セキュリティ ネットワーク

DMZ(非武装地帯)の仕組みを理解しよう!

2020年12月2日

セキュリティやネットワークの勉強していると必ず出てくる「DMZ(ディーエムゼット)」ですが、最初この言葉を聞いた時は全く分かりませんでした。。。

今回はこのDMZの仕組みとメリットを解説します!

先ずはファイアウォールを理解しよう

DMZにはファイアウォールが深く関係してきます。

ファイアウォール(Firewall)は防火壁とも言いますが、インターネット(外部)と社内ネットワーク(内部)の境界に設置して、外部から内部への不正な通信の侵入を防いだり、内部から外部に対して不正な通信を遮断するための仕組み(製品)です。

ファイアウォールは通信をコントールしますが、そのルールはIPアドレスやポート番号を使って行います。

ファイアウォールのイメージ

このファイアウォールですが、ルールにガチガチにすることで、殆どの通信を遮断することができますが、その結果使いにくいものになってしまうことがあります。

そこでDMZという考え方が出てくるのです。

では、DMZの説明に行きましょう!

DMZとは?

DMZ(DeMilitarized Zone)は「非武装地帯」という物々しい呼び名ですが、簡単に言うと「インターネット側に安全に公開できる領域」です。

インターネットに情報やサービスを公開する時に、Webサーバを公開サーバとしてインターネットからアクセスできるようにします。
この公開サーバの設置方法がポイントとなりますので、例を上げて説明します。

社内ネットワーク側に公開サーバを設置した場合の問題

ファイアウォールを1台用意して、社外と社内になる公開サーバの間に設置するとします。

この場合、危険が多いインターネットから、社内ネットワーク内の公開サーバへのアクセスを許可しているので、公開サーバがマルウェアに感染したり攻撃されたりして、踏み台にされてしまうと、そこから社内への攻撃を受けやすくなってしまいます。

つまり、一度入られてしまうと、その後の防御が弱くなってしまいます。

DMZが無い時のリスク その1

インターネット側に公開サーバを設置した場合の問題

次にファイアウォールを1台用意して、社外側に公開サーバを設置するとします。

この場合は社外側(インターネット)から社内ネットワークへのアクセスは守れますが、インターネット側にある公開サーバは守ってくれるものがなく、そのままさらされる状態になります。
インターネット側から直接アクセスできてしまうので、無防備になってしまい、公開サーバ内の情報が漏れたり、公開サーバそのものが乗っ取られてしまうリスクが高くなってしまいます。

DMZが無い時のリスク その2

DMZを使うことで解決

上記の通り、公開サーバをファイアウォール1台で安全にやり繰りするのは難しそうなので、ファイアウォールを2台にして、公開サーバを適切な位置に設置します。

この適切な配置場所が「DMZ」になるわけです。

DMZの仕組みと通信の流れ

DMZのポリシーは以下のようになります。

DMZのポリシー

  • 外側のファイアウォール(上図の①)では、インターネット側からDMZへの通信は公開サーバへのアクセス(例えばhttps)に限って許可する。送信元のIPアドレスで制限掛けたりもする
  • 内側のファイアウォール(上図の②)では、DMZから社内ネットワークへの通信を禁止する、または必要なものだけに絞る
  • 外側・内側ファイアウォールともに、インターネット側へのアクセスは許可す

実際は内側用、外側用でファイアウォールをそれぞれ用意するとコストも掛かるので、1台に集約して下図のように配置することが殆どですね。

ファイアウォール1台でDMZを実現

まとめ

今回はインターネットに情報やサービスを提供する際の公開サーバを設置するDMZに関して解説してきました。

非武装地帯という物々しい言葉ですが、DMZを使うことで、公開サーバや社内を守ることができるのですね。

因みにDMZという言葉は軍事用語で、隣接している国の軍事境界線付近にある軍事活動が許されない地域があり、そこが語源になっているようですね。

DMZにサーバを置いた時のファイアウォールの設定は重要なので、ポリシーをしっかり理解することが重要ですね。

以上です!

-セキュリティ, ネットワーク