【図解】初心者にも分かるDMZの目的と仕組み,構成,設計 〜ファイアウォールを使ったNWセキュリティの基礎〜

DMZ とは

DMZ とは De-Militarized Zone (非武装地帯) の略で、IT 用語の解釈では『社内のサーバをインターネットからアクセスさせたいけど、社内の他のサーバとは分離したいときに使う NW 構成』のことです。

公開サーバとして一般的なのは Web サーバDNS サーバメールサーバです。

DMZ の具体的な構成例としては以下の 2 パターンが有名です。FW 1 台で DMZ 専用インタフェースを設けるパターンと、FW 2 台で挟み込むパターンです。

どちらも同じことができますが FW 1 台構成のほうがより一般的です。FW 2 台構成は例えばデータセンタなど WAN を挟むときに使われることがあります。

DMZ でできること・できないこと

DMZ を構成しない場合、インターネットに公開するサーバと公開しないサーバの間にファイアウォールは存在しません。なのでもし公開サーバが脆弱性を突かれて乗っ取られた場合、他のサーバも危機に晒されやすいです。

DMZ を構成することで、乗っ取られたサーバから他の非公開サーバやクライアント等の社内 NW への通信は、FW のステートフルインスペクションにより防御できます

ただし、社内 PC から DMZ のサーバ通信は通常許可することが多く、例えば公開サーバにウィルスを埋め込まれてしまった場合は社内の非公開サーバやクライアント等の社内 NW に被害を及ぼす可能性はあります

また、公開サーバから社内の非公開サーバ (メールリレー先やデータベース等) を連携のために通信許可している場合は公開サーバから許可された TCP/UDP ポートを使って悪意あるデータを送りつける可能性もあります

このセキュリティについては DMZ 構成では防げません。別途、アンチウィルスソフトなどのエンドポイントセキュリティ(端末側で行う防御策)で防ぐ必要があります。

つまり DMZ 構成にしようがしまいが、ファイアウォールによる防御を行った上でサーバを公開すれば、その公開サーバのセキュリティ強度は変わりません変わるのは、万が一公開サーバが乗っ取られた場合の、社内 NW へのセキュリティ強度です。DMZ を構成することで、乗っ取られたサーバから容易く社内 NW に侵入させないようにできます。

DMZ とは、DMZ に配置した公開サーバを守る用途ではなく、むしろ内部の非公開のサーバやクライアントのセキュリティを保つための構成なのです

WebサーバとDBサーバを同一筐体に実装し、DMZに配置することのリスク

最近は Web アプリケーションでデータベースを使う構成が増えています。このとき議論の対象になるのが、Web サーバと DB サーバの分離です。

本来であれば分離すべきこれらのサーバを、コストが安くなるから、という理由で 1 つにしてはどうか、という提案がなされることがあるようです。

データベースにどのようなデータが乗るかにもよるのですが、基本は分離すべき、それでもしたいならリスクを承知した上で実施すべきでしょう。

分離しない場合のリスクとしては、Web サーバが乗っ取られた場合の DB への攻撃バリエーションが格段に増えることです。

脆弱性はいつ未知から既知になるか分かりませんので、どのような攻撃が為されるか分かりません。既知の脆弱性を防ぐことも大事ですが、それだけでは不十分です。

大事なのは、未知から既知になった場合にも影響を受ける可能性が少なくなるように構成を組むことです。

まとめ

  1. DMZ は公開したい社内サーバがあるときに使うことでセキュリティ向上が見込めるが、万能ではない
  2. セキュリティを高める対象は DMZ にある公開サーバよりもむしろ社内にある非公開サーバ
  3. セキュリティは既知の脆弱性を防ぐことも大事だが、未知のものが既知になっても影響を受けにくいような NW 構成にしておくことも大事

【厳選 4 冊】ネットワークセキュリティを学ぶための本

サイバー攻撃に対抗せよ。UTMを使った企業LANの構築/管理を徹底解説。ファイアウォールやアンチウイルスなどによる防御。拠点間を安全につなぐインターネットVPN。Office365などのクラウド利用に役立つSD‐WAN。FortiOS6対応。ネットワークエンジニア必読!
本書では、セキュリティエンジニアとして押さえておきたい知識や技術などを、体系的に、わかりやすく解説しています。セキュリティ業務に関わる2~3年目のエンジニアはもちろん、一般社員のセキュリティリテラシー向上にも役立つ1冊です。
【想定する読者層】・セキュリティの初学者・ハッカーにあこがれている人・CTFに興味がある人、または参加している人・WindowsとLinuxの混在環境を構築したい人・コンピュータ愛好家・Linux初心者
Windows(ウィンドウズ)、Linux(リナックス)に始まり、現在主流となっているCloud(クラウド)、Phishing(フィッシング)、そして禁断となっている(マルウェア)に至るまで、具体的な最新情報をそれぞれ選りすぐり解説しています。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG