DMZ

DMZ（Demilitarized Zone：非武装地帯）とは、外部ネットワーク（インターネット）と内部ネットワーク（社内LAN）の間に設けられる緩衝地帯（バッファゾーン）のことです。軍事用語の「非武装地帯」に由来し、ネットワークセキュリティにおいては、外部に公開する必要があるサーバー群を内部ネットワークから分離して配置するための領域を指します。

企業がWebサーバー、メールサーバー、DNSサーバーなどを外部に公開する場合、これらのサーバーを直接内部ネットワークに置くと、サーバーが攻撃者に侵害された際に内部ネットワーク全体が危険にさらされます。DMZにこれらの公開サーバーを配置することで、万が一サーバーが侵害されても、内部ネットワークへの直接的なアクセスを防止できます。

DMZは通常、1台または2台のファイアウォールによって構成されます。外部ファイアウォールはインターネットとDMZ間の通信を制御し、内部ファイアウォールはDMZと内部ネットワーク間の通信を制御します。この多層防御によって、外部からの攻撃が内部ネットワークに到達することを防ぎます。

DMZの構成パターン

• シングルファイアウォール構成（3レッグ構成）：1台のファイアウォールに3つ以上のネットワークインターフェースを持たせ、外部・DMZ・内部の3つのゾーンを作る方式。コストが低いが、ファイアウォール1台に障害が発生するとすべてのゾーンに影響する。中小規模の組織でよく採用される。
• デュアルファイアウォール構成：外部用と内部用の2台のファイアウォールでDMZを挟む方式。セキュリティ強度が高く、異なるベンダーのファイアウォールを使用することで、1つの脆弱性が両方に影響するリスクを軽減できる。大規模組織で推奨される構成。

DMZに配置するサーバー

• Webサーバー：企業サイトやWebアプリケーションをホストするサーバー。外部からHTTP/HTTPSでアクセスされる。
• メールサーバー（MTA）：メールの送受信を行うサーバー。外部からSMTP接続を受け付ける。
• DNSサーバー（外部向け）：外部からのドメイン名解決要求に応答する。内部DNS情報は公開しない。
• リバースプロキシ：外部からのリクエストを内部のアプリケーションサーバーに転送するプロキシ。
• VPNゲートウェイ：リモートアクセスVPNの接続終端となる機器。

DMZのトラフィック制御ルール

DMZの設計における重要な原則は、通信方向の厳密な制御です。一般的に以下のルールが適用されます。

• 外部 → DMZ：許可（特定のサービスポートのみ）
• DMZ → 外部：制限付き許可（DNS応答、メール送信など必要最小限）
• DMZ → 内部：厳しく制限（特定のデータベース接続など必要最小限のみ許可）
• 内部 → DMZ：許可（管理目的の接続）
• 外部 → 内部：原則禁止（DMZを経由させる）

• 01
  DMZサーバーの最小構成：DMZに配置するサーバーには、サービス提供に必要最小限のソフトウェアのみをインストールする。不要なサービス、ポート、アカウントはすべて無効化する（ハードニング）。
• 02
  DMZから内部への通信を厳格に制限：DMZのサーバーが侵害された場合を想定し、DMZから内部ネットワークへの通信は必要最小限のポートとIPアドレスに限定する。
• 03
  異なるベンダーのファイアウォールを使用：デュアルファイアウォール構成では、外部と内部で異なるベンダーの製品を使用し、1つの脆弱性で両方が突破されるリスクを低減する。
• 04
  DMZサーバーの脆弱性管理：外部に公開されているサーバーは攻撃対象になりやすいため、定期的な脆弱性スキャンとパッチ適用を徹底する。
• 05
  IDS/IPSによる監視：DMZセグメントにIDS/IPSを設置し、外部からの攻撃やDMZ内の異常な通信を検知・防御する。
• 06
  ログの集中管理：DMZ内のサーバーのログを内部ネットワークのログサーバーに集約し、侵害の兆候を早期に発見する。ログは内部から収集する（DMZからのプッシュではなく内部からのプル方式が推奨）。