HC
橋爪兼続
2023/07/25
ネットワーク・セキュリティの世界では「DMZ」と呼ばれる領域を作ることがあります。これは、ネットワークに接続する情報や端末を外部からの攻撃から保護するための緩衝領域の役割を果たします。
WEBサーバ等は外部アクセスを許可しており、攻撃がされやすい為、社内ネットワーク内に置くのは非常に危険です。そのため、一般的にはDMZを設置します。このコラムでは、DMZについてその仕組みやメリットなどを説明いたします。
DMZネットワークとは
DMZとは、DeMilitarized Zoneの略で、非武装領域を意味します。「危険な領域」と「安全な領域」の中間である「緩衝領域」として機能することを指します。
ネットワークでは、外部ネットワーク(インターネットなど)と内部ネットワーク(社内LANなど)の中間に作られるネットワークのセグメントを指します。通常は、DMZは外部ネットワークやインターネットからも内部ネットワークからもファイアウォール等で隔離されており、ここにWEBサーバなどの外部に公開するようなサーバーを設置することで、外部からの不正アクセスがあったとしてもネットワークが分離されている為、セキュリティ効果が見込めます。
DMZの仕組み
DMZの仕組みは、シングルファイアウォール型DMZネットワークとデュアルファイアウォール型DMZネットワークの2種類あります。
①シングルファイアウォール型DMZネットワーク
シングルファイアウォール型DMZネットワークでは、1台のファイアウォールを使用します。内部用、DMZ用、外部用のポートを用意して、全ての通信がファイアウォールを通るようにします。 この構成では、ファイアウォールを1台用意するのみで良く、後述するデュアルファイアウォール型の2台構成に比べてコストが安くなります。
②デュアルファイアウォール型DMZネットワーク
デュアルファイアウォール型DMZネットワークでは、ネットワークの内側と外側の間に2つのファイアウォールを設置し、そのの間にDMZを配置します。この構成はDMZをデータセンターに設置するなど、DMZと社内LANの設置場所を物理的に分ける場合に利用します。
ネットワークのDMZが必要なケース
主に、外部に公開するサーバーを、DMZに設置することが多くあります。具体的には、メールサーバーやFTPサーバー、WEBサーバー等です。これらのサーバーは、外部からアクセスする必要があり、かつ内部からもアクセスする必要があります。これを内部に設置すると、外部ネットワークからの通信が内部ネットワークに入ることになりセキュリティリスクが高くなります。したがって、内部からも外部からもアクセスができ、それぞれの通信をファイアウォールを通すためにDMZに設置することが求められます。
DMZサーバーのメリットとデメリット
DMZのメリットとして次のようなものがあります。 まずはセキュリティの向上です。内部とDMZ、DMZと外部の通信をそれぞれ制限することができ、セキュリティを高めながら、従来通りの業務が可能となります。 更に構成の容易性と設置の単純さがあります。基本的にファイアウォールを設置するのみで、その設定を行えば、構成することができます。 次に、潜在的なコストの削減です。DMZの設置には費用はかかりますが、外部からの不正アクセスによりデータ侵害があった場合は、それを上回る費用と時間が発生します。DMZを設置することにより、外部からの侵入する可能性が低くなります。
一方で、デメリットとしては、次のようなものがあります。 まずは、潜在的なリスクが残る点です。特に機密性が高いデータなどの外部からの侵入に対しては問題ありませんが、内部からの不正アクセスには対応することができません。 次に、一時的なコスト増です。セキュリティリスクの潜在コストは削減できるとはいえ、FWや作業工数など初期費用がかかりますので、企業によっては負担になることでしょう。また、DMZを設置後に設定を随時見直す必要もあります。 また、近年はクラウドサービスの利用が増えてきており、外部への公開サーバーを自社ネットワークに設定していない場合もあります。この場合はDMZを設置しても意味がありません。
まとめ
DMZは比較的簡単に導入することができるシステムですが、まずは本当に必要なのかという点も考える必要があります。自社のシステムやクラウドサービスをしっかり把握し、セキュリティとコストの両面を鑑みながら、必要に応じて導入するようにしましょう。
DMZネットワークとは
ネットワーク・セキュリティの世界では「DMZ」と呼ばれる領域を作ることがあります。これは、ネットワークに接続する情報や端末を外部からの攻撃から保護するための緩衝領域/非武装 地帯の役割を果たします。
WEBサーバ等は外部アクセスを許可しており、攻撃がされやすい為、社内ネットワーク内に置くのは非常に危険です。そのため、一般的にはDMZを設置します。このコラムでは、DMZについてその仕組みやメリットなどを説明いたします。
DMZとは、DeMilitarized Zoneの略で、非武装領域のネットワーク領域を意味します。「危険な領域」と「安全な領域」の中間である「緩衝領域」として機能することを指します。
ネットワークでは、外部ネットワーク(インターネットなど)と内部ネットワーク(社内LANなど)の中間に作られるネットワークのセグメントを指します。通常は、DMZは外部ネットワークやインターネットからも内部ネットワークからもファイアウォール等で隔離されており、ここにWEBサーバなどの外部に公開するようなサーバーを設置することで、外部からの不正アクセスがあったとしてもネットワークが分離されている為、セキュリティ効果が見込めます。
DMZの仕組み
DMZの仕組みは、シングルファイアウォール型DMZネットワークとデュアルファイアウォール型DMZネットワークの2種類あります。
①シングルファイアウォール型DMZネットワーク
シングルファイアウォール型DMZネットワークでは、1台のファイアウォールを使用します。内部用、DMZ用、外部用のポートを用意して、全ての通信がファイアウォールを通るようにします。 この構成では、ファイアウォールを1台用意するのみで良く、後述するデュアルファイアウォール型の2台構成に比べてコストが安くなります。
②デュアルファイアウォール型DMZネットワーク
デュアルファイアウォール型DMZネットワークでは、ネットワークの内側と外側の間に2つのファイアウォールを設置し、そのの間にDMZを配置します。この構成はDMZをデータセンターに設置するなど、DMZと社内LANの設置場所を物理的に分ける場合に利用します。
ネットワークのDMZが必要なケース
主に、外部に公開するサーバーを、DMZに設置することが多くあります。具体的には、メールサーバーやFTPサーバー、WEBサーバー等です。これらのサーバーは、外部からアクセスする必要があり、かつ内部からもアクセスする必要があります。これを内部に設置すると、外部ネットワークからの通信が内部ネットワークへの侵入を許すことになりセキュリティリスクが高くなります。したがって、内部からも外部からもアクセスができ、それぞれの通信をファイアウォールを通すためにDMZに設置することが求められます。
DMZサーバーのメリットとデメリット
DMZのメリットとして次のようなものがあります。 まずはセキュリティの向上です。内部とDMZ、DMZと外部の通信をそれぞれ制限することができ、セキュリティを高めながら、従来通りの業務が可能となります。 更に構成の容易性と設置の単純さがあります。基本的にファイアウォールの設置のみで、その設定を行えば、構成することができます。 次に、潜在的なコストの削減です。DMZの設置には費用はかかりますが、外部からの不正アクセスによりデータ侵害があった場合は、それを上回る費用と時間が発生します。DMZを設置することにより、外部からの侵入する可能性が低くなります。
一方で、デメリットとしては、次のようなものがあります。 まずは、潜在的なリスクが残る点です。特に機密性が高いデータなどの外部からの侵入に対しては問題ありませんが、内部からの不正アクセスには対応することができません。 次に、一時的なコスト増です。セキュリティリスクの潜在コストは削減できるとはいえ、FWや作業工数など初期費用がかかりますので、企業によっては負担になることでしょう。また、DMZを設置後に設定を随時見直す必要もあります。 また、近年はクラウドサービスの利用が増えてきており、外部への公開サーバーを自社ネットワークに設定していない場合もあります。この場合はDMZを設置しても意味がありません。
まとめ
DMZは比較的簡単に導入することができるシステムですが、まずは本当に必要なのかという点も考える必要があります。自社のシステムやクラウドサービスをしっかり把握し、セキュリティとコストの両面を鑑みながら、必要に応じて導入するようにしましょう。
よくある質問
DMZとは何か?
DMZの基本 DMZは、ネットワーク内で特定の領域を隔離するためのエリアを指します。具体的には、企業の内部ネットワークとインターネットとの間に位置する、中間的なネットワーク領域を指します。このエリアは、外部からのアクセスが許可されている一方で、内部ネットワークへのアクセスは厳格に制限されています。
DMZ設定とは何ですか?
DMZは、外部からの通信を特定の端末に無条件にすべて転送するための機能です。この設定は、自宅でサーバーを公開する場合などに使用され、一般的には家庭環境ではほとんど利用されません。
DMZセグメントとは何ですか?
DMZは、DeMilitarized Zoneの略で、「非武装地帯」を意味し、外部ネットワークと社内ネットワークの中間に設けられるネットワーク上のセグメント(区域)のことを指します。このセグメントは、外部ネットワークからも内部ネットワークからもファイアウォールなどによって隔離されています。
DMZの欠点は何ですか?
DMZの1つ目の弱点は、サーバー自体を保護することができないという点です。DMZは、外部ネットワークと内部ネットワークの間に緩衝地帯を設けることで、内部ネットワークへの不正アクセスを防ぐシステムです。DMZにより内部ネットワークは保護される一方で、外部と通信するウェブサーバー自体はDMZの保護対象にはなりません。
シャドーITの検知はCASB?or SMP(SaaS管理)?
詳細はこちら
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
