DMZとは｜非武装地帯・ネットワーク分離 | london3.jp

概要

DMZ（DeMilitarized Zone：非武装地帯）とは、インターネットと社内ネットワークの中間に設けられる、緩衝地帯となるネットワーク領域です。外部に公開するサーバ（Webサーバ・メールサーバなど）をここに配置します。

外部に公開するサーバは攻撃を受けやすいため、内部ネットワークから分離しておくことで、万一公開サーバが侵害されても、そこを踏み台に内部の重要なネットワークへ侵入されるのを防ぎます。

詳細（構成・効果）

一般に、ファイアウォールを使って「インターネット／ DMZ ／内部ネットワーク」の3つの領域に分け、それぞれの間の通信を制御します。

インターネット → DMZの公開サーバ：必要な通信のみ許可。
DMZ → 内部ネットワーク：原則として制限（直接アクセスさせない）。
内部 → DMZ／インターネット：必要に応じて許可。

DMZのキーワードは「公開サーバを内部から分離する緩衝地帯」。公開サーバが侵害されても内部への侵入を防ぐのが目的。「DMZに何を置くか（公開サーバ）」が頻出です。

何を置くか

DMZに置く	内部に置く
外部公開Webサーバ、メールサーバ（中継）、DNS（公開用）、プロキシなど	業務データベース、ファイルサーバ、社内システムなど重要資産

「外部に見せる必要があるサーバはDMZ、社外に見せたくない重要資産は内部」という切り分けが基本です。ネットワークをセグメント分割し、侵害の影響範囲を限定する考え方の代表例です。

関連例

公開Webサーバが攻撃を受けて侵害されても、DMZで分離されていれば、内部の顧客データベースへの直接侵入を防げます。逆に、公開サーバと内部を分離していないと、1台の侵害が組織全体への侵入口になりかねません。

試験での問われ方

「外部公開サーバを内部ネットワークから分離して置く領域はどれか」→ DMZ。
「DMZに配置するのが適切なサーバはどれか」→ 外部公開Webサーバなど。
「DMZを設ける目的はどれか」→ 公開サーバ侵害時の内部への被害拡大防止。