされる危険があります。

インターネットを通じたハッキングや悪意に満ちた攻撃から内部ネットワークの機密情報を守るため、企業はファイアウォールを設定しています。ファイアウォールの設定によって、信頼できない外部ネットワークからのアクセスを遮断できます。

しかし、この状態では内部ネットワークからインターネットへのアクセスができず、Webサイトの外部公開やメール管理もできません

そこで、ファイアウォールと外部ネットワーク間に、DMZセグメントという緩衝地帯を設けます。そのため「ファイアウォール」という城壁に守られた、内部ネットワークの外にある非武装地帯といわれています。

DMZの仕組み

DMZの仕組みは、簡単にいうと、外部ネットワークのアクセスを可能にしつつ、内部ネットワークへの被害をおさえる仕組みです。

外部とのアクセスを必要とする「Webサーバー」、「メールサーバー」、「DNSサーバー」などの公開サーバー、プロキシサーバーがDMZセグメントに置かれます。これにより、外部ネットワークとアクセスを行っています。

一方で、内部ネットワークへの接続はセキュリティ対策を施したうえで行われており、外部攻撃による被害拡散を防いでいるのです。

従来では、内部ネットワークと外部ネットワークの間にあるファイアウォールから、ネットワークセグメントを分岐させてDMZを設ける、という方法が一般的でした。

しかし最近では、「内部ネットワーク > ファイアウォール > DMZ > ファイアウォール > 外部ネットワーク」という手法が増えています。内部・外部ネットワーク間に2つのファイアウォールを設けてDMZセグメントを挟み込むことで、より強固なセキュリティを確保できます。

DMZと静的IPマスカレード/NAPTの違いとは?

近年ではWebサーバーの設置やPS4、任天堂Switchなどのオンラインゲームでインターネットに接続する際に「DMZ」や「静的IPマスカレード/NAPT」の利用が一般的になっています。

DMZと静的IPマスカレード/NAPTは、どちらも「サーバーをインターネットに公開する」という意味では同じです。しかし、設定方法やセキュリティに大きな差異があります。

DMZ静的IPマスカレード/NAPT
概要外部ネットワークと内部ネットワークの「中間」に位置するネットワーク1つのグローバルIPアドレスを複数台のパソコンでインターネット接続する仕組み
公開ポートIPアドレス単位で転送。公開ポートが設定不要IPアドレスとポート番号で転送。事前に公開ポートを指定する必要がある
セキュリティ全通信がサーバーに辿り着けるものの内部ネットワークに強い公開ポートだけをルーターを通るためセキュリティは高い
ルーターの設定簡単難しい

「DMZ」や「静的IPマスカレード」はルーターやファイアウォール専用機で設定可能です。

DMZのメリット

DMZを設けることによって、内部・外部ネットワークおよびDMZセグメントは、それぞれが隔離されたネットワークになります。これによって得られるメリットは次のとおりです。

  • 標的型攻撃に強い
  • 情報漏えいを防げる

それぞれのメリットについて詳しく説明していきます。

標的型攻撃に強い

広く外部公開を行う必要のある公開Webサーバーは、常に外部からの攻撃にさらされています。これが社内ネットワークと接続されていると、被害がほかのサーバーやPCを含む、広範囲におよぶ可能性が大きくなるのです。

それらを防ぐために、WebサーバーをDMZセグメントに置き、外部ネットワークからのアクセスを許可します。さらに、内部ネットワークへのアクセスを遮断することで、リモートハッキングなどの攻撃被害を最小限にし、耐性を強化できます。

情報漏えいを防げる

同様に、機密情報を扱うシステムなどをDMZセグメントに設置し、外部からも内部からもアクセスを遮断することも可能です。より強固に隔離・分離されたDMZネットワークセグメントが構成され、情報漏えいを防げます。

この手法は、外部からの攻撃に有効なだけでなく、マルウェアなどに感染したPCが内部ネットワークに接続された場合、悪意ある内部者が存在する場合にも効果があります。

DMZのデメリット

DMZはファイアウォールと組み合わせて構築することが基本となり、DMZセグメントを設けること自体にデメリットが存在するわけではありません。

しかし、内部からも外部からもファイアウォールで隔離されている、というDMZの存在に起因するデメリットは存在します。

  • 設定が煩雑になりやすい
  • 公開サーバーへの攻撃は防げない

上記の内容について詳しく説明します。

設定が煩雑になりやすい

ファイアウォールとDMZを組み合わせて構築されたネットワークの場合、内部ネットワーク・外部ネットワーク・DMZという、3つの隔離されたセグメントが存在することになります。

この場合、DMZセグメントに置かれたWebサーバーは、外部ネットワークと接続するポートを開ける一方、内部へのポートは遮断し、プロキシサーバーは両方のポートを開けておく必要があります。

このように、DMZセグメント内に存在するサーバーは、それぞれの用途によって設定を変更する必要があり、煩雑さが思わぬ人為的ミスを招く可能性は否定できません。

公開サーバーへの攻撃は防げない

信頼のできない外部ネットワークであるインターネットは、セキュリティ面では危険な領域ですが、DMZネットワークセグメントも安全とはいえません。

公開サーバー用にDMZセグメントを設ければ、ハッキングなどの攻撃から内部ネットワークへの被害を防げますが、公開サーバー自体は攻撃を完全に防ぐ術はなく、隣接する内部ネットワークが影響を受ける可能性もあります。

DMZの設定方法・構築するポイント

ファイアウォールとDMZの組み合わせは、内部ネットワークを標的型攻撃から保護する、情報漏えいを防ぐという効果がありますが、あらゆる攻撃に耐えうるシステムということでもありません。

より強固な保護システムとして機能させるには、いくつかのポイントを考慮したうえでシステム構築、設定を行う必要があります。

公開サーバーを攻撃から守るための対策を多重化する

Webサーバーを標的にしたハッキングには、Webアプリケーションやミドルウェアのぜい弱性を狙い、不正プログラムを大量に送り込む「バッファ・オーバーフロー攻撃」という手法が増加しています。

こういった攻撃を阻止するため、既知の攻撃パターンを登録して対比することで、不正アクセスを検出するIDS(侵入検知システム)や、Webシステムの保護に特化したWAF(Webアプリケーション・ファイアウォール)を、DMZと併用して適用するなど、多重化した対策を行う必要があります。

重要情報は公開サーバーと同じセグメントに置かない

公開サーバーがバッファ・オーバーフロー攻撃された場合、ファイアウォールではこれを防ぎきれないため、隣接する内部ネットワークにまで影響が及ぶ可能性があります。

上述したIDSを施すことによって、この影響を最小限にすることは可能ですが、隔離されたネットワークセグメントであるDMZ内のサーバーは大きな被害を受ける可能性が大きいといえるでしょう。

これを事前に防止するためには、外部ネットワークとアクセスを行う公開サーバーと同じセグメントに、重要情報のあるデータサーバーを置かないことが重要です。

DMZは必須の対策だが過信は禁物

DMZについて解説してきましたが、内容をまとめると次のようになります。

  • DMZ は公開したい社内サーバーのセキュリティ向上が見込めるが万能ではない
  • 社内にある非公開サーバーのセキュリティも高める
  • 影響を受けにくいような NW 構成にしておくことが大事

内部/外部ネットワークを隔離したうえで、外部とのアクセスを可能にするDMZは、ネットワーク構築の際に必須のものといえます。情報のデジタル化が進み、それをいかに活用していくかが問われる現代のビジネスにおいても重要な役割を担っています。

しかし、日々進化する攻撃パターンを前にして、対策を施しているから大丈夫、と過信するのは危険です。

情報を保護し、リスクを最小限にするため、DMZを含むあらゆる対策を施したうえで、情報収集を怠らない意識が必要だといえるでしょう。