DMZとは？役割やメリット・デメリット、構築方法を紹介

DMZとは

DMZ（DeMilitarized Zone）は「非武装地帯」と訳されます。もとは軍事用語で、戦争または停戦状態にある国家の間に設けられた、軍事活動が許されない地域を指す言葉です。

IT用語としては、インターネット（外部ネットワーク）と社内ネットワークの間につくられる緩衝領域を指します。公開するサーバーなどをDMZに置いてファイアウォールで社内ネットワークと隔離し、社内ネットワークへのアクセスを防ぐことでセキュリティを強化することが可能です。

ネットワークの分離については、次の記事をご参照ください。

関連記事

ネットワーク分離とは？その必要性や課題、導入のポイントを解説

DMZの役割

DMZには次のような役割があります。

• 外部に公開するサーバーをDMZに置くことで、社内ネットワークから隔離する
• 外部のアクセスから社内ネットワークを隔離することで、社内ネットワークへの不正アクセスやサイバー攻撃を防ぐ
• インターネットから社内ネットワークへ直接アクセスされないようにファイアウォールを増やす

これによって、社内ネットワークのセキュリティを強化することが可能です。

DMZが必要な場合

DMZが必要なのは、外部に公開するサーバーを構築するときです。外部に公開するサーバーには、メールサーバー、Webサーバー、FTPサーバーなどがあります。

これらのサーバーは、常に外部からのアクセスを受けるリスクが高い状態にあります。

社内ネットワークの安全を確保するためには、これらのサーバーをファイアウォールで社内ネットワークから切り離すことがポイントです。それによって、外部から社内ネットワークへの直接のアクセスを防ぎ、不正アクセスやマルウェア感染を防ぐことができます。

このように、外部に公開するサーバーと社内ネットワークを切り離してセキュリティを強化するため、DMZが必要になるのです。

不正アクセスについては、次の記事をご参照ください。

関連記事

不正アクセスとは？よくある被害例や効果的なセキュリティ対策の方法を解説

DMZの種類

DMZに必要なのがファイアウォールです。通常は、インターネット（外部ネットワーク）と社内ネットワークの間にファイアウォールを設置します。DMZを構築する場合は、DMZとインターネットの間にファイアウォールが必要です。

ファイアウォールの設置場所と数により、DMZは大きく2つに分けられます。

シングルファイアウォール型DMZネットワーク

1台のファイアウォールを利用し、その設定でアクセスを切り分ける方式です。

1. DMZとインターネットの間にファイアウォールを設置します。
2. 外部からのアクセスはすべてファイアウォールを経由します。
3. ファイアウォールは外部からのアクセスを次のように切り分け、分岐させます。
   
   • DMZへのアクセスを許可する
   • DMZへのアクセスを拒否する
   • 社内ネットワークへのアクセスはすべて拒否する

ファイアウォールが1台ですむためコスト削減が可能で、比較的実装しやすい方法です。ただし、設定は複雑になります。

デュアルファイアウォール型DMZネットワーク

2台のファイアウォールを利用する方法です。

シングルファイアウォール型では、ファイアウォールはインターネットとDMZの間にあります。デュアルファイアウォール型では、それに加えてDMZと社内ネットワークの間にもファイアウォールを設置します。

インターネットとDMZの間にあるファイアウォールは、外部からのアクセスをシングルファイアウォール型DMZネットワークと同じように切り分け、分岐させます。

DMZと社内ネットワークの間にあるファイアウォールは、外部から社内ネットワークへDMZ経由でアクセスを防ぎます。社内ネットワークへのアクセスには2台のファイアウォールを突破しなくてはなりません。2台のファイアウォールを置くことで、セキュリティをさらに強化できます。

この方法なら、DMZをデータセンターのような離れた場所に置くことも可能です。ただし、ファイアウォールの数が増えるので、設置のコストや実装・運用の手間が増えてしまいます。

DMZのメリットとデメリット

DMZを利用することのメリットとデメリットを紹介します。

DMZを利用するメリット

• セキュリティの強化
  DMZにより社内ネットワークをインターネットから隔離することで、不正アクセスやマルウェア感染、情報漏洩、標的型攻撃などのサイバー攻撃を防ぐことができます。
• 設定がシンプル
  DMZはファイアウォールを設置して設定するだけで実装可能です。ほかのセキュリティ対策に比べてシンプルな構造で、技術的にも難しくありません。
• コスト削減
  必要なハードウェアはファイアウォールだけなので、コストが比較的かかりません。
• システムダウンの防止
  不正アクセスやサイバー攻撃がファイアウォールを突破しても、DMZがあることで社内ネットワークには攻撃は届きません。それによって、社内ネットワークのシステムダウンを防ぐことができます。

DMZを利用するデメリット

• 潜在的リスクは残る
  DMZが防げるのは、外部からの不正アクセスやサイバー攻撃です。内部からの不正アクセスや攻撃は防ぐことができません。
• 公開用サーバーのリスクは残る
  不正アクセスやサイバー攻撃をDMZでとどめることができても、DMZにある公開用サーバーは攻撃を受けてしまいます。そのため、バックアップなどの対策が必要です。
• ネットワークが複雑になる
  DMZは比較的シンプルなセキュリティ対策です。それでもDMZを追加した分だけ、ネットワークの構成が複雑化します。また、その分のメンテナンスが必要です。
• クラウドサービスには効果が薄い
  DMZが効果を発揮するのはオンプレミス環境にある場合です。公開サーバーがクラウドサービス上にある場合、DMZはあまり効果がありません。

DMZを構築する方法とポイント

DMZの構築は以下の手順で行います。

1. DMZの種類を決める
   DMZの導入を決定したら、シングルファイアウォール型とデュアルファイアウォール型から種類を選択します。
2. サーバーの種類と用途を決める
   公開用サーバーの種類と用途、社内ネットワークに置くサーバーの種類と用途を決定します。
3. ネットワーク構成を決める
   サーバーの種類と用途をもとに、ネットワーク構成を決定します。
4. 組み合わせて利用するセキュリティ対策を決める
   DMZだけで万全なセキュリティ対策ができるわけではありません。ほかにもIDS/IPS、WAFなどいくつものセキュリティ対策を組み合わせることで、セキュリティを強化することが必要です。
   ここでセキュリティ対策の構成を決めます。
5. DMZを設置する
   DMZを設置し、サーバーの設定を行います。
6. ファイアウォールの設置
   ファイアウォールを設置し、設定を行います。
   ほかのセキュリティ対策も導入します。
7. 動作テスト
   DMZの導入テストを行います。ほかのセキュリティ対策との相性も確認が必要です。
8. 運用管理
   テストで不具合を修正したら、本番運用を開始します。

DMZを構築する際のポイント

• セキュリティ対策を多層化する
  セキュリティ対策はDMZだけではありません。ファイアウォールだけでなく、IDS/IPSやWAFなど、いろいろなセキュリティ対策を組み合わせて使用します。セキュリティ対策を多層化することによって、互いの弱い部分を補ってセキュリティを強化することが可能です。
• 情報の配置や権限をルール化する
  セキュリティだけでなく、ネットワーク運用のルールを制定します。たとえば次のようなものです。
  
  • DMZにはどんなサーバーを置くか
  • どのファイルをどこに配置するか
  • どの情報をどこまで公開するか
  • ファイルをどう名付けるか

このようなルールを厳密に守ることで、ネットワークやファイルを管理しやすくなります。それがセキュリティの強化につながります。

DMZには大きな効果があるが万能ではない

DMZはファイアウォールと設定だけで手軽に導入でき、セキュリティを強化できます。ただし、それだけでセキュリティ対策が完了するわけではありません。たとえば、DMZはクラウドサービスには効果が薄いという弱点もあります。サイバー攻撃の手法はさまざまです。セキュリティ対策も複数の手法を組み合わせて死角を無くし、強化しなければなりません。

しかし、セキュリティ対策を多層化する場合は、設定が煩雑になるため、知識のある人材が必要です。そのような人材が不足しており複雑なセキュリティ対策を導入しにくい場合は、セキュリティの強化されたツールを導入する方法があります。

さまざまなリモートワーク製品を展開するCACHATTOの「セキュアコンテナ」は、PC上の隔離業務領域のデータ保護と業務終了時のデータ削除により、端末からの情報漏洩を防止するセキュアなハイブリッドワークを実現します。独自のVPN機能を利用して通信を行うためDMZへのサーバー公開も不要で、サイバー攻撃を受けるリスクを極小化します。また、管理や運用に高い知識や多くの手間も必要ありません。気になる方は、以下のリンクから詳細をご確認ください。