DMZとは何?DMZを導入するメリット3つや構築する際のポイントを解説

DMZとは何?DMZを導入するメリット3つや構築する際のポイントを解説のアイキャッチイメージ

DMZ(非武装地帯)とはどんなネットワーク領域?


DMZ(非武装地帯)とは、外部に公開するために隔離した内部ネットワークのことです。英語では「Data Management Zone」「Demarcation Zone」「Perimeter Network」「demilitarized zone」などと呼ばれており、「demilitarized」の意味は「非武装」で、「zone」の意味は「地域・区域」です。日本語では「非武装地帯」となります。

またDMZの特徴は、外部ネットワークから内部ネットワークに不法な接続を試みたとしても、DMZ内のホストからは、内部におけるネットワークに接続することができないことです。

メールサーバ、ウェブサーバ、DNSコンテンツサーバ、Proxyサーバなど、外部ネットワークといった外部ネットワークからアクセスしやすいサーバのために使われます。

DMZの一般的な公開サーバ3つ


ここでは、DMZの一般的な公開サーバの種類を3つご紹介します。DMZの主な公開サーバには、「Web サーバ」「DNS サーバ」「メールサーバ」の3種類があります。それぞれのサーバの特徴について詳しく説明しますので、ぜひ参考にしてみてください。

1:Web サーバ

DMZの一般的な公開サーバの種類1つ目は、「Web サーバ」です。

「Web サーバ」のセキュリティには「Web サーバソフトセキュリティ」「Webアプリケーションセキュリティ」「OSセキュリティ」の3つで構成されています。OSのセキュリティは基本的なマシンのセキュリティだといえます。

また、Webアプリケーションのセキュリティでは、アプリケーションの脆弱性においてのセキュリティを考える必要があります。

2:DNS サーバ

DMZの一般的な公開サーバの種類2つ目は、「DNS サーバ」です。

「DNS サーバ」とは、「Domain Name System」の略で、ドメイン名からIPアドレスなどを得る「解決」を行うシステムが「Domain Name System」です。

また、ネットワーク上で情報を提供する仕組みが「Domain Name System」で、それを担う各サーバが「DNSサーバ」です。「DNSサーバ」には「DNSコンテンツサーバ」「DNSキャッシュサーバ」といった2種類があります。

3:メールサーバ

DMZの一般的な公開サーバの種類3つ目は、「メールサーバ」です。

外部からのメールを受信するためにはDMZに外部メールサーバを設置する必要があります。外部メールサーバしかない場合ですと、自社に送られたメールが攻撃されるリスクがあるからです。

しかし、内部メールサーバを設置し、送られてきたメールを内部に保存するとそれを防ぐことができます。メールの機密性を高めるメリットもあり、内部メールサーバと外部メールサーバを分けるのはこのためです。

DMZを導入するメリット3つ


ここでは、DMZを導入するメリットを3つご紹介します。DMZを導入するメリットには「攻撃被害を最小限にすること」「標的型攻撃に強いこと」「情報漏えい対策になること」の3つがあります。

1:攻撃被害を最小限にする

DMZを導入するメリット1つ目は、「攻撃被害を最小限にすること」です。

組織外からアクセス可能で外部から攻撃を受けやすいのは、「外部向けメールサーバ」「Webサーバ」「DNSサーバ」です。また、外部向けメールサーバは設定を改ざんされ、SPAMメールの温床にされる恐れもあります。

しかし、DMZを導入することにより被害を最小限に抑えることができます。

2:標的型攻撃に強い

DMZを導入するメリット2つ目は、「標的型攻撃に強いこと」です。

ITの技術が発展し便利な時代になりましたが、ITの技術を悪用し犯罪に利用する人も増えています。その代表的なものがサイバー攻撃です。

これはインターネットなどのネットワークを通してネットワーク機器を攻撃し、ダメージを与えたり、保管されている情報を盗み出したりすることです。

また、このような標的型攻撃は特に危険性が高く検知しにくいものです。しかし、DMZを導入することで、このような標的型攻撃から免れることができます。

3:情報漏洩対策になる

DMZを導入するメリット3つ目は、「情報漏洩対策になること」です。

個人情報や機密情報が集約されたサーバは、攻撃者にとっては金のなる木といってもよいでしょう。そのため、データベースサーバに対するセキュリティが強化されるようになりました。

DMZを導入することにより、設定およびデータファイルを保護することで、データが盗まれるといった攻撃を防ぐことができます。また、サーバ管理者の不正を最小限に抑えたり、ログによる監査を行ったりすることができます。

DMZを導入するデメリット2つ


ここでは、DMZを導入するデメリットを2つご紹介します。DMZを導入するデメリットには「公開サーバへの攻撃は防御できない」「設定が複雑」の2つがあります。

それではDMZを導入する際のデメリットを見てみましょう。

1:公開サーバへの攻撃は防御できない

DMZを導入するデメリット1つ目は、「公開サーバへの攻撃は防御できない」です。DMZセグメント内に公開サーバを設置すれば内部ネットワークへの攻撃を防ぐことができますが、公開サーバ自体は攻撃を防ぐ手段を持っていません。

2:設定が複雑

DMZを導入するデメリット2つ目は、「設定が複雑」です。DMZはファイアウォールを組み合わせてネットワークを構築するため、3つのセグメントが存在することになります。そのため設定が難しく、ヒューマンエラーの原因になります。

DMZの仕組みとは?


DMZは内部ネットワークとインターネットとを繋ぐ仕組みですが、その間にファイアウォールを挟んでいます。ここではDMZにおける「公開サーバを設置する意味」と「ステートフルインスペクション」についてご紹介します。

公開サーバを設置する意味

DMZセグメントに公開サーバを設置しておくことで、サイバー攻撃などを防御して、内部ネットワークへの被害を防ぐことができます。しかし公開サーバ自体は攻撃を防げないため、IDSやWAFなどの多重の対策を行うことが大切です。

ステートフルインスペクションとは?

ステートフルインスペクションとは、パケットフィルタリング型ファイアウォールの機能で、通信内容から通信の通過可否を判断するものです。ステートフルインスペクションによって、ファイアウォールに到達したパケットの不正なやりとりを排除することができます。

DMZの構成例


DMZの構成例には、FW1台の場合とFW2台の場合という2つのパターンがあります。ここではそれぞれの場合のメリットとデメリットを詳しく説明しますので、ぜひ参考にしてみてください。

FW1台の場合

FW1台の場合は、インターネットと内部ネットワークの間にファイアウォールを設け、DMZ専用インターフェイスを設置します。FW1台の場合のメリットとデメリットについて例を挙げて説明します。

DMZ専用インターフェイスを設けるメリットは、購入・管理すべきファイアウォールが1台ですむことと、容易に実装が可能なことです。

一方、DMZ専用インターフェイスを設けるデメリットは、データベースサーバがWebサーバと分かれていないことや、ネットワークアダプタを2つまでしか装着できない製品があるということです。

FW2台の場合

FW2台の場合は、DMZセグメントをファイアウォールで挟み込むことになり、データセンターなどWANを挟む際に構成されることが多い形です。FW2台の場合のメリットとデメリットについて例を挙げて説明します。

FW2台のメリットは、データベースサーバとWebサーバが分かれることと、Webサーバが他のネットワークから分離されているということです。

一方、FW2台のデメリットは、ファイアウォールを2台用意しなければならない点と、内部におけるネットワークが、Webサイト環境の稼働状況による影響を受ける可能性があるということです。

DMZを構築する際のポイント3つ


ここでは、DMZを構築する際のポイントを3つご紹介します。DMZを構築する際のポイントは「TCP・UDPポートからの脅威を防ぐ手立ても考える」「影響を受けにくいネットワーク構成を考える」「同じセグメントに重要データサーバを置かない」の3つです。

1:TCP・UDPポートからの脅威を防ぐ手立ても考える

DMZを構築する際のポイント1つ目は、「TCP・UDPポートからの脅威を防ぐ手立ても考えること」です。

TCP・IPの世界では、HTTPは80番、SMTPは25番とサーバの待ち受けポートがあらかじめ決まっているため、これらのポートを閉じて通信を遮断してしまえば、外部からの攻撃を防ぐだけではなく、内部の不正利用も止めることができます。

2:影響を受けにくいネットワーク構成を考える

DMZを構築する際のポイント2つ目は、「影響を受けにくいネットワーク構成を考えること」です。公開サーバを攻撃から守るためには多重化した対策を行う必要があります。以下にその例を挙げておきます。

まず、IDS(侵入検知システム)とDMZを併用:既知の攻撃パターンを登録して対比することで、不正アクセスを検出することができます。

そして、WAF(Webアプリケーション・ファイアウォール)とDMZを併用:Webシステムの保護に特化しているWAFとDMZを併用しセキュリティを高めましょう。

3:同じセグメントに重要データサーバを置かない

DMZを構築する際のポイント3つ目は、「同じセグメントに重要データサーバを置かないこと」です。

近年、Webアプリケーションやミドルウェアの脆弱性を狙い、不正プログラムを大量に送り込む「バッファ・オーバーフロー攻撃」が増加しています。公開サーバがバッファ・オーバーフロー攻撃された場合、ファイアウォールではこれを防ぎきれません。

そのため、DMZ内のサーバは大きな被害を受ける可能性が大きいでしょう。

DMZを導入しよう


今回は、DMZ(非武装地帯)とはどんなネットワーク領域なのかについてや、DMZ を導入するメリットについて詳しくご紹介しました。

ファイアウォールとDMZだけでは防げないアクセスもありますが、DMZを内部ネットワークと外部ネットワークの間に構築することにより、内部ネットワークへの侵入を防ぐことができます。

Webセキュリティ対策を考える際には、いろいろな層からのアクセスを考え、必要なシステムを導入するようにしましょう。

インフラエンジニア専門の転職サイト「FEnetインフラ」

FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。

転職をお考えの方は気軽にご登録・ご相談ください。