【図解】初心者にも分かるDMZの構成・設計 〜DMZとは?ファイアウォールを使ったNWセキュリティの基礎〜

DMZとは

DMZとはDe-Militarized Zone(非武装地帯)の略で、IT用語の解釈では『社内のサーバをインターネットからアクセスさせたいけど、社内の他のサーバとは分離したいときに使うNW構成』のことです。

公開サーバとして一般的なのはWebサーバ、DNSサーバ、メールサーバです。

DMZの具体的な構成例としては以下の2パターンが有名です。FW1台でDMZ専用インタフェースを設けるパターンと、FW2台で挟み込むパターンです。どちらも同じことができますがFW1台構成のほうがより一般的です。FW2台構成は例えばデータセンタなどWANを挟むときに使われることがあります。

スポンサーリンク

DMZでできること・できないこと

DMZを構成しない場合、インターネットに公開するサーバと公開しないサーバの間にファイアウォールは存在しません。なのでもし公開サーバが脆弱性を突かれて乗っ取られた場合、他のサーバも危機に晒されやすいです。

DMZを構成することで、乗っ取られたサーバから他の非公開サーバやクライアント等の社内NWへの通信は、FWのステートフルインスペクションにより防御できます

スポンサーリンク

ただし、社内PCからDMZのサーバ通信は通常許可することが多く、例えば公開サーバにウィルスを埋め込まれてしまった場合は社内の非公開サーバやクライアント等の社内NWに被害を及ぼす可能性はあります

また、公開サーバから社内の非公開サーバ(メールリレー先やデータベース等)を連携のために通信許可している場合は公開サーバから許可されたTCP/UDPポートを使って悪意あるデータを送りつける可能性もあります

このセキュリティについてはDMZ構成では防げません。別途、アンチウィルスソフトなどのエンドポイントセキュリティ(端末側で行う防御策)で防ぐ必要があります。

スポンサーリンク

つまりDMZ構成にしようがしまいが、ファイアウォールによる防御を行った上でサーバを公開すれば、その公開サーバのセキュリティ強度は変わりません変わるのは、万が一公開サーバが乗っ取られた場合の、社内NWへのセキュリティ強度です。DMZを構成することで、乗っ取られたサーバから容易く社内NWに侵入させないようにできます。

DMZとは、DMZに配置した公開サーバを守る用途ではなく、むしろ内部の非公開のサーバやクライアントのセキュリティを保つための構成なのです

WebサーバとDBサーバを同一筐体に実装し、DMZに配置することのリスク

最近はWebアプリケーションでデータベースを使う構成が増えています。このとき議論の対象になるのが、WebサーバとDBサーバの分離です。

本来であれば分離すべきこれらのサーバを、コストが安くなるから、という理由で1つにしてはどうか、という提案がなされることがあるようです。

データベースにどのようなデータが乗るかにもよるのですが、基本は分離すべき、それでもしたいならリスクを承知した上で実施すべきでしょう。

分離しない場合のリスクとしては、Webサーバが乗っ取られた場合のDBへの攻撃バリエーションが格段に増えることです。

脆弱性はいつ未知から既知になるか分かりませんので、どのような攻撃が為されるか分かりません。既知の脆弱性を防ぐことも大事ですが、それだけでは不十分です。

大事なのは、未知から既知になった場合にも影響を受ける可能性が少なくなるように構成を組むことです。

まとめ

  1. DMZは公開したい社内サーバがあるときに使うことでセキュリティ向上が見込めるが、万能ではない
  2. セキュリティを高める対象はDMZにある公開サーバよりもむしろ社内にある非公開サーバ
  3. セキュリティは既知の脆弱性を防ぐことも大事だが、未知のものが既知になっても影響を受けにくいようなNW構成にしておくことも大事

シェアする

  • このエントリーをはてなブックマークに追加

フォローする