ようこそゲストさん

ビジネス+ITを始める

  • 会員限定
  • 2020/03/17 掲載

【マンガ解説付】5分でざっくりわかる「DMZ」、役割や構築方法をやさしく解説

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
ネットワーク・セキュリティの世界では「DMZ」と呼ばれる特別なネットワーク領域が作られることがあります。これは、ネットワークに接続する大切な情報や端末を守るために設けられる「緩衝領域」の役割を果たします。DMZはどのように構築でき、どんな機能を持つのか、またどんな使われ方をするのか。DMZの基本的な仕組みをやさしく解説していきます。

執筆:フリーライター 三津村直貴

執筆:フリーライター 三津村直貴

合同会社Noteip代表。ライター。米国の大学でコンピューターサイエンスを専攻し、卒業後は国内の一部上場企業でIT関連製品の企画・マーケティングなどに従事。退職後はライターとして書籍や記事の執筆、WEBコンテンツの制作に関わっている。人工知能の他に科学・IT・軍事・医療関連のトピックを扱っており、研究機関・大学における研究支援活動も行っている。著書『近未来のコア・テクノロジー(翔泳社)』『図解これだけは知っておきたいAIビジネス入門(成美堂)』、執筆協力『マンガでわかる人工知能(池田書店)』など。

photo
DMZの仕組み。詳細は後述

<目次>
  1. ネットワーク上の緩衝地帯、「DMZ」
  2. DMZの仕組み、カギは「ファイアウォール」
  3. DMZのさまざまな構築方法
  4. 安全性と利便性のバランスを整えるべし

ネットワーク上の緩衝地帯、「DMZ」

 DMZとは「DeMilitarized Zone」の略で、日本語では「非武装地帯」と直訳されます。もともとは軍事・政治的な用語から転用されたもので、その名の通り「武装しない領域」を意味しており、「武器を持って立ち入らない。軍事的な活動を許さない領域」のことを指しています。

 ネットワーク用語と軍事用語のDMZ、どちらにも共通しているのは「危険なエリア」と「安全なエリア」の中間である「緩衝地帯」として機能するということです。危険な地域のすぐそばに大切なものを置いておくのは危ないので、何かトラブルが起きても大丈夫なように緩衝地帯を設けて、そこには大切なものは置かないようにするのです。

 コンピュータ・ネットワークの世界における「危険なエリア」とは、インターネットのような安全性が確認できない「外部ネットワーク」などを指します。インターネット上には悪意ある攻撃者などが存在しており、ネット上に開放しているWebサーバやメールサーバはいつ攻撃されてもおかしくない状態です。外部に開かれているサーバを、機密情報等を含む内部ネットワークと同じ場所に置いてしまうと、サーバが攻撃を受けた際に内部ネットワークにも侵入されるリスクがあります。

 そこで、DMZという隔離された領域を設けて、外部ネットワークからアクセスを受ける領域を内部ネットワークから切り離します。

 より身近な例でいえば、「家の玄関ドアから門扉までの庭などの空間」や「共用玄関のあるマンションのエントランスホール」の方が感覚的には近いかも知れません。そこは自分たちの敷地内でありながら、外部の人間も内部の人間も入りやすい場所です。しかも、大切なものがあまり置かれていないので泥棒が入っても被害が少なく、不審者がいれば警戒できる場所でもあります。

 DMZはこうした空間と同じ役割を持っています。緩衝地帯があることで、大切なものを安全な場所に隔離でき、外から来た人と気軽に交流もできるということです。

以下の動画ではマンガでわかりやすく解説しています

DMZの仕組み、カギは「ファイアウォール」

 では、具体的にどのようにDMZを構築するのでしょうか。カギは「ファイアウォール」にあります。

 コンピュータ・ネットワークにおいて、ファイアウォールは内外を隔てる“関所”や“国境”のような境界線として機能します。関所や国境では「人」を仕分けますが、ファイアウォールでは「必要な通信」と「不要な通信」を分けて、必要な通信だけを通過できるようにしています。

 DMZでは、このファイアウォールが重要な役割を担います。外部ネットワークとDMZ、DMZと内部ネットワーク、それぞれの間にファイアウォールが入るような構造を作り、通信を仕分けします。仕分けのポリシーはファイアウォールごとに自由に設定できるので、外部ネットワークとDMZの間にあるファイアウォールは緩く設定したとしても、DMZと内部ネットワーク間のファイアウォールを厳しく設定していれば安全性は高まります。

 大切なのは内部ネットワークなので、ここを絶対に守り切る方針というわけです。戦国時代の城で例えるなら、町人や農民が出入りする城下町の警備はそれほど厳しくせずに、大名の居城に直接つながる城門の警備は厳重にするようなものです。

画像
DMZの仕組み。「外部→DMZ」のファイアウォールを突破されても、「DMZ→内部」のファイアウォールは通さないようにする

 なお、ファイアウォールはDMZを置かない状態でも設置されますが、Webサーバと外部ネットワークの間に設置されるファイアウォールは広く開放されている状態です。そのため警戒が緩く、外部からの攻撃に対して脆弱(ぜいじゃく)な面もあります。Webサーバが内部ネットワークに置かれていると、乗っ取られたWebサーバを踏み台にして内部ネットワークも簡単に攻撃を受けてしまいます。

 DMZを作ってもWebサーバ自体の脆弱性自体は変わりません。ただ、DMZから内部ネットワークに入る際にはもう一度ファイアウォールを通る必要があります。DMZから内部ネットワークへのアクセスを遮断していれば、Webサーバが乗っ取られても内部ネットワークは守り切ることができるのです。ファイアウォールが「二重の防壁」として機能します。

 また、DMZではファイアウォールのほかにも不正なアクセスを通報する「IDS(侵入検知システム)」やアクセスを遮断する「IPS(侵入防止システム)」を組み合わせてDMZ内に多重のセキュリティを設けることが多いです。DMZは攻撃されることを前提に作られている空間なので、攻撃されたことに気付けるような仕組み作りも必要となります。

 その他、DMZはルータなどを介して物理的に隔離されることが理想ですが、難しい場合にはコンピュータ上に構築した仮想空間に構築することも可能です。仮想DMZそのものは内部ネットワーク内にありますが、外部からのアクセスを仮想DMZが受けることが可能です。仮想DMZは、ビジネス用途というよりは個人や家庭向けに使われることが多く、簡易のDMZと捉えると良いでしょう。

【次ページ】DMZのさまざまな構築方法、安全性と利便性のバランスを考えるべし

関連タグ

関連コンテンツ

記事
セキュリティ総論

新入社員に教えがちな「セキュリティの常識」、本当に正しい?

多くの企業では、新入社員向けのビジネスマナーや技術研修がピークを向かえているのではないだろうか。近年の研修で欠かせないどころか重要度を増しているのがセキュリティ研修だろう。企業ごとのポリシーや対策基準に応じて、細かい運用規則やルールはさまざまだが、それらの有効性は適宜検証しているだろうか。同様に、一般に行われているセキュリティ対策の常識も、鵜呑みにすると実はかえって危険なものもある。

記事
Webセキュリティ

EDRをやさしく解説、「攻撃されること前提」のセキュリティがなぜ重要か

ここ数年、企業が抱える機密情報の価値が高まり、不正アクセスによる情報漏えいの割合が増加しています。JNSA(日本ネットワークセキュリティ協会)の調査によると、実に2018年の情報漏えいの2割が不正アクセスによるものと判明しています。企業もウイルス対策ソフトなどを導入し、情報セキュリティに力を入れるようになってきましたが、それでも突破されて漏えいする事例が後を絶ちません。そこで「攻撃を受けることが前提」のセキュリティ技術、EDR(Endpoint Detection and Response)が注目されています。本稿ではEDRをやさしく解説します。

記事
セキュリティ戦略

今さら聞けないSIEMとは何か? 導入事例からクラウド時代の役割まで徹底解説

外部からのサイバー攻撃や組織内部の不正行為など、多様な脅威にさらされる企業システム。システムの改ざんや情報漏えいなどが一度起きてしまうと、企業へのダメージは計り知れない。ネットワークやエンドポイントでさまざまなセキュリティ対策を施しても完全には防ぐことは不可能だ。そうした中、セキュリティリスクを最小限に抑える方法として「SIEM」が注目を集めている。本稿ではSIEMの概要や仕組み、具体的な導入事例などを取り上げる。

記事
ファイアウォール・IDS・IPS(不正侵入検知/防御)

コストと手間削減に「効果バツグン」、9割以上が効果体感「次世代WAF」のスゴさ

WAF(Web Application Firewall)は、さまざまな環境に対応するため導入コストがかかったり、頻発する誤検知を低減するためのチューニング負担などの課題があることで知られる。しかし、これらの課題を解消し、コンテナからオンプレミス、クラウド、そしてエッジまで、幅広いアーキテクチャに展開できる「次世代WAF」が登場しているのをご存じだろうか。一体「次世代WAF」とは何で、従来型とは具体的にどこが違うのだろうか。

記事
ファイアウォール・IDS・IPS(不正侵入検知/防御)

WAFとは何かを専門家がわかりやすく解説、主要11社比較、導入メリットや他対策との違いを解説

WAF(Web Application Firewall:ワフ)とは、その名の通りサイバー攻撃からWebサイトを防御するセキュリティソフトウェアの一種だ。ただ、他のセキュリティ対策であるファイアウォールやIPS/IDS(不正侵入検知・防御システム)と混同しやすく、わかりにくい面もある。本稿では、AkamaiやImpervaといった国内外のWAFの主要製品11社を紹介するとともに、WAFの役割とその仕組み、他のセキュリティ対策との違いを図解しつつ、WAFで防御できるサイバー攻撃の種類やWAFの種類について、S&J 取締役コンサルティング事業部長 上原 孝之氏監修のもと解説する。

記事
ファイアウォール・IDS・IPS(不正侵入検知/防御)

シスコの侵害事例にみる「多要素認証の限界」、パスワードに依存しないセキュリティ対策

リモートワークの普及は社員に便利さをもたらした一方、企業のセキュリティ強化の必要性を高めた。実際、データ漏えい・侵害の被害件数は年々増加の一途をたどり、有用とされる多要素認証をバイパスされる手段も散見される。このような脅威に対して、どのような対策を講じれば良いのか。ゼロトラストの概念を踏まえ、最新のセキュリティ手法を解説する。

記事
ファイアウォール・IDS・IPS(不正侵入検知/防御)

ファイアウォールとは何か?わかりやすく役割と仕組み、導入製品の比較・選定ポイントを解説する

ファイアウォールとは、セキュリティ対策のひとつであり、ネットワーク通信上で動作するソフトウェア・アプリケーションである。ほとんどの企業は社内からインターネットを利用しているが、企業内LAN上に配置されている端末をセキュリティ上の脅威から守るのに、ファイアウォールの導入は必須となる。本記事では、ファイアウォールの役割と仕組みなど基礎知識、ファイアウォール導入のメリット、企業が導入するべきファイアウォールの種類についてわかりやすく解説する(2021年12月10日一部修正)。

記事
ファイアウォール・IDS・IPS(不正侵入検知/防御)

「うちからは漏えいしてないのに…」顧客のID/Pass使い回しで会員制サイトが陥る危機

Eコマースなど多くの会員を抱えているWebサイトを運営している企業にとって、不正アクセス・不正ログインは頭の痛い問題だ。特に漏えいしたアカウントリストを使って不正ログインを試みる攻撃は、対策が難しい。万が一ログインが成功すると、情報漏えいなどの重大事故につながる可能性が高く、レピュテーションも著しく傷つく。ここでは、こうした漏えいアカウントによる不正ログインに対して、企業がとりうる対策を整理する。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample