DMZネットワークとは? 仕組みやメリットを解説

WEBサーバ等は外部アクセスを許可しており、攻撃がされやすい為、社内ネットワーク内に置くのは非常に危険です。そのため、一般的にはDMZを設置します。このコラムでは、DMZについてその仕組みやメリットなどを説明いたします。

DMZネットワークとは

DMZとは、DeMilitarized Zoneの略で、非武装地帯を意味します。ネットワークでは、外部ネットワーク(インターネットなど)と内部ネットワーク(社内LANなど)の中間に作られるネットワークのセグメントを指します。通常は、DMZは外部ネットワークからも内部ネットワークからもファイアウォール等で隔離されており、ここにWEBサーバなどの外部に公開するようなサーバーを設置することで、外部からの不正アクセスがあったとしてもネットワークが分離されている為、セキュリティ効果が見込めます。

https://boxil.jp/mag/a3157/より

DMZの仕組み

シングルファイアウォール型DMZネットワークとデュアルファイアウォール型DMZネットワークの2種類あります。

①シングルファイアウォール型DMZネットワーク シングルファイアウォール型DMZネットワークでは、1台のファイアウォールを使用します。ファイアウォールに内部用、DMZ用、外部用のポートを用意して、全ての通信がファイアウォールを通るようにします。 この構成では、ファイアウォールを1台用意するのみで良く、後述するデュアルファイアウォール型の2台構成に比べてコストが安くなります。

②デュアルファイアウォール型DMZネットワーク デュアルファイアウォール型DMZネットワークでは、ネットワークの内側と外側の間に2つのファイアウォールを設置し、そのファイアウォールの間にDMZを配置します。この構成はDMZをデータセンターに設置するなど、DMZと社内LANの設置場所を物理的に分ける場合に利用します。

ネットワークのDMZが必要なケース

主に、外部に公開するサーバーを、DMZに設置することが多くあります。具体的には、メールサーバーやFTPサーバー、WEBサーバー等です。これらのサーバーは、外部からアクセスする必要があり、かつ内部からもアクセスする必要があります。これを内部に設置すると、外部ネットワークからの通信が内部ネットワークに入ることになりセキュリティリスクが高くなります。したがって、内部からも外部からもアクセスができ、それぞれの通信をファイアウォールを通すためにDMZに設置することが求められます。

DMZサーバーのメリットとデメリット

DMZのメリットとして次のようなものがあります。 まずはセキュリティの向上です。内部とDMZ、DMZと外部の通信をそれぞれ制限することができ、セキュリティを高めながら、従来通りの業務が可能となります。 更に構成の容易性と設置の単純さがあります。基本的にファイアウォールを設置するのみで、その設定を行えば、構成することができます。 次に、潜在的なコストの削減です。DMZの設置には費用はかかりますが、外部からの不正アクセスによりデータ侵害があった場合は、それを上回る費用と時間が発生します。DMZを設置することにより、外部からの侵入する可能性が低くなります。

一方で、デメリットとしては、次のようなものがあります。 まずは、潜在的なリスクが残る点です。特に機密性が高いデータなどの外部からの侵入に対しては問題ありませんが、内部からの不正アクセスには対応することができません。 次に、一時的なコスト増です。セキュリティリスクの潜在コストは削減できるとはいえ、FWや作業工数など初期費用がかかりますので、企業によっては負担になることでしょう。また、DMZを設置後に設定を随時見直す必要もあります。 また、近年はクラウドサービスの利用が増えてきており、外部への公開サーバーを自社ネットワークに設定していない場合もあります。この場合はDMZを設置しても意味がありません。

まとめ

DMZは比較的簡単に導入することができるシステムですが、まずは本当に必要なのかという点も考える必要があります。自社のシステムをしっかり把握し、セキュリティとコストの両面を鑑みながら、必要に応じて導入するようにしましょう。

執筆:橋爪兼続

ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。