DMZとは、「外部ネットワークと社内ネットワークの境界に存在する緩衝地帯」のことで、攻撃者からの攻撃や情報漏洩を防ぐために欠かせない仕組みになります。
この記事では、DMZの仕組み、役割、メリットデメリットについて、IT初心者の方にもわかりやすく解説します。
DMZとは?
DMZとは、「De-Militarized Zone 」の略称で、直訳すると「非武装地帯」という意味です。もともとは軍事用語で使われていましたが、ことIT業界においては、「外部ネットワークと社内ネットワークの境界に存在する緩衝地帯」を意味します。
…と言われても、ネットワーク上の緩衝地帯って?となると思います。
そもそもから解説すると、企業のネットワーク環境は、「危険な外部ネットワーク(インターネット)」と「安全な社内ネットワーク」の大きく2つに分かれます。外部ネットワークからはハッキングや攻撃者からの不正アクセスの危険性があるため、社内ネットワークに誰でもアクセスできないよう、境界にファイアーウォール等のセキュリティ機器を置いて守ります。
しかし、例えば企業のWebサイトやDNSサーバ(公開サーバと呼ばれます)は、外部のユーザーからのアクセスがあるため、社外ネットワークからアクセスできるところに置いておかなければいけません。そこで、そう言った公開サーバを、外部ネットワークと内部ネットワークの境界に緩衝地帯としておくことで、外部アクセスは許可しつつも社内ネットワークと切り離すことで、セキュリティを担保します。
公開サーバにアクセスしたユーザは、そこまではアクセスできても、その先の社内ネットワークにアクセスしようとすると、境界に設置されているファイアーウォールによってブロックされるという仕組みです。
DMZは、外部と内部の間に1つファイアーウォールを設置する構成と、外部側、内部側にそれぞれ1つずつ、計2つファイアーウォールを設置する構成がありますが、現在は1つ設置する方が一般的です。
DMZのメリットとは?
攻撃の被害を最小限に抑えられる
DMZのメリットは、攻撃の被害を最小限に抑えられることです。
Webサーバなどの公開サーバは、広く外部に公開されているため、常にセキュリティリスクに侵されています。このWebサーバが社内の機密情報等が保管されているサーバと同じネットワークにあると、標的型攻撃を受けた際に、その社内サーバまで被害が及んでしまいます。
しかし、DMZを導入していれば、仮にWebサーバが標的型攻撃の被害を受けたとしても、被害をそのDMZ内で抑えることができ、社内サーバへの被害(情報漏洩等)を防ぐことができます。
DMZのデメリットとは?
すべてを守れるわけではない
DMZのデメリットというか落とし穴は、DMZを導入すればすべてを守れるわけではないという点です。
例えば、外部に公開しているWebサーバにウイルスを埋め込まれた場合、社内ネットワーク内のユーザーがWebサーバにアクセスした際にウイルスに感染してしまう可能性があります。
また、公開サーバから社内のサーバ (データベース等) への通信が連携のために許可されている場合は、公開サーバから許可されたポートを介して社内サーバヘアクセスされてしまう可能性があります。
このようなセキュリティリスクは依然存在するため、DMZを導入したからといって安心せず、ユーザー端末側にアンチウイルスソフトを入れるなどのセキュリティ対策が必要です。
おわりに
いかがだったでしょうか。DMZは、社内ネットワークを外部から守るためにとても有効なセキュリティ対策になります。仕組み、メリデメをしっかり理解しておきましょう。
コメント